京都のWebマーケッター松尾が教える「個人情報流出を防ぐためのWebセキュリティ対策」

Web担当者なら絶対に知っておくべき!サイトを守るためのWebセキュリティ対策 3つの盾

皆さん、こんにちは。
京都のWebマーケティングチーム「ウェブライダー」の松尾です。

某社からCPIサーバーに乗り換えたことがきっかけで、このコラムを書かせていただく機会を得ました。

突然ですが、あなたは、自分のWebサイトがサイバー攻撃によって不正アクセスされ、重要な情報や顧客情報が流出してしまった・・・!という事態を想像したことがあるでしょうか?

もし、あなたの会社が中小企業だとしたら、「自分の会社は大企業ほど大きくないし、情報流出なんて関係ないよ」なんて思っていませんか?

そう思っているのであれば、とても危険です・・・!
なぜなら、不正アクセスの被害は、会社の大小関係なく起こっているからです。

というのも、つい先日、小さな会社のECサイトが、顧客のクレジットカード情報の流出によって閉鎖に追い込まれたというニュースが話題になりました。

従業員10人なのに「標的」に サイバー攻撃、中小企業が狙われる理由(ITmediaニュース)

この会社はわずか10名ほどの小さな会社でしたが、自社のECサイトで利用していたシステムが不正アクセスされ、顧客のクレジットカード情報が外部に流出してしまったのです。
その結果、このECサイトは顧客による信用を失い、再開時期が未定のまま閉鎖されてしまいました。


この事例のように、サイバー攻撃のターゲットとなる企業やサイトに、規模は関係ありません。
個人情報流出と聞くと、「大企業や有名なサイトだけが狙われるんじゃないの?」と思われがちですが、実際は違います。
小さな都市の観光情報サイトから、誰もが知っている洋菓子メーカーのサイトまで、サイバー攻撃の標的は無差別なのです。

ちなみに、不正アクセスなどのサイバー攻撃による情報流出事件は、この半年間で報告されたものだけでも50件以上もあるそうです。

この数字を見ると他人事とは思えないですよね・・・。
つまり、WebサイトやWebサービスを運営している人は、明日受けるかもしれないサイバー攻撃に備えて、常日頃からWebセキュリティ対策を行っておいたほうがよいということです。

というわけで、今回は、Webサイト運営に関わるすべての人が知っておくべきWebセキュリティ対策のノウハウについてお話しします。

それではまいりましょう。


●このページの目次

サイバー攻撃で狙われているのは大企業だけではない!

サイバー攻撃とは、攻撃者がインターネットの通信機能を悪用し、企業のサーバーから情報を盗んだり、サイトを改ざんする攻撃を仕掛けてくることを指します。

もし、サイバー攻撃を受けて個人情報が流出してしまうと、ざっと考えるだけでも、以下のような損害が発生します。


  • 被害状況を調査するための費用
  • 顧客の対応にかかる費用(お問い合わせへの返信、謝罪など)
  • 顧客からの損害賠償請求にかかる費用
  • システムの修復と復旧作業にかかる費用

さらには、目に見えるコストだけでなく、目に見えない部分でもボディーブローのような損害が発生します。


  • 信用の失墜による企業イメージダウン
  • ネットに悪評が残ることで発生する機会損失

想像しただけで、恐ろしいほどの損害が発生しますね・・・。
そして、その損害には費用だけでなく、「時間」も含まれています。

時間を奪われるということは、本来の業務ができなくなるということです。
費用がかかるだけでなく、本来の業務にも支障が出る状況では、体力がない会社だと、最悪、倒産に追い込まれる可能性もあります。

冒頭で、実際にサイバー攻撃を受けた会社のお話をしましたが、実は、サイバー攻撃を受けている会社はたくさんあります。

IPA(情報処理推進機構)などで公表されている情報によると、不正アクセスによる被害は半年間で50件以上に上ります。
これは、4日に1件、日本のどこかのサイトが被害を受けている計算になります。

そして、以下の表を見ていただくとわかるように、被害を受けた会社やWebサイトは、その規模も業種も千差万別です。
(出典:Security NEXT 個人情報漏洩事件・事故一覧

