Main

WAFを選ぶ際、チェックすべき4つのポイントとは

近年、企業のWebアプリケーションの脆弱性を狙ったサイバー攻撃が多発し、その有用なセキュリティ対策としてWAF(ワフ)を導入する企業が増えています。現在色々な製品が市場にでていますが、どういった基準で選定すべきなのか、今回はWAFを選ぶ際に見るべき4つのポイントを中心にお届けします。

 

ウェブ脅威を可視化し遮断するWAF(ワフ)

WAFはWeb Application Firewallの略で、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護するセキュリティ対策です。Webサーバーの前段に設置して通信を解析・検査してWebサイトを保護し、不正ログインを防ぐ役割で用いられます。Webサイトやインターネット上のサービスは今や重要な社会インフラとなっています。オンラインショッピング、ネットバンキングを始め、ゲーム、SNSなどエンターテインメントでの利用、企業間での受発注などビジネスでの活用等、Webサイトの活用はどんどん広がっています。そうした社会インフラとしての拡大に伴い、Webサイトはサイバー攻撃の格好のターゲットにもなっています。

引用:JPCERT/CC

 一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)による最新のインシデント報告対応レポート(2020年4月1日~2020年6月30日)によると、フィッシングサイトに分類されるインシデントが73.9%、スキャンに分類されるシステムの弱点を探索するインシデントが13.8%、Webサイトの改ざんによるインシデントが4.1%を占めています。ここで脅威の1位に位置するフィッシングサイトのインシデントは、この期間で3,839件発生しています。クロスサイトスクリプティング(Cross-site Scripting、XSS)攻撃やSQLインジェクション等を用いて信頼できるWebサイトに悪意のあるスクリプトを埋め込んだ後、フィッシングサイトへ訪問者を誘導し、マルウェアに感染させたり秘密情報・個人情報の漏えいを起こしたりします。また、対象のウェブサイトを改ざんすることも可能です。企業がもしこうした攻撃を受けた場合の被害はかなり深刻なものとなりますが、WAFを用いる事でこうした高度なサイバー攻撃を防御することも可能になります。

 

WAFを選ぶ際に見るべき4つのポイント

1. 初期費用・運用コスト

まずは、初期費用と運用コストを合わせた総合的なコストを考慮する必要があります。導入にかかる費用に関しては、導入時の初期費用だけに目を奪われないよう注意する必要があります。自社での運用が発生する場合や、稼動状況に応じてコストが膨らむケースも想定されます。そのため、コストは導入と運用のトータルでのコストを比較するようにします。オンプレミス型や複雑な製品等、自社での運用が前提のものは、自社内で人員リソースを確保する費用も発生します。クラウド型のWAFなら専用ハードウェアを必要としないため、導入が簡単で運用の手間も少ないと言われています。従業員の運用スキルの有無も考慮してタイプも選定しましょう。

2. セキュリティのクオリティ

自社に合わせたWAFを選ぶためには、最適なセキュリティレベルで稼動できるかどうかも重要です。セキュリティレベルが低いと、導入しても意味がありませんし、高度過ぎると場合によっては正常なアクセスを遮断してしまい、結果としてWebサイトやアプリケーションの利便性を損なう危険性があります。またセキュリティ強度が高くなるほど、誤検知率も高くなる可能性があります。検知率、誤検知率、性能面において総合的に優れた製品を選ぶようにしましょう。

3. サポート体制

緊急時のサポート体制が整った企業の製品であることは言うまでもありません。WAFを適切に運用するためには高度な知識が必要です。また、セキュリティ製品という性質上、未知の事象に遭遇する場面も多く存在します。何かあった時、しっかりしたサポートが受けられるのかどうかは事前にしっかり確認しておく必要があります。

4. 導入実績

導入実績が豊富な製品は最新のセキュリティに対応するノウハウ・経験が蓄積されています。実績に比例して、ノウハウやナレッジが十分蓄積されていると考えられます。多くの顧客に選ばれているということは、多種多様な業種のセキュリティニーズに応え、質の高い製品とサービスを提供できているという証でもあります。実績が多い製品は、セキュリティ製品として信頼されていると見ることができるため、確認すべきポイントの一つです。

 

