Webサイトのセキュリティ対策って何をやれば良いのかわからない方も、多いと思います。セキュリティ対策を1から学ぶとキリがないし、調べても専門用語が多すぎて素人には難しいと感じます。
だからといって何もせずに放置すると、とんでもない被害が発生する可能性があります。サイバー攻撃を受けた事例をご紹介しましょう。2022年2月、国内大手自動車メーカーがサプライチェーン攻撃というサイバー攻撃を受け、国内すべての工場の稼働を1日停止する事態が発生しました。試算すると億単位の被害が発生したと言われています。
このようにサイバー攻撃にあった場合の被害は非常に大きくなる可能性がある為、セキュリティ対策をとっていない場合は早急に対策を講じる必要があります。そこで本記事では簡単にセキュリティ対策が行えるWAFを、わりやすく説明していきます。
増え続けるサイバー攻撃
IPAのレポートによると2021年の脆弱性の届出件数の約7割以上がWebサイトに関係するものだとされています。Webサイトのセキュリティ対策は必須と言えるでしょう。近年で増加傾向にあるサイバー攻撃を2つ紹介します。
【増え続けるサイバー攻撃の事例】
①テレワークによるセキュリティ不備を狙った攻撃
テレワークによりVPNやリモートデスクトップを使って作業をする機会が増えたため、脆弱性を利用したサイバー攻撃の件数が増加しました。脆弱性は事前に報告され、セキュリティパッチが公開されている物もありましたが、セキュリティパッチを適応していない機器を中心に被害が広がりました。
②中小企業を狙った攻撃
近年になって、大企業を攻撃するための踏み台として中小企業が狙われるケースが相次いでいます。代表的な攻撃には「サプライチェーン攻撃」があり、セキュリティ対策に弱点がある関連企業や取引先に攻撃を仕掛けて不正侵入を行うサイバー攻撃になります。前述した自動車メーカーのサイバー攻撃の事例も「サプライチェーン攻撃」によるものでしたね。このように最近のサイバー攻撃は組織を狙った事例が増えてきています。
Webサイトを守るためのセキュリティ対策って?
Webサイトのセキュリティ対策には様々な種類があります。代表的なものをご紹介していきます。
【 Webサイト セキュリティ対策の種類】
・IPS
IPSとはIntrusion Prevention Systemの略で、サーバーやネットワークを不正な侵入から保護します。あらかじめ登録された正常あるいは異常なパターンをもとに通信パケットを検査し、通信の許可/拒否を判断します。大量のリクエストを送信し、サーバーに負荷をかけWebサイトとしての機能を停止させる攻撃として知られるDDoS攻撃/DoS攻撃は、マルウェアを使った攻撃で、ネットワークを介して感染し、機密情報の漏えいやデータの破壊に繋がる可能性のある攻撃です。この攻撃に対し、不正な侵入から保護するIPSで防ぐことができます。
・WAF
WAFとはWeb Application Firewallの略で、Webサイトの脆弱性を利用する攻撃を検出・防御します。WAFはHTTPという通信で受け渡されるデータの中身(要求行やヘッダ、パラメータ)を検査することで、SQLインジェクションやクロスサイトスクリプティングなどの攻撃からWebサイトを保護します。このようにWebサイト固有の通信の中身まで検査するため、Webサイトを保護するセキュリティ対策としては、WAFが有効だと考えられます。それでは、サイバー攻撃からWebサイトを保護するために、WAFには一体どのような設定が必要になるのでしょうか?
WAFの設定 はとても簡単
WAFを導入する際にほぼ必ずと言って良いほど設定する項目を見ていきましょう。
・SSL証明書設定
前述のようにWAFはサーバーとブラウザとの間に入ってHTTP通信の中身を監視しますが、SSL/TLSを使うHTTPS通信の場合は暗号化された通信をWAFで一度復号する必要があります。この時、ブラウザに対して、通信相手のサーバーが正規のアクセス先であることを示すために、当該サーバー向けに発行されたSSL証明書をWAFへ設定しておきます。また、SSL証明書には公開鍵も添付されており、ブラウザがこれを用いてHTTPS通信を行う形になります。
設定としては、適切な発行機関等からSSL証明書を入手したあとで、そのファイルをWAFへ登録するだけです。
・DNSの設定
DNSとはホスト名(FQDN)とIPアドレスを結びつけるシステムのことです。ブラウザにURLを入力する時にIPアドレスを直接入力することは少ないですよね?覚えづらいIPアドレスの代わりに名前で管理できるようにするのがこのDNSです。WAFを利用しない場合はWebサイトのIPアドレスをDNSへ登録しておきますが、WAFを利用する場合はWAFのIPアドレスをDNSへ登録しておく必要があります。
設定としては、DNSによって管理されているレコードを追加または編集するだけです。
・アクセス元IPアドレスの設定
アクセスしている端末のIPアドレスに応じた制御をWebサイト側で行うシーンをイメージしてみてください。たとえば、国を判定して表示を分けたり、自社オフィスからのアクセスだけ許可したりといった具合です。WAFはHTTPプロキシとして機能するのですが、標準的なHTTPプロキシとしての設定では、Webサイトから見た時のアクセス元IPアドレスは全てWAFのIPアドレスになってしまいます。これでは、前述のような制御は行えなくなってしまいます。そこで、本来のアクセス端末のIPアドレスをWAFが転送するHTTP通信へ付与するという設定が必要になる場合があります。
設定としては、アクセス元IPアドレスを付与するかどうかのON/OFFを指定するだけです。また、アクセス元IPアドレスを標準で付与するWAFもあり、その場合は設定の変更が不要となります。
その他、自社のWebサイトに合わせたシグネチャを設定することで、WAFを使ったセキュリティ対策が可能になります。このようにWAFの設定はとても簡単なのです。
まとめ
本記事では、サイバー攻撃を受けた時の被害の大きさをお伝えし、Webサイトの防御に特化したWAFを使ったセキュリティ対策の必要性を説明しました。そして、サプライチェーン攻撃を使い組織を狙う攻撃が増えているという傾向がわかりました。Webサイトの規模は関係なく、セキュリティ対策の必要性がご理解いただけたと思います。また、WAFを利用した場合にどんな設定をすればいいのか記載しました。簡単にWAFの設定はできそうですよね。
セキュリティが良くわからないという方にも、WAFはすぐに利用でき簡単に設定ができます。Webアプリケーションのセキュリティ対策にはWAFがお勧めです!中小企業を狙った攻撃が増えていますので、ぜひセキュリティ対策のひとつとして検討してみはいかがでしょうか?
当サイトでは、サイバー攻撃を防ぐためのWAFに興味がある方へ、参考になるダウンロード資料をご用意しております。「サイバー攻撃可視化ツールPrimeWAF 基本ガイドブック」は、WAF選定時に抑えるべき機能やポイントがわかる資料になっています。ぜひ資料をダウンロードください。