2016/3/25 山口県の外国人向け観光情報サイトに不正アクセス - 個人情報が漏洩
2016/3/23 介護情報サイトに不正アクセス - 個人情報流出の可能性
2016/3/11 Tweepieからアカウント情報5.5万件が流出 - 不正ログイン攻撃に悪用される
2016/3/7 グリコネットショップに不正アクセス - 最大8.3万件の顧客情報が漏洩した可能性
2016/3/7 「ビックカメラ」で不正ログイン - ポイント利用被害も
2016/3/4 2015年8月に不正アクセス、クレカ情報が流出か - ネットマーケ支援業者
2016/3/3個人情報持ち出しと不正アクセスで職員を懲戒免職 - 岐阜県
2016/2/29ゴルフ情報メディア「ALBA.Net」に不正アクセス - 個人情報が流出
2016/2/23非公開のゲーマー情報やメアドなどが漏洩 - e-sports SQUARE
2016/2/15フィッシングやマルウェアから狙われる大手動画サービス
2016/2/4通販サイトDBに不正アクセス、カード情報が流出 - セキュリティコードも
2016/2/4学会配布の麻酔台帳ソフトに患者情報が混入 - バグ修正時のデータが残存
2016/2/18支店で顧客情報9500件が所在不明 - 北海道銀行
2016/1/26核関連機関の端末が不正通信 - 核物質防護への影響は否定
2016/1/22ヘルスケア通販サイトからクレカ情報が流出 - セキュリティコードも
2016/1/20アークンへの不正アクセス - 管理者アカウントでログインか
2016/1/13北大のサーバが外部と不正通信 - 情報流出の可能性
2016/1/12上場直後のセキュリティ企業に不正侵入 - 金銭要求で発覚
2016/1/7三菱UFJ銀行の利用者情報流出、調査結果を発表
2015/12/24サンリオタウン、個人情報最大330万人分が一時アクセス可能な状態に
2015/12/14堺市の職員データ持出、あらたに有権者情報68万人分の漏洩が判明
2015/12/10エアコン通販サイトに不正アクセス - クレカ情報流出か
2015/12/1東京ディズニーリゾートの映画館に不正アクセス - セキュリティコード含むクレカ情報が漏洩

この表を見れば、サイバー攻撃による被害はけっして他人事ではない、ということがわかるかと思います。

大企業への攻撃の踏み台として、中小企業が攻撃されるケースも・・・!

何度もいいますが、サイバー攻撃は大企業だけを狙っているわけではありません。

たとえば、大企業のセキュリティが堅牢な場合、攻撃者はその取引先の中小企業を狙ったりもします。
なぜなら、中小企業のセキュリティは大企業に比べて甘く、中小企業のセキュリティを突破すれば、大企業との取引のメールなどを介して、大企業のシステム内部へ侵入しやすいからです。

つまり、攻撃者は、大企業への攻撃の踏み台として、中小企業を最初のターゲットにし、その中小企業のシステムを経由して、大企業に損害を与えようとするのです。

攻撃者は中小企業を踏み台に大企業に損害を与える


コワイですね・・・。

では、サイバー攻撃を防ぐためには、どうすればいいのでしょうか?
そこで必要となってくるのが「Webセキュリティ対策」の知識です。

Webセキュリティを理解しよう

私たちがいつも使っているWebサービスは、個人情報やクレジットカードなどの金融情報を保有しています。
たとえば、AmazonのようなECサイトであれば、多くの人がクレジットカード情報をAmazonに登録していますし、Slackのようなチャットツールでは、日々、シークレットな情報がチャット上で飛び交っています。

そういった情報が外部へ漏洩しないよう、サイバー攻撃を防ぎ、WebサイトやWebサービスのセキュリティを高めるための対策を「Webセキュリティ対策」といいます。

「脆弱性」とはセキュリティ上の欠陥のこと

Webセキュリティ対策では、主にシステムの「脆弱性」を狙った攻撃を防ぐための策を講じます。

「脆弱性」とはコンピュータのOSやソフトウェアにおけるセキュリティ上の欠陥を指し、別名「セキュリティホール」とも呼ばれます。

たとえば、私たちが日頃使っているWebサービスは、人が設計し、人が作り、人が運用しているものです。
そのため、人間の力が絡んでいる以上、“パーフェクトに安全”なシステムは存在せず、設計や開発の段階、もしくは実際に運用をしていく中でミスや欠陥が発生しうる状態にあります。