さいごに

Webサイトを守るセキュリティ対策としてよく知られたものに、FW(ファイアウォール)やIPS(不正侵入防御)があります。すでにFWやIPSによる対策をしていても、対策は十分と言えません。FWはネットワークレベルでのセキュリティ対策です。送信元と送信先の情報(IPアドレスやポート番号など)を元にアクセスを制限します。ポートスキャンなどの外部公開が不要なサービスを狙った通信は制限できますが、通信の中身までは検査しません。80番ポートや443番ポートへの通信など、正常な通信を装った攻撃には対処できません。IPSはプラットフォームレベルでのセキュリティ対策です。OSやミドルウェアのぜい弱性を悪用した攻撃や、ファイル共有サービスへの攻撃など、さまざまな種類の攻撃を検査・防御します。しかし、Webアプリケーションへの攻撃は多種多様に増えており、アプリケーション固有の脆弱性を狙ったもの等、高度化した攻撃を防ぎきれないケースがあります。WAFはFWやIPSよりも上位のアプリケーションレベルでのセキュリティ対策で、Webアプリケーションに特化した防御対策です。WAFとFW、IPSはそれぞれ異なるネットワークレベルで機能します。WAFを導入すればFWやIPSが不要になるといったことではなく、どれが欠けてもセキュリティレベルが落ちるため、それぞれで補完しあうことが必要です。WAFを選ぶ際は、ここであげたポイントを基に、コスト、セキュリティ、サポート、導入実績で優れた製品を選ぶようにしましょう。

 

導入実績1万件を超えるクラウドブリック(Cloudbric)

クラウドブリック(Cloudbric)はクラウド型WAFサービスで、アジア・太平洋マーケットシェア1位のWAF「WAPPLES」のロジックベースの検知エンジンを搭載し、既知の攻撃パターンだけでなく高精度な新種の攻撃にも対応可能です。独自のロジックベース検知エンジンを使用し検知率、誤検知率、性能面にて優位性を確保しています。その技術力は世界の専門家にも認められ、全世界13,500以上、国内5,500以上のユーザに支持されています。
従来のシグネチャー基盤のWAFでは検知できない未知や亜種の攻撃に対応し、不審なトラフィックが発見されると事前に設定されたクラウドブリックの約26種の検知ルールをベースに攻撃を類型別に分析及び検知します。シグネチャーを使用しないため、頻繁なシグネチャーのアップデートなしに脅威を防止することができます。高セキュリティながらリーズナブルな価格で導入可能であり、追加料金不要でWAF・DDoS対策・無償SSL証明書が利用できます。24時間365日安心の監視体制と専門家による手厚いサポートも受けられます。既に導入実績も1万件を超え、高品質な独自セキュリティ、コスト、サポート体制と全てのポイントにおいて高い評価を得ています。

partnership_cloudbric

クラウドブリック、BLUE STYLEとパートナーシップ締結…安全なECサイト運営を後押し

情報セキュリティ企業のペンタセキュリティシステムズ株式会社(日本法人代表取締役社長 陳 貞喜、https://www.pentasecurity.co.jp、以下ペンタセキュリティ、韓国本社、ヒューストン/米国法人) は、8月11日にECサイトを企画・運用する株式会社BLUE STYLE(以下BLUE STYLE)とパートナーシップを締結し、クラウド型WAF「クラウドブリック(Cloudbric)」の提供による安全なWebサイトの運用管理に向けて協力していくと発表した。

新型コロナウイルス感染症(COVID-19)の影響でテレワークの普及が急速に進む中、企業のITシステムのクラウド化も本格的に進められている。また、ビジネスにおけるオンラインシフトもより一層進行し、WebサイトやECサイトの重要性がさらに高まっている。しかし、このような急速な変化に対する備えが未だ不十分である状況の中、日々高度化するサイバー脅威にさらされているため、企業にはセキュリティ対策のさらなる強化が求められる。

そこで、ペンタセキュリティはEC-CUBEのエバンジェリストとして様々な情報サイト及びECサイトを制作・管理するBLUE STYLEとパートナーシップを締結し、Webサイトを構築・運用する際に必要となるWebセキュリティ対策としてクラウドブリックを提供する。

クラウドブリックは、ロジックベースの検知エンジンを搭載し高い精度のセキュリティを提供するクラウド型WAFサービスである。高度なセキュリティを必要とする企業ニーズに応じ、各企業に合わせてカスタマイズされたセキュリティサービスを提供している。また、プランに関係なく全ての機能を利用できる高いコストパフォーマンスを実現する。BLUE STYLEは、Webサイトで発生しうる各種脆弱性へのセキュリティ対策としてクラウドブリックを提案し、安全なWebサイト環境の実現を目指す。そして、セキュリティへの専門性をさらに高め、顧客の満足度向上およびビジネスパフォーマンス向上に貢献していく。

