キヤノンMJ/サイバーセキュリティ情報局
ウェブサーバーが抱えるセキュリティリスクとその対策
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「Webサイトのサーバーが抱えるセキュリティリスクとその対策とは? 」を再編集したものです。
コロナ禍やデジタルシフトの流れを受け、集客や売上につながるウェブサイトは事業運営の要ともなりつつある。一方、ウェブサイトの重要性が増すにつれ、ウェブサーバーがサイバー攻撃の対象として狙われている。この記事では、あらためてウェブサイトの仕組みを考えるとともに、ウェブサーバーが抱えるセキュリティリスクとその対策を解説する。
ウェブサイトを狙うサイバー攻撃が増加傾向に
コロナ禍の影響で対面のビジネスが難しくなる一方、ウェブサイト経由のマーケティングや営業活動がより強化されつつある。外出自粛の影響を受け、ECサイトの売上も増加傾向にある。経済産業省が行なった「令和2年度 電子商取引に関する市場調査」では、物販系分野の消費者向けEC市場規模は、前年比21.71%増の12兆2333億円に達したと報告された。
ウェブサイトの重要性が増すにつれて、それを標的としたサイバー攻撃も増加している。2020年第3四半期にIPA(情報処理推進機構)へ寄せられた不正ログインに関する相談は、四半期から59.4%増加した。マルウェアなどの事案も含め、全体の相談件数は83.3%と急増している。
ウェブサイトのセキュリティ対策を講じるにあたり、大きく分けて以下4つの観点から検討が必要となる。
1) アプリケーション
アプリケーションは、ウェブブラウザーからアクセスがあった際にコンテンツを表示する役割を果たす。検索機能のように、ユーザーの入力に従って動的に内容を変化させたり、ビジネスロジックを実行したりする機能も含まれる。アカウントを発行してログインさせる仕組みを持つウェブサイトも少なくない。データの入出力や認証・認可に不備があると、不正アクセスや情報漏えいにつながる可能性がある。
2) サーバー
ウェブブラウザーからのアクセスに対して応答するコンピューターや、そのコンピューター上で処理を担うソフトウェア、あるいはハードウェアを指す。サーバー上で動作するOSやミドルウェアに脆弱性があると、攻撃者から標的とされる恐れがある。サーバーの詳細な仕組みについては後述する。
3) ネットワーク
ウェブブラウザーとサーバー間でデータをやり取りするための通信経路となる。イレギュラーな大量パケットがもたらされる通信や不正な通信を遮断するために、ファイアウォールやIPS/IDS、ルーターなどの機器が用いられる。
4) そのほかのインフラ要素
社内向け・社外向けといった用途に合わせ、オンプレミスとクラウド環境の併用、あるいは、複数のクラウド環境を利用するなど、ウェブサイトを運用する環境も複雑化している。クラウド事業者と責任範囲を明確にした上で、ネットワーク全体のセキュリティ対策を検討する必要に迫られている。
ウェブサイトの運営で必要なセキュリティ対策とは?
https://eset-info.canon-its.jp/malware_info/special/detail/210511.html
サーバーのセキュリティ強化の重要性
先述のとおり、ウェブサイトのセキュリティは複数の観点から総合的な対策が求められる。この記事では、なかでもサーバーのセキュリティについて解説する。サーバーがサイバー攻撃に遭うと、その被害は大きくなりやすい。例えば、サーバーが不正アクセスされてしまうと、ウェブサイトのコンテンツが改ざんされたり、踏み台にされたりしてほかのサーバーへの攻撃に加担してしまう恐れがある。
また、アプリケーションはサーバー上に格納されているため、サーバーが稼働しなければウェブサイトの機能は失われる。そして、サーバー上のデータ送受信の役割を担うネットワークも、サーバーに不具合があれば、その用途を果たせなくなる。
ウェブサイトを支えるサーバーの仕組み
サーバーはその機能・役割に応じて複数の種類に分けられる。ウェブサイト運用においては、以下が代表的なものだ。それぞれ、インストールされているミドルウェアの種類により名称が異なる。
1) ウェブサーバー
ウェブブラウザーからリクエストを受けた際に、ページ生成の材料となるHTMLデータや画像、装飾のためのCSSや画面上での動作を行なうJavaScriptなど、ウェブサイトを構成するデータを送信する役割を担う。通信データの暗号化やアクセス制御を行なう場合もある。ウェブサーバーとして、一般的にApacheやNginxといったミドルウェアが用いられる。HTTPサーバーと呼ばれることもある。
2) アプリケーションサーバー
ウェブブラウザーへのアクセスに呼応し、Javaなどのプログラムで動的なウェブサイトを生成する。ビジネスロジックを実装したプログラムを稼働させるサーバーで、Tomcatなどのミドルウェアが用いられる。サーバーによっては、単独で静的なデータの送受信を行なうウェブサーバーのように用いられることもある。
3) DB(データベース)サーバー