そして、それらの欠陥は、OSやソフトウェア、ネットワークのシステムなど、様々な場所に存在しています。
よって、なかなか気付きにくいモノだったりするのです。

さて、ここで、脆弱性について分かりやすく解説するために、「住宅」を用いた“たとえ話”をしてみましょう。

ある住宅がありました。
その住宅は、玄関と裏口に鍵がかかります。
住宅の持ち主は、常々、玄関と裏口に鍵をかけておけば安心と思っていました。

しかし、あるとき、その住宅に泥棒が入ってしまいました。
実はその住宅の2階の雨どいには、庭木を剪定するための「はしご」が常に立て掛けられおり、その「はしご」を少し移動させれば、2階の窓から部屋に侵入できたのです。

残念ながら、家主がそのことに気付いたのは、泥棒の侵入を許したあとでした・・・。


このように、一見、セキュリティが万全そうでも、何かをきっかけとして、脆弱性が露呈する場合があります。
そして、脆弱性を見つけた泥棒(攻撃者)はさまざまな手段を使って、その脆弱性を狙って攻撃を仕掛けてきます。

そこで、代表的な攻撃方法をお教えします。

「脆弱性」を狙った代表的な攻撃方法 3つ

攻撃者は脆弱性を見つけると、以下のような攻撃をしてきます。
代表的な攻撃手段を3つご紹介します。

1、SQLインジェクション

ネットショップなどのWebアプリケーションは、お客様がお問い合わせフォームなどに入力したデータをサーバーで受け取り、そのデータをデータベースに登録します。

ただ、もし、そのデータの中に、データベースを動かす言語である「SQL言語」が注入(インジェクション)されていると、Webアプリケーションが意図しない動作をしてしまいます。

たとえば、本来は「オススメのレストランを探して」というリクエストだったはずが、悪意のある「SQL言語」の注入(インジェクション)により、「オススメのレストランを探して。ついでに、このサービスの会員情報も全部教えて」というリクエストになって送信されてしまうのです・・・!

これが「SQLインジェクション」です。

SQLインジェクションを防ぐ対策ができている場合とできていない場合

SQLインジェクションを防ぐためには、ここであげた例のように、SQLとして実行されないように特殊文字を一般的な文字列に変換する方法や、バインド処理を行う方法、他にもこのあとご紹介する「WAF(Webアプリケーションファイアウォール)」などを使う方法があります。
バインド処理を行う方法に関しては、以下の記事をご覧ください。

知らないと怖いWebセキュリティと、CPIサーバーのWAF設定方法

2、XSS(クロスサイトスクリプティング)

“Webアプリケーションが意図していない動作をさせる”という点はSQLインジェクションと同じですが、この「XSS(クロスサイトスクリプティング)」は、データベースではなく、Webページを操作します。

一般的に、Webページを変更・更新する際は、FTPソフトなどを使ってサーバーにログインし、ファイルをアップロードすることでおこないます。
しかし、XSS(クロスサイトスクリプティング)という攻撃は、サーバーにログインせずにページの見せ方や動作までを変えてしまうのです。

このXSS(クロスサイトスクリプティング)は、お問い合わせフォームなどの入力フォームに、悪意のあるスクリプトを送信する攻撃を指します。

たとえば、お問い合わせフォームの「名前」の入力欄に「お名前<script><alert('XSS');></script>」というJavascriptのコードを含む文字列を入力し、送信したとします。
(「<script><alert('XSS');></script>」がJavascriptのコードにあたります)

その際、XSS(クロスサイトスクリプティング)対策が施されていないフォームでは、JavaScriptが作動してしまうのです。
(たとえば、「<script><alert('XSS');></script>」というスクリプトの場合、「XSS」という言葉がポップアップ表示されてしまいます)

上記の例では、 ポップアップが表示されるだけで Webページに悪影響はありません。
しかし、もし、悪意のあるJavaScriptを入力されると、とても危険な状態になることが分かります。

クロスサイトスクリプティング(XSS)を防ぐ方法としては、「<」と「>」などの特殊文字をHTMLと認識させない方法などがあります。

3、CSRF(クロスサイトリクエストフォージェリ)