ペンタセキュリティ日本法人代表取締役社長の陳は、「ビジネスのオンライン化が進むにつれ、さらなる活性化が予想されるWeb基盤ビジネスにおいてセキュリティが肝となるだろう。」とし、「今回のパートナーシップを通じて、クラウドブリックの高いセキュリティ技術とBLUE STYLEのWebサイト構築運用能力など、両社の長所を活かし、お客様により安心してWebビジネスを推進していただけるよう、高度なセキュリティを提供していきたい。」と述べた。

 

■BLUE STYLE

2013年に個人事業BLUE STYLEを立ち上げ、2017年に株式会社BLUE STYLEに法人化する。代表は9年の EC の運用経験から、2013年にEC-CUBE公式エバンジェリストとして任命され、交流会の立上げや講演を通してサービスの普及に従事。2016年にはbaserCMSの公式エバンジェリストに就任し、ECに限らない、様々なサイトの構築・運用を得意としている。また、代表自身の子育て経験から「子育て子供服の課題」に着目し、自社サービスとして2015年に子供服のシェアリングエコノミーLynksをプレリリース。2016年には福岡スタートアップセレクションにおいてグローバルチャレンジ賞を受賞。課題の普遍性、大きさを確信し、2018年5月に Lynks を正式リリース。

■ペンタセキュリティシステムズ

ペンタセキュリティは創業23年目を迎えた情報セキュリティ専門企業であり、DB 暗号化・Webセキュリティ・認証セキュリティなどの企業情報セキュリティのための製品やサービスを研究・開発し、優れたセキュリティを認められた。優秀な技術力を基にし、国内はもちろん、海外市場でも技術力を認められ、多数受賞している。IoTセキュリティやコネクテッドカー向けのセキュリティ関連技術の開発にも力を注いており、最近はブロックチェーン研究所を新設し、ブロックチェーン技術を活用した製品およびサービスの商用化に集中している。
URL:https://www.pentasecurity.co.jp/

cloudbric blog post

【Webセミナー】クラウドブリック新規機能「Black IP遮断機能」の説明会のご案内

この度、クラウドブリック(Cloudbric)は、「Black IP 遮断機能」を追加させて頂きました。つきまして、パートナー様及びエンドユーザ様向けのWebセミナーを開催いたします。性能向上およびセキュリティリスクの削減に役立つ「Black IP遮断機能」についてご案内します。詳細資料を持って本機能を説明させて頂きますので、開催日程をご確認の上、お申込みください。皆様のご参加を心よりお待ちしております。

テーマ
クラウドブリックの新規機能として追加された「Black IP遮断機能」について
 
場所:オンライン(※Zoomウェビナーにてライブ配信で行われます。)
 
参加料:無料

開催日時及びお申込み

【パートナー様向け】

日時 お申込み
8月19日(水) 11:00~11:30 お申込みはこちら
8月21日(金) 16:00~16:30 お申込みはこちら
9月1日(火) 11:00~11:30 お申込みはこちら
9月3日(木) 14:00~14:30 お申込みはこちら

【エンドユーザ様向け】

日時 お申込み
8月26日(水) 11:00~11:30 お申込みはこちら
8月28日(金) 16:00~16:30 お申込みはこちら
9月8日(火) 11:00~11:30 お申込みはこちら
9月10日(木) 14:00~14:30 お申込みはこちら
cloudbric blog post

【2020年下半期】クラウドブリック Webセミナー開催のご案内

2020年下半期、クラウドブリック(Cloudbric)定期Webセミナーを開催いたします。
本セミナーは、クラウドブリックの新規機能の使い方、仕様変更のご案内を初め、セキュリティトレンド情報や、クラウドブリック導入事例など、パートナー様及びエンドユーザ様に役立つ情報をお届け致します。
 
■場所:オンライン(※Zoomウェビナーにてライブ配信で行われます。)

