はじめに
「業務改善へのミチノリ」コラムを書かせていただいています、橋川 吾教（みちのり）です。
新年度になりました。皆様の会社では事業内容や組織体制変更に伴ってホームページの記載情報に変更はございましたでしょうか？今回は、そんな公開WebサイトやWebアプリケーションのメンテナンスとそのセキュリティを担保するソリューションについてご紹介したいと思います。

早速ですが、『WAF（ワフ）』という言葉をお聞きになられたことがありますか？

・WAF (Web Application Firewall)

→Webサイト・Webアプリケーションをその脆弱性を悪用した不正アクセスから保護するセキュリティ対策（ファイアウォール）。

『ファイアウォール（FW）』と言えば、ネットワークをあらゆる脅威から保護するイメージをお持ちの方も多いかと思います。

ご認識の通り、WAFは、『Webサーバとそれに乗っているWebサーバソフトウェア（＝プラットフォーム）の保護をする』 ために　『Webサイト・Webアプリケーションの保護をしている』と言えるのです。つまりWAFによる脆弱性対策が不十分である場合、Webサーバ・Webサーバソフトウェア（プラットフォーム）が不正アクセスを受けてしまう可能性がある、ということになるのです。

（図1）WAFによる脆弱性対策が不十分だとWebサーバ・Webサーバソフトウェア（プラットフォーム）が攻撃を受ける

 

「そんなこと言ったってうちのWebサイトやWebアプリケーションには大した情報を載せたり記入したりすることは無いから大丈夫だよ！」と思われた方、少々お待ちください。Webサイト・Webアプリケーションへの不正アクセスが起点となり、重大な情報漏洩が発生することがあり得るのです。代表的な不正アクセス方法は『クロスサイトスクリプティング』 や 『SQLインジェクション』です。

いずれもWebサイトの脆弱性が悪用された結果、本来被害者であるべき運営側が、情報漏洩の加害者になってしまう可能性があるのです。

 

（図2）不正アクセス手法『クロスサイトスクリプティング』

 

※『SQLインジェクション』のご説明につきましては、

橋川吾教の「業務改善へのミチノリ」コラム第２回 『Web脆弱性の効果的な対策〈Webもアプリも〉』
https://goo.gl/4PIw0Y

をご覧ください。

また、Webサイト・Webアプリケーション自体に脆弱性が無くても、前述の『Webサーバソフトウェア（プラットフォーム）』に脆弱性が見つかり、それを悪用されて個人情報が盗まれた、という実例もございます。

（図3）Webサーバソフトウェア（プラットフォーム）の脆弱性を悪用した個人情報漏洩事案

 

こちらの事案では、クレジットカードで税金を支払うサイトの『Webサーバソフトウェア（プラットフォーム、本件はApache）』の脆弱性を悪用した不正アクセスの疑いが発覚したためサービスを停止した例です。クレジットカードに関する個人情報が最大約70万件漏洩した可能性があると言われています。漏洩による直接的被害は勿論のこと、調査・対策のためのサービス停止（2017年4月現在もサービスは停止しています）による経済的損失と、それに乗じた詐欺事件とその対策費用を考えると被害総額は莫大なものになると思われます。

 

このように、 Webサイト・Webアプリケーションへの攻撃手法の高度化・高速化により、脆弱性を悪用した不正アクセス被害の

規模は年々拡大化・深刻化しています。しかし、WAFを導入することにより、それらのリスクを回避でき更に普段のメンテナンスやその他不測の事態の対応もサービスを停止することなく調査・対策が可能になりますのでCS向上にも繋がります。

(図4)WAFの導入によりセキュリティ対策とCS向上が同時に実現可能

 

公開Webサイト・Webアプリケーションをお持ちの方は是非WAFの導入をご検討ください。

 

ホスト型WAF『SiteGuard Lite』のご紹介について

弊社では現状構成を変更することなく導入できる、ジェイピー・セキュア社のホスト型WAF『SiteGuard Lite』をご提案させていただいております。現状環境のヒアリングから導入・構築まで実施させていただきますのでお気軽にご相談ください。

 

■ホスト型WAF『SiteGuard Lite』の詳細はこちら

https://www.si-jirei.jp/secure/SiteGuard/