「CSRF(クロスサイトリクエストフォージェリ)」は、外部サイトからデータを送信する攻撃を指します。

たとえば、お問い合わせフォームを経由して情報を送信する際、HTMLソースを見れば「form」の送信先が分かりますが、その「form」の送信先をコピーして、別のサーバーのWebページに設置してしまえば、そのWebページからもフォームを送信できる場合があります。

そうなれば、外部の無関係なWebページから、大量のデータを本来のフォームへ送り込むことが可能となってしまいます。
たとえば、ボタンひとつで外部のフォームへデータを送信できるようなWebページを作り、そのWebページを不特定多数に向けて公開すれば、何も知らない人たちがボタンを押すたびに、本来のフォームへデータがどんどん送信されてしまうのです・・・。

この攻撃を防ぐためには、お問い合わせフォームなどを作る際に、「入力」「確認」「完了」までの流れにおいて、知らないドメインからの送信ができないような、「秘密の暗号」を設定するなどの対応が必要です。

プログラミングを憶えたての初心者エンジニアが作ったフォームには、この「CSRF(クロスサイトリクエストフォージェリ)」、そして、前述の「SQLインジェクション」「XSS」の対策が施されていないケースがあるので、注意が必要です。

もし、フォームのセキュリティに不安がある場合は、外部のフォームサービスなどを使うとよいでしょう。


いかがでしょうか?
攻撃者は様々な手法を使って攻撃を仕掛けてくるということが分かりましたか?

上記の文章を読んだ方の中には「脆弱性を狙った攻撃は、お問い合わせフォームなどがあるWebサイトだけを狙っているの?」と思われた方がいるかもしれません。

しかし、問題はそう甘くないんです。

なぜなら、お問い合わせフォームなどを使っていなくても、WordPressなどのCMS(コンテンツマネジメントシステム)を使っているだけで危ないケースがあるからです。

どうして、WordPressなどのCMSが危険なのでしょうか?
続けて、その理由をお話しします。

WordPressのアップデートはこまめに行おう

WordPressは利用者がとても多い人気のCMS(コンテンツマネジメントシステム)です。

今、Web上にあるサイトの1/4はWordPressで作られているそうです。(参考:WordPress now powers 25% of the Web(海外サイト)

CMS(コンテンツマネジメントシステム)とは、ユーザーがサイトへアクセスしてきたときに、データベースの中に登録されている情報を、あらかじめ用意されているテンプレートに反映させる形で動的にページ(記事)を作るシステムのことを指します。
HTMLやCSSのことがわからなくてもサイトやブログがカンタンに作れてしまうことから、今、たくさんの人がWordPressをはじめとしたCMSを使ってサイトやブログを立ち上げています。

ただ、このCMSで作られたサイトはひとつ注意点があります。
その注意点とは、データベースとプログラムを連携させて動くため、どうしても、悪意ある攻撃を受けやすくなるという点です。

たとえば、昨年は以下のようなトラブルがありました。

フィンランドのセキュリティリサーチャー Jouko Pynnonen氏は、2015年4月26日(現地時間)、人気のCMS「WordPress」に深刻な脆弱性が存在し、この脆弱性により、何百万ものWebサイトが攻撃の危険にさらされていることを報告しました。

この脆弱性が利用されると、攻撃者は Webサイトの管理者のブラウザ画面上で JavaScriptのコードを実行し、管理者権限を利用してさらなる不正活動を実行することができます。
また、サーバを制御下に置くことも可能です。

WordPress は、「重大なセキュリティリリース」として「WordPress 4.2.1」を公開し、すべてのユーザに最新バージョンに更新するよう促しました。

攻撃者は、この脆弱性を利用して、コメントやフォーラム、ディスカッションを通じて、「クロスサイトスクリプティング(XSS)」を実行することが可能になります。

この手法は、XSSでも「蓄積型XSS」と呼ばれるもので、Webサイトが蓄積しているコンテンツ中にスクリプトを紛れ込ませる、最も危険な種類の攻撃手法です。

この攻撃は、WordPressで作成されたブログやWebサイト上のコメント欄に、HTMLもしくはJavaScriptのコードと64キロバイトのテキストを追加することで実行されます。
このコードは、その後WordPressのデータベースに保存されます。
Webサイトの管理者が、コメントを確認するためにポータルサイトにアクセスすると、スクリプトが実行されます。