■参加料:無料

■お申込み:こちらをクリックしてください。

■日時・セミナー概要

日時 テーマ 内容
8月・9月 【新規機能追加のご案内】
Black IP遮断機能
性能向上およびセキュリティリスクの削減に役立つ「Black IP遮断機能」についてご案内致します。
9月 【サービスポリシーのご案内】
ユーザ情報取得シート・運営中作業プロセス
改正されたユーザ情報取得シートのご案内と共に、運用中発生する作業の費用・プロセスについてご案内致します。
10月 【新規機能追加のご案内】
Advanced DDoS対策(エンドユーザ様向け)
より高度化したクラウドブリックのDDoS対策についてご案内致します。
10月 【Cloudbric 活用法】
ユーザ設定(エンドユーザ様向け)
クラウドブリックのユーザインターフェースをもっと有効に活用して頂くために、「ユーザ設定」メニューで操作できる設定についてご案内致します。
11月 【Cloudbric 活用法】
二要素認証・Captcha
ユーザインターフェースのアカウントのセキュリティ強化に役立つ「二要素認証」、L7レイヤーに対する不正アクセス対策に役立つ「Captcha」機能についてご案内致します。
11月 【Cloudbric 活用法】
エンドユーザ管理ツール(パートナー様向け)
パートナー様の管理性・利便性のために提供している「エンドユーザ管理ツール」の基本的な使い方をご案内致します。
12月 Cloudbric Roadmap クラウドブリックのロードマップをお見せしながら、今年実現できたことや来年以降実現していくことについてご紹介いたします。
12月 導入実績・導入事例のご紹介(パートナー様向け) クラウドブリックの2020年の導入実績および導入事例についてご紹介いたします。
12月 今年のクラウドブリック WAF(エンドユーザ様向け) 2020年の新規機能、仕様変更など、今年のクラウドブリック WAFにあった変化についてご案内致します。
allie-gouPqaau9Qo-unsplash

【Webセミナー】第1回 パートナー様向け クラウドブリック新規機能の説明会のご案内

この度、クラウドブリック(Cloudbric) は、パートナー様の管理性および利便性の向上のため、パートナ様専用管理ページにて「自動メール送信機能」を追加させて頂きました。つきましては、Webセミナーならびに資料を以て本機能を説明させて頂きますので、開催日程をご確認の上、ご参加をお申し込み下さい。

テーマ
パートナ様専用管理ページにて追加された新規機能の説明:自動メール送信機能

  • 目的及び概要
  • 設定方法
  • メールテンプレート

場所:オンライン
※Zoomウェビナーにてライブ配信で行われます。

参加料:無料

開催日程およびお申し込み[/vc_column_text][mk_table]

No. 日時 お申し込み
7月1日(水) 15:00~16:00 こちらからお申込ください。
7月7日(火) 11:00~12:00 こちらからお申込ください。
7月9日(木) 15:00~16:00 こちらからお申込ください。
7月14日(火) 11:00~12:00 こちらからお申込ください。
7月16日(木) 14:00~15:00 こちらからお申込ください。
Webアプリケーションに潜む脆弱性TOP10を分析! 『OWASP Top 10 2017』とその対策

最新のWebアプリケーション脆弱性Top 10をまとめた「OWASP Top 10」とそのセキュリティ対策を紹介

『OWASP Top 10』をご存知でしょうか? これはOWASP(Open Web Application Security Project:オワスプ)が選定した最も重大なWebアプリケーション・セキュリティ・リスクのリストで、2~3年に一度発表されています。その時期に特に流行していて大きな被害が続出しており、Webセキュリティの警戒をしなければいけない項目がリスティングされています。今回は最新の『OWASP Top 10 2017』の内容を精査し、流行しているWebセキュリティの危機とその対策をご紹介します。

 

OWASP Top 10とは

OWASPはアメリカ東部メリーランド州に本部を持つ非営利組織であり、Webアプリケーションのセキュリティに関する研究や、ガイドラインの作成、脆弱性診断ツールの開発、イベントの開催等、多岐に渡る活動を2001年から行っています。OWASPは Webに関する脆弱性やリスク、攻撃手法、事例、情報漏えい、悪性ファイルやスクリプト、攻撃コードやマルウェアなどを研究しています。そして『OWASP Top 10』はWebセキュリティ上で多発する脅威の中で、その危険度が最も高いと判断された10個のトピックがまとめられたものです。

