情報セキュリティ管理者“伊藤”の「インターネットセキュリティ」講座-4
2015.04.24
前回のコラムはホームページの脆弱性が狙われること、ホームページが乗っ取られた場合の影響や損失などについてご説明しました。今回はサイバー攻撃に対して、どういった対策をとることができるのかをお伝えします。
脆弱性への対策は?
プログラムの穴
しかし脆弱性が発見された直後や、開発者がすでに活動を停止して対応が一切されないということもあるでしょう。さらに、脆弱性そのものが認知される前に「ハッカー」にだけ知れわたり、そこを攻撃される(いわゆるゼロデー攻撃)事例もあります。
修正プログラムの適用を適切に行うのは実際には困難であり、現実的でないかもしれません。それでも修正プログラムの適用は最低限の対策であると言えます。
脆弱性や対策については一般社団法人 JPCERT コーディネーションセンター(JPCERT)や独立行政法人情報処理推進機構(IPA)、両者が共同で運営しているJapan Vulnerability Notes(JVN)などが情報を発信していますので、ご参考にしてください。
ウェブアプリケーションへの攻撃を防御するWAF
(ワフ:WebApplicationFirewall)の導入効果が高いと言われています。
WAFは脆弱性に対する攻撃やホームページから内部ネットワークへの侵入、ウェブアプリケーションから情報を盗み取ることなどを防御する機能をもっています。特に修正プログラムの提供がされない場合や、修正対応の実施までに時間が必要なときに有効だと考えられます。
WAFが防御している時間を使い、修正パッチの適用やホームページの改修を行えるというわけです。ホームページの閉鎖などが回避できる可能性も高く、通信販売など収益に直結するサービスが継続できること、何よりも加害者にならずに済むことのメリットは大きいでしょう。
しかし、セキュリティに関することですから100%の安全を保証するものではありません。WAFで防御力を高めることと同時に、脆弱性を早期に発見して修正を行う、というサイクルでの運用が重要となります。
WAFの運用/負担が大きい?
また運用面では最新の攻撃に対応できるように、WAFのプログラムを常にアップデートしておく必要があります。
アップデートプログラムはWAFの販売元から提供されますが、セキュリティに関するものなので緊急時には昼夜を問わずに提供されることもあります。システム担当者は常に最新の状態を維持しておくことが要求されるので、マンパワーの問題も無視できない課題となります。
そのため導入をあきらめるといった状況も聞かれます。
クラウド型WAFで負荷の軽減
クラウド型WAF
WAFの機能をクラウド側に持たせるため運用はクラウド側の運営者が担う形となり、マンパワーの問題を解決します。また、複数のホームページに対する攻撃を集中して管理するため、プログラムのアップデートも効率的に実施できるといった効果が期待できます。
ホームページとの連携も簡単な設定で実施でき、最短1週間程度で導入が完了するものもあります。何よりもWAF導入によってホームページ側ではハードウェア、プログラムともに大規模な改修が必要ないという点でのメリットが大きいようです。
一方、カスタマイズの必要がある場合や、複数のURLを運用している場合などではハードウェア型やソフトウェア型の方がマッチするケースもありますので、自社のホームページの状況から選択することをお勧めします。
WAFの詳細な資料は独立行政法人情報処理推進機構(IPA)でも提供されていますので参考にしてください。http://www.ipa.go.jp/about/press/20110228.html
情報セキュリティ管理者“伊藤”
帝国データバンクプロダクトデザイン部ネットソリューション課課長として、実務を通じて情報セキュリティに関する経験を日々重ねている。