引用元: 人気のCMS「WordPress」に深刻な脆弱性が確認される

このように、WordPressを使っているサイトの中には、サイバー攻撃を受け、マルウェアを仕込まれたり、悪意あるサイトに自動的にジャンプするような改ざんを受けるケースがあります。
とくにWordPressはユーザー数が多い分、攻撃対象になりやすいのです。

ただ、WordPress側も手をこまねいているわけはありません。
WordPressはプログラムに脆弱性が見つかった際、優れたエンジニアたちがその脆弱性を迅速に直し、バージョンアップ版を都度配布しているからです。
だから、WordPressを常に最新版にアップデートしていれば(今のWordPressは自動でアップデートされます)、有事の際に危機的な被害になることは少ないのです。

とはいえ、安心しすぎるのも危険です。
なぜなら、WordPressで本当に危険なのは、WordPress本体プログラムではなく、第三者のつくったテーマやプラグインだからです。

WordPressのテーマやプラグインのセキュリティには気をつけよう

先ほど、WordPressに脆弱性が見つかった際は、優れたエンジニアたちが迅速に直し、バージョンアップ版を都度配布しているとお伝えしました。
ただ、その話は、あくまでもWordPress本体プログラムに関するものです。

実は、WordPressの脆弱性問題が取り上げられる多くのケースは、本体プラグラムに関してではなく、サードパーティー製のテーマやプラグインが原因なのです。
サードパーティーのテーマやプラグインは、個人や小さな企業が作っている場合が多く、万全のセキュリティ対策が施されていないケースがあります。
たとえば、2015年には、「All in One SEO Pack」や「Captcha」といった、人気のプラグインに脆弱性が報告されました。

ITのセキュリティに関する情報を発信している「IPA(独立行政法人 情報処理推進機構)」による脆弱性報告レポートを見ても、CMSに関する脆弱性の問題は、本体のプログラムよりテーマやプラグインといった“拡張機能” に関わるケースが多いことがよくわかります。

出典:IPAソフトウェア等の脆弱性関連情報の取扱いに関する活動報告レポート

JVN iPediaに登録されたCMSに関する脆弱性対策情報

ソフトウェア等の脆弱性関連情報に関する届け出状況

サードパーティー製のテーマやプラグインのうち、もっとも気を付けないといけないのが、個人が作っているテーマやプラグインです。
なぜなら、個人の場合、マンパワーの問題があり、有事の際の修正対応が遅くなりがちだからです。
そのため、個人が作ったテーマやプラグインを使う際には注意しましょう。


ここまで、脆弱性に関するお話をしてきました。

脆弱性は至るところに存在し、日頃から危機感をもっておかないといけないということが分かりましたか?

では、ここからはいよいよ、それらの脆弱性に対抗するための「Webセキュリティ対策」についてお話していきます!

レンタルサーバー側で対応可能なWebセキュリティ対策

Webセキュリティを高めるためには、“プログラムまわりで脆弱性対策をおこなうこと”と、“サーバーまわりで脆弱性対策をおこなうこと”のふたつが大切です。

プログラムまわりの脆弱性対策に関しては、プログラミングに関する複雑な話が必要になるため、今回は詳しく触れません。

ただ、安心してください。

レンタルサーバー会社が提供している「防御システム」を導入すれば、プログラムに多少の脆弱性があっても、ある程度セキュリティをカバーしてくれる場合があるんです!

レンタルサーバーの防御システム三種の神器、「ファイアウォール」「IPS」「WAF」

レンタルサーバーの防御システムには、三種の神器と呼ばれる、有名なシステムがあります。

それは、「ファイアウォール」「IPS」「WAF」という3種類のシステムです。

セキュリティに詳しくない方でも、「ファイアウォール」という言葉は聞いたことがあるかもしれません。

ただ、ファイアウォールがどんなことをしてくれるかを知っていますか?
言葉は知っているけれど、実際にはどんな効果があるのかがわからない、という方は多いのではと思います。