『OWASP Top 10』では、「悪用のしやすさ」「弱点の蔓延度」「弱点の検出のしやすさ」「技術面への影響」「ビジネスへの影響」の観点で、それぞれに点数をつけリスクの高さを可視化し、危険度の高い10種類の脆弱性を整理しています。具体的にはそれぞれの指針を3段階で評価し、「悪用のしやすさ」「蔓延度」「検出のしやすさ」の平均を求め、その数値と「技術面への影響」の数値の積を求めたものを総得点としています。『OWASP Top 10』は2~3年に1回更新されており、2020年現在の最新版は2017年に発表された「OWASP Top 10 2017」となります。「OWASP Top 10 2017」は、アプリケーションセキュリティの専門企業から寄せられた40以上のデータと、500人以上の個人による業界調査に基づいており、数百の組織の10万以上に上る実際のアプリケーションおよびAPIから集められた脆弱性データをもとにしています。

OWASP 2017で挙げられているTop 10の脅威は次になります。

  • A1:2017:インジェクション
  • A2:2017:認証の不備
  • A3:2017:機微な情報の露出
  • A4:2017:XML外部エンティティ参照(XXE)
  • A5:2017:アクセス制御の不備
  • A6:2017:不適切なセキュリティ設定
  • A7:2017:クロスサイト・スクリプティング(XSS)
  • A8:2017:安全でないデシリアライゼーション
  • A9:2017:既知の脆弱性のあるコンポーネントの使用
  • A10:2017:不十分なロギングとモニタリング


引用:OWASP

こちらは「OWASP Top 10 2013」と「OWASP Top 10 2017」のリストです。OWASP 2017で取り上げられた問題点のほとんどが2013でも見られ、その内容もまた酷似しています。これは WebアプリケーションのセキュリティがWebの進歩にまだ十分追いついていないことを示しています。次項ではTop 10の脅威について、1つずつ解説します。

 

OWASP 2017の10大脅威

A1: インジェクション

インジェクション攻撃(Injection Attack)とはソフトウェアへの攻撃手法の一つで、外部から文字列の入力を受け付けるプログラムに対し開発者の想定外の不正な文字列を与え、システムを乗っ取ったりデータの改ざんを行ったりする手法です。インジェクションは「悪用のしやすさ」が最高の3、「蔓延度」が2となっていて、依然警戒すべき脅威のひとつです。最も一般的でよく知られたインジェクション攻撃はSQLインジェクション(SQLi)で、攻撃者がデータベースのテーブルを公開するSQLステートメントを挿入することなどを指します。他にもディレクトリシステムを攻撃するLDAPインジェクション、不正なOSコマンドを送信するOSコマンド・インジェクションなどがあります。OWASPの脅威では1位になっていますが、「検出のしやすさ」としては3の評価で、コードを調べることで簡単に発見できるとレポートされています。

A2: 認証の不備

以前は「認証の不備とセッション管理」と呼ばれていました。認証やセッション管理に関連するアプリケーションの機能は、不適切に実装されていることがあります。不適切な実装により攻撃者はパスワード、鍵、セッショントークンを侵害でき、他の実装上の欠陥を利用して一時的または永続的に他のユーザの認証情報を取得します。強力な認証方式とセッション管理を実装し、ユーザが確実に本人であるかを検証しなければいけません。

A3: 機密データの露出

多くのウェブアプリケーションやAPIは財務情報、健康情報や個人情報といった重要な情報を適切に保護していません。攻撃者はこのように適切に保護されていないデータを窃取または改ざんして、クレジットカード詐欺、個人情報の窃取やその他の犯罪を行う可能性があります。OWASPは機密データについて、保存されているものも一時的なものもすべて暗号化し、できる限り早く廃棄することを強く推奨しています。

A4: XML外部実態参照(XXE)

XMLプロセッサはXMLドキュメントに指定された外部ファイルのコンテンツをロードするように構成されていることがよくあります。この脆弱性は、DoSやディレクトリトラバーサル(パストラバーサル)、SSRF(Server Side Request Forgery / サーバサイドリクエストフォージェリ)、Port Scan(ポートスキャン)といった攻撃にも繋がる脆弱性です。OWASPはXMLプロセッサのこの機能を無効化するよう推奨しています。

A5: アクセス制御の不備

アクセス制御の不備とは、ユーザが自分の権限以上の機能を実行できる場合や他のユーザの情報にアクセスできる場合を意味します。攻撃者はこのタイプの脆弱性を悪用して他のユーザのアカウントへのアクセス、機密ファイルの表示、他のユーザのデータの変更、アクセス権の変更など、権限のない機能やデータにアクセスすることができます。OWASPは機能へのアクセスを信頼したユーザに限定する「deny by default」ルールの徹底、アクセス制御チェックの実装等を推奨しています。