アプリケーションで用いられるデータを格納する。ウェブブラウザーからのリクエストに応じ、アプリケーションサーバーと連携して、データの検索や編集の機能を提供する。MySQLやPostgreSQLといったデータベース管理システムが広く使われている。
最近では、サーバーの役割をより細分化させた構成で構築するウェブサイトも存在する。大量のアクセスを想定し、サーバーの負荷を軽減するためのCDN(Content Delivery Network)サーバーや、API(Application Programming Interface)のリクエスト頻度が高い場合、専用で処理するAPIサーバーなども組み合わされるケースがある。
以前は1台の物理的なサーバーごとにひとつの役割を担わせる構成も見られた。しかし、最近はサーバーのスペックが強化されたり、仮想化が普及したりといった環境の変化により、サーバー内の領域を仮想的に区切って複数のミドルウェアをインストールする構成が一般化してきた。ただし、仮想化が一般的になっても、今なおこれらの構成がベースとなるため、サーバーの種類や仕組みについては適切に把握しておきたい。
サーバーに関連するセキュリティリスク
事業におけるウェブサイトの重要性が高まるにつれ、サーバーを標的にする事例も増えている。具体的には、以下のような手口を用いてサーバーへの攻撃が行なわれる傾向にある。
1) ウェブサイトの改ざん
アプリケーションやサーバーの脆弱性を突いて、ウェブサイトの内容を書き換えてしまう。マルウェアが埋め込まれて、ウェブサイトの訪問者に被害を与えてしまう場合もある。
2) ポートスキャン
サーバーが外部のコンピューターと通信する接続口をポートと呼ぶ。攻撃者は所有者が意図せず公開しているポートを探索し、不正アクセスやサーバーの乗っ取り、データの破壊や窃取を試みる。
3) SQLインジェクション
SQLはデータベースの読み出しや書き込みに使われる言語である。ウェブサイトの入力フォームなどに不正なSQLコマンドを入力し、データの破壊や窃取、ウェブサイトの改ざんが行なわれる。
4) クロスサイトスクリプティング
脆弱性のあるウェブサイトから悪意のあるウェブサイトへ誘導し、個人情報を詐取したり、マルウェアに感染させたりする。本物のウェブサイトが書き換えられる、あるいは、フィッシング詐欺のページが表示されてしまい、攻撃者に加担してしまうケースがある。
5) DDoS攻撃
複数のコンピューターから標的となるウェブサイトへ大量のパケットを送信して過剰な負荷を与えることで、ウェブサイトの停止へ追い込む。ウェブサイト運営者としては、標的となるリスクとともに、踏み台にされてほかのウェブサイトへの攻撃へ悪用されるリスクも考慮する必要がある。
6) ブルートフォース攻撃
アカウントのパスワードを総当たり方式で解読する。短く、類推されやすいパスワードを設定していると、解読される危険性が高まる。不正アクセスや情報漏えいをはじめ、管理者用パスワードが解読されてしまえば、ウェブサイトの改ざんなどが行なわれ、被害が拡大する。
7) ゼロデイ攻撃
OSやミドルウェアなどをはじめ、プログラムの未知の脆弱性を突いた攻撃を指す。開発元も気づいていない脆弱性を突かれるため、防御は困難を極める。侵入されることを前提に、速やかに攻撃を検知し、被害の最小化を目指して対応する仕組みが求められる。
セキュリティ対策を進める上では、上記のような、いわゆるサイバー攻撃と呼ばれるもの以外にも、管理体制の不備が招く情報漏えいなども考慮する必要がある。
サーバーのセキュリティ対策
サーバーのセキュリティリスクを低減するための対策として、IPAでは「安全なウェブサイトの運用管理に向けての20ヶ条 ~セキュリティ対策のチェックポイント~」を公開している。以下に、その中からいくつかのポイントを抜粋する。
1) サーバー上のOSやミドルウェア、アプリケーションの更新
ウェブサイトは、さまざまなソフトウェアで構成されている。それらの修正プログラムが公表された際は、できるだけ早く適用し、脆弱性を解消しなければならない。ただし、アップデートしたことで今まで動作していたアプリケーションが動作しなくなることもあるため、アップデートの前には十分な検証が必要になる。
2) 不要なアプリケーション、サービスの削除
サーバー上で普段使用していないサービスが起動したままだと、脆弱性があっても気づかずに悪用されてしまう恐れがある。ウェブサイトに関連する必要最低限のもの以外は停止、あるいは削除しておきたい。
3) 開発やテスト時に発行したアカウントの適切な管理
アカウントごとにアクセス権限の制御を適用するのは重要であるが、一方で開発やテスト時に発行したアカウントが放置されてしまう恐れがある。悪用されるリスクを低減させるため、開発完了時などにはアカウントの一覧を見返して、不要なものは削除しておきたい。
4) ファイル、ディレクトリへの適切なアクセス制御
第三者に意図せず非公開のファイルを閲覧されたり、プログラムを実行されたりするリスクがある。特に、ウェブサイトの設定ファイルや個人情報を格納したファイルは、インターネット上からアクセスできないよう、取り扱いには十分に注意したい。