というわけで、今回は、それぞれのセキュリティシステムがどういったことをしてくれるのか?を解説しながら、Webセキュリティのトレンドについてお話していきます。

「ファイアウォール」「IPS」「WAF」のそれぞれの役割

1、ファイアウォール

インターネットの通信では、ポートと呼ばれる「道」と、プロトコルという「伝達方法」のふたつのルールによって、文字や画像などのファイルの送受信が行われます。

たとえば、Webページを見るときには「80番ポートをTCPで通信する」と決まっていて、例えるなら「国道80号線をTCPという自動車でファイルを運ぶ」という意味になります。
FTPであれば20、21番のTCP、 DNSなら53番のTCP/UDP、といったルールが決められています。

このポートとプロコトルというのは、サーバー内にたくさん存在しており、上記のようなルールが適用されています。

ただ、このポート、VPSサーバーなどを借りた時は、すべてのポート・プロトコルが「有効な状態」になっています。 つまり、使っていないポートが自由に通り抜けできる状態になっているのです。

もし、あなたが、たくさん部屋のあるビルを建てたとき、管理の目の届かない部屋があれば、きっと常に鍵をかけておきますよね?

「ファイアウォール」とは、まさにその“鍵”の機能を指します。
ファイアウォールは、元々の意味が「防火壁」という意味です。
ポートやプロトコルに対して「使う」「使わない」のルール付けをして、不要なポートやプロトコルを閉じてしまい、「ポートスキャン」と呼ばれる“どこか侵入できそうなポートを見つけようとする攻撃”を阻止するのです。

たとえば、WordPressを使って作られたWebページがSSL化されているとして、そのページを公開するだけであれば、80、443、20、21、25 の5つのポートが開いていればよいので、他のポートは閉じておくとよいでしょう。

ちなみに、共用サーバーでは、ファイアウォールの設定などはサーバー会社がおこなってくれているので、とくに意識をする必要はありません。

専用サーバーやVPS、クラウドサービスのサーバーでは、ソフトウェアとしてインストールされている「iptables」を使えば、サーバーのポートやプロトコル、特定のIPアドレスからのアクセスを遮断する事ができます。

また、サーバーの「iptables」ではなく、専用のファイアウォール機器(有料)を利用すれば、サーバーへのアクセスが発生する前に不正なアクセスを阻止してくれます。

CPIの専用サーバープランにおけるファイアウォールの説明

2、侵入防止システム:IPS(Intrusion Prevention System)

サーバーへのアクセスには、Webページの閲覧やメールの送受信といった一般的な通信のほか、ときにはサーバーに侵入してみようとする不正な通信もあります。

その不正な通信の中には、たとえば、1秒間に数百・数千といったアクセスをする、いわゆる「DoS攻撃」などがあります。

「IPS」はそんな不正な通信をリアルタイムに感知し、その不正なアクセスを破棄したり、アクセス元のIPアドレスからの通信を遮断するといった機能を持っています。

リアルタイムに動作をするため、サーバーへの負荷が増えてアクセスができなくなったり、攻撃によってサーバーのセキュリティホールが破られて侵入される、といったことを未然に防ぐことが出来ます。

ファイアウォールはあくまでもポートを制限するセキュリティ対策であるのに対して、こちらのIPSはファイアウォールで防いでいないポートを狙った不正なアクセスを制御します。

より高度なネットワークセキュリティが求められる場合には、ファイアウォールと一緒に利用すると効果的でしょう。

CPIの専用サーバープランにおけるIPSの説明

3、WAF(Web Application Firewall)

ファイアウォールで不要なポートを閉じたり、IPSで「DoS攻撃」を防いだとしても、サイバー攻撃が止まるわけではありません。
なぜなら、上記の脆弱性の解説で挙げた「SQLインジェクション」や「XSS(クロスサイトスクリプティング)」などは防げないからです。

なぜなら、たとえば、80番ポートに1度だけアクセスをするだけでも、SQLインジェクションやXSSといった攻撃は可能です。
そのため、IPSでも「通常のアクセス」なのか「不正なアクセス」なのかを判断する事ができません。

そこで役に立つのが「WAF(Webアプリケーションファイアウォール)」です。

WAFは、アクセスされた際のパラメータや、サーバーがユーザーに返そうとしているデータをリアルタイムに監視し、蓄積されているデータベースを元に「このデータは、ハッキングのパターンだ!」と判断をした場合、データの送受信を停止して、情報の流出などを未然に防御する仕組みです。

・・・ただ、従来のWAFは導入費用が100万円以上かかり、月々のランニングコストもかなり高額だったため、大企業しか導入できないケースがほとんどでした。

しかし、2、3年前に「クラウド型WAF」が登場し、一気に状況が変わったのです!

