WEBアプリケーションのセキュリティ対策

インターネットを利用する生活が当たり前になった現代において、WEBサイトやWEBアプリケーションなど、WEBの技術を利用して提供されるサービスは多種多様になりました。

それらを狙うサイバー攻撃も増加の一途を辿っています。

今回は、WEBアプリケーションのセキュリティ対策についてご説明します。

WEBアプリケーションとは?

利用者目線でのWEBアプリケーションとは、例えばECサイト、動画サイト、ネットバンキングなど、WEBを介してサービスの提供が受けられるものを指します。

これらを提供する開発者側は、様々な開発言語やWEBサービスを利用してWEBアプリケーションを構築します。

代表的なものとして、PHPやRuby,Python、Javaなどのプログラミング言語が多く利用されています。

WEBアプリケーションのセキュリティ対策とは、これらのプログラムに脆弱性が無いか?外部からの攻撃に対する対策は十分か?といった点を評価していくものになります。

WEBアプリケーションの動作環境に導入されるOSやミドルウェア、オープンソフトウェアに関しても、留意しておく必要があります。

脆弱性の有無を可視化

まず、根本的な対策として、開発したWEBアプリケーションに脆弱性が潜在していないかを可視化する事が重要です。

WEBアプリケーションの脆弱性の代表的なものとして、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティングなどが挙げられます。

このような脆弱性が潜在していないかどうかを検査するのが脆弱性診断です。

脆弱性診断については、以下の記事で詳細を紹介しています。

・脆弱性診断とは何か?そもそも脆弱性って?

脆弱性診断とは何か?そもそも脆弱性って?

「脆弱性」とは、WebアプリケーションやOS/ミドルウェア、ネットワーク等のシステムプラットフォームに潜在するセキュリティ上の弱点や欠陥のことです。 これらの脆弱性…

可視化した脆弱性に応じた対策を講じる

プログラムの改修や、動作環境のアップデートなど、検出された脆弱性に応じた対策を実施します。

ソースコードの改修等による根本的な脆弱性対策が望ましいですが、なんらかの制約により、改修が難しいケースもあります。

そのような場合は、WEBアプリケーションへの攻撃を防御する事に特化したWAF(WEBアプリケーションファイアウォール)の導入を推奨します。

■WAF(WEBアプリケーションファイアウォール)

一般的なファイアウォールがネットワークレイヤーを防御するのに対し、WEBアプリケーションレイヤーへの攻撃を防御する事に特化した製品がWAFです。

様々な製品やサービスがありますが、いずれもWEBアプリケーションに対して高い防御力を発揮します。 最近では、運用面やコスト面で導入がし易く、新たな脆弱性への対応も迅速なクラウドサービス型(SaaS型)のWAFが評価されています。

クラウド型のWAFについては、以下にて紹介しております。

インテグレーションサービス

クラウドインテグレーション AWS、Microsoft Azure等のパブリッククラウドの設計・構築を代行します。 セキュリティ対策も考慮した安心・安全なシステム環境をご提供いた…

また、対策を講じたWEBアプリケーションへのペネトレーションテスト(侵入テスト)を実施し、対策の有効性を確認する事も推奨されます。

公開後、運用開始後の対策

脆弱性対策を実施し、公開したWEBアプリケーションに関しても、定期的な再評価を実施する事をお勧めします。

特に、WEBアプリケーションの動作環境、プラットフォームに利用される事が多い、ミドルウェアやオープンソースソフトウェアには、日々新たな脆弱性が発表されています。

四半期に一度や、半年に一度など、運用面におけるポリシーを明確に定め、それに沿った運用を継続することが重要です。

さらに、定期的な確認に加えて、WEBアプリケーションの機能追加や、WEBサイトのページ改修などを実施した際には、その都度脆弱性の有無を確認する事が推奨されます。

また、WEBサイトの異常を検出する改ざん検知の仕組みなどを導入する事により、外部からの攻撃を迅速に把握する事が可能になります。

保護対象とするWEBアプリケーションの重要度や、このような追加の対策を検討する事も非常に有効です。

なお、IPA 独立行政法人 情報処理推進機構からも安心なWEBサイトの作り方についての指針が公開されています。

・安全なウェブサイトの作り方

https://www.ipa.go.jp/security/vuln/websecurity.html

M&Kでは、経験豊富なコンサルタント、エンジニアが企業のセキュリティ対策に関するご支援を行っております。

何かお悩みの点がございましたら、お気軽にご相談ください。