A6: セキュリティ設定のミス

不適切なセキュリティの設定は通常、安全でないデフォルト設定、不完全またはアドホックな設定、公開されたクラウドストレージ、不適切な設定のHTTPヘッダ、機微な情報を含む冗長なエラーメッセージによりもたらされます。すべてのオペレーティングシステム、フレームワーク、ライブラリ、アプリケーションを安全に設定するだけでなく、それらに適切なタイミングでパッチを適用することやアップグレードをすることが求められます。

A7: クロスサイト・スクリプティング(XSS)

クロスサイト・スクリプティングは、Webサイト閲覧者側がWebページを制作できる掲示板やTwitter等の動的サイトに対して、自身が制作した不正なスクリプトを挿入するサイバー攻撃です。攻撃者は信頼性の高いサイト上のページを変更することにより、信頼されていないサイトと通信して重要なデータを公開したり、マルウェアを拡散させたりする可能性があります。

A8: 安全でないデシリアライゼーション

安全でないデシリアライゼーション(Insecure Deserialization)は、リモートからのコード実行を誘発します。デシリアライゼーションの欠陥によるリモートからのコード実行に至らない場合でさえ、リプレイ攻撃やインジェクション攻撃、権限昇格といった攻撃にこの脆弱性を用います。OWASPはデシリアライズするオブジェクトの種類を制限するか信頼されていないオブジェクトを一切デシリアライズしないことを推奨しています。

A9: 機知の脆弱性を持つコンポーネントの使用

ライブラリ、フレームワークやその他ソフトウェアモジュールといったコンポーネントは、アプリケーションと同等の権限で動いています。脆弱性のあるコンポーネントが悪用されると、深刻な情報損失やサーバの乗っ取りにつながります。既知の脆弱性があるコンポーネントを利用しているアプリケーションやAPIは、アプリケーションの防御を損ない、結果的に様々な攻撃や悪影響を受けることになります。

A10: 不十分なロギングと監視

不十分なロギングとモニタリングは、インシデントレスポンスに組み込まれていないか、あるいは非効率なインテグレーションになっている可能性があります。その場合、攻撃者がシステムをさらに攻撃したり、攻撃を継続できたりするようにし、さらには他のシステムにも攻撃範囲を拡げデータを改竄、破棄、破壊することを可能にします。

 

OWASP Top 10の脅威へ対抗するWAF製品

多くの企業ではセキュリティ対策としてファイアウォールを導入しています。しかし、通常のファイアウォールは主にシステム及びネットワークを保護する機能であって、ここに挙げられているようなWebアプリケーションへの攻撃を保護するには限界があります。一般的にはWebアプリケーションファイアウォール(WAF)を導入することでWebアプリケーションに対する攻撃を防ぐことができます。

OWASPが発表した10大脆弱性にすべて対応した「クラウドブリック(Cloudbric)」を導入することで、これらの脆弱性に対し対策を講ずることができます。さらに、クラウド型で提供されるため、企業の規模に関係なく簡単に導入することができます。システム及びネットワークを保護するファイアウォールと併せてWAFを導入しWebサーバーを保護することで、二重のセキュリティで昨今の脅威からWebサイトを保護し情報漏えい等の被害を防ぐことが可能です。

WordPressで作成されたWebサイト、セキュリティ対策は万全ですか?

WordPressで作成されたWebサイト、セキュリティ対策は万全ですか?

Webサイトを作成するために使われているCMS(Contents Management System)ツール。オープンソースCMSといえば、WordPress(ワードプレス)、 Joomla (ジュームラ)、 Drupal (ドルーパル)などが広く使われていますが、世界的に高いシェアを誇っているのがWordPressです。WebサイトにおけるWordPress利用率は30%を超えているという報告もあります。

WordPressは日本でも企業、個人を問わず多く使われています。WordPressが提供するテーマ、プラグイン等、様々な機能を活用すれば誰でも簡単にWebサイトを制作することができます。しかし、誰でも手軽に編集することができるからこそ、セキュリティ問題も付き物になっています。ペンタセキュリティは毎四半期ごとに最新Web脆弱性を分析した結果をまとめたトレンドレポートを公開しておりますが、その結果によると2019年第2四半期から最も多く報告されたのが、WordPressに関する脆弱性ということが分かります。それでは、実際にはWordPressにどのようなセキュリティ問題があるのか、そしてどう対応すればいいのかをご紹介します。

 

セキュリティ問題とその