5) ウェブサイト運用に用いるツールの適切な活用
ウェブサイトの脆弱性を検査するツールなどを活用すると、安全、かつ効率的にウェブサイトを運用できる。操作性や効率性を考慮し、適切なツールの活用を図りたい。
6) サーバーログの取得と保管
ウェブサイトに関係して、ウェブサイトへのアクセスやアプリケーションの挙動、データベース操作などのログを取得することができる。ログを取得しておけば、セキュリティインシデントの発生時やサーバーの故障時に原因究明につながりやすい。また、不正アクセスの疑いがある不審な動きを検知するきっかけにもなり得る。
最近ではクラウドサーバーやレンタルサーバーを利用してウェブサイトを運用する企業が多いが、その場合には提供事業者のセキュリティポリシーを十分に確認する必要がある。
一般的に、クラウド事業者であればサーバーを冗長構成にするなど、十分なセキュリティ対策がとられているはずだ。しかし、裏付けのない過度な信頼を寄せてしまうと、クラウド事業者にクリティカルな問題が生じた際に、自社の重要なデータを失う結果につながりかねない。
そして、ウェブサイト制作でオープンソースのCMS(Content Management System)であるWordPressを採用している企業も少なくないだろう。WordPressもサイバー攻撃の標的になるリスクがあるため、適切な対策を講じなければならない。
今一度、おさらいしておきたいWordPressのセキュリティ
https://eset-info.canon-its.jp/malware_info/special/detail/210120.html
ウェブサイトの根幹となるサーバーを保護するために
ウェブサイトの心臓部とも言えるサーバーへのセキュリティ侵害を防ぐためには、不正な通信を遮断する方法も有効となる。以下では、ネットワークにおける異なる層で防御や検知を行なう仕組みを解説する。
1) ファイアウォール
ネットワークを対象とした基礎的なセキュリティ対策であり、IPアドレスやポート番号でアクセスを制限し、ポートスキャンなどの攻撃を防ぐ。もともとはハードウェアの導入が前提であったが、最近ではクラウド型のサービスも増えている。
2) IPS(不正侵入防止システム)、IDS(不正侵入検知システム)
主にOSやミドルウェアを対象にセキュリティ対策を講じるのがIPS、IDSと呼ばれるシステムだ。既知の攻撃の検出や異常な通信の検知によって、多様化する攻撃に対応できる。ファイアウォールでは防御できない、DoS攻撃などの防御に有効となる。
3) WAF(ウェブ・アプリケーション・ファイアウォール)
ウェブアプリケーションを対象に対策を講じるソリューションとなる。ファイアウォールやIPS、IDSでは検知が難しいとされるSQLインジェクションやクロスサイトスクリプティングといった攻撃を検知、遮断する。ウェブサーバーに導入するホスト型や、ネットワーク上に機器を設定するアプライアンス型に加えて、インターネット経由で利用するクラウド型に大別される。
また、セキュリティを強化する手段としてリバースプロキシの活用も検討の余地がある。リバースプロキシは、ウェブブラウザーからアクセスがあった際に、ウェブサーバーへ直接アクセスさせず、中継する機能を持つ。中継段階で、IPアドレス制限やマルウェアスキャンなどのセキュリティ対策を施すことができるのがメリットだ。加えて、負荷分散やSSL処理の高速化など、サイト品質を向上させるメリットもある。
リバースプロキシとプロキシの違いとは?それぞれのサーバーの仕組みは?
https://eset-info.canon-its.jp/malware_info/special/detail/201021.html
あらゆる業務やサービスがオンラインへ向かうデジタルシフトの影響もあり、企業におけるウェブサイトの重要性が増している。クラウド周辺の技術革新もあり、ウェブサイトの構築自体は容易になってきた。しかし、セキュリティを堅持しながらウェブサイトを運用する難易度は、かつてないほどに高まっているのが実情だ。取り得る対策を施し、サーバーを安全に保護していくことは、事業継続において今後もより一層重要な課題となっていくことだろう。
この記事の編集者は以下の記事もオススメしています
-
デジタル
サイバー攻撃のリスクを軽減するため、OSINT(オープンソース・インテリジェンス)を活用せよ! -
デジタル
中小企業で起こり得るサイバー攻撃と、それに対して講じるべき現実的な対策 -
デジタル
アンチウイルスだけでは防げない高度化するサイバー攻撃、セキュリティソフトが備える機能を紹介 -
デジタル
自社のウェブサイトを守るのに最適なセキュリティ対策を解説 -
デジタル
ESET、マイクロソフトのウェブサーバーソフトウェアに仕掛けられる新たなバックドア「IISpy」を検出・分析 -
デジタル
企業を狙う「サイバーアタックサーフェス」のリスクを軽減 -
デジタル
検索エンジンの結果ページを操作するトロイの木馬「IISerpent」を解説