クラウド型WAFが登場し、WAF導入のランニングコストは大幅に下がった

クラウド型WAFは、導入に100万以上もしたWAFを多くの企業にとって身近なものにしてくれました。

ちなみに、このクラウド型WAF、従来のWAFとは以下の仕様が違います。

●従来までのWAF

WAFは、SQLインジェクションやXSSの攻撃を未然に防ぐ素晴らしい機能ですが、パソコンに入れる「ウイルス対策」と同じように、日々巧妙になる不正アクセスから守るには毎日のメンテナンスが必要です。

具体的には、攻撃パターンなどを認識する「ブラックリストファイル」の更新などを、自分たちでおこなう必要があります。
この作業は非常に面倒であり、セキュリティの知識なども必要なため、サーバーの管理者には大きな負担となります。

  • 攻撃パターンなどを認識する「ブラックリストファイル」の更新などを自分たちで対応する必要がある
  • ログを解析して随時ポリシーを変更する必要があるため、内部にセキュリティの専門家が必要
  • 日々発生する大量のログを保管、運用するコストがかかる
  • 案件やWebアプリケーションに合わせてカスタマイズする必要があり、導入費用が100万円以上と高額

●クラウド型WAF

クラウド型のWAFは、サーバーにインストールをするのではなく、ファイアウォールと同じように、サーバーに到達する手前に、クラウドサービスで提供をされているWAFを通過させるようにします。
(参考:https://www.scutum.jp/outline/saas_waf.html

WAFの「ブラックリストファイル」の更新などは、クラウドサービスを提供している会社が行うため、WAFのメンテナンスなどの作業は必要ありません。


このクラウド型WAFの登場により、WAF導入のランニングコストは下がり、その結果、レンタルサーバー会社もユーザーに提供しているレンタルサーバーへの装備を検討するようになりました。

現在、一部のレンタルサーバー会社の共用サーバーでは、WAFが標準装備されているところもあります。

たとえば、CPIの共用サーバー「ACE01」でも、WAFが標準装備されています。
CPIが採用しているWAFはホストインストール型に分類されるものですが、特徴はクラウド型WAFと同じです。

しかも、自動的に「ブラックリストファイル」の更新が行われる「SiteGuard Lite」を利用しているので、面倒なメンテナンスは必要なく、安全なサーバー運用が可能になります。

CPIサーバーの場合、サーバー契約時に最初からWAFが有効にされているので安心です。
もし、有効・無効を切り替えたい場合には、コントロールパネルからカンタンに切り変えができます。

CPIの共用サーバーにおける「WAF」の説明

CPIの専用サーバーでも、有料のオプションサービスを利用することで、「ブラックリストファイル」を自動更新をしてくれるWAFを安価に利用する事ができます。

CPIの専用サーバーにおける「WAF」の説明

CPIの共用サーバーならカンタンにWAFの有効・無効を切り変えられる

まとめ

いかがでしたか?

Webのセキュリティ対策でもっとも大事なのは「予防」です。

冒頭でお話したとおり、いつ、どんなことがきっかけであなたのWebサイトのセキュリティが破られるかわからない時代となっています。
ただ、被害に遭ってからでは遅いのです。

そのため、あくまでも個人的な意見ですが、コストを抑えつつ、Webセキュリティ対策を重視したWebサイト運営をするのであれば、CPIの共用サーバーの利用を選択肢のひとつに入れておくといいと思います。
WAFが利用できることを考えると、非常にコストパフォーマンスの高い共用サーバーです。


CPIの共用レンタルサーバープラン


今はレンタルサーバーもセキュリティレベルで選ぶ時代。
「備えあれば憂い無し」。
ぜひ、今回のノウハウを憶えておいていただき、リスクのないWebサイト運営を進めてください。

もし、Webセキュリティに関して不明な点があれば、CPIサーバーのお問い合わせフォームから問い合わせてみてもよいでしょう。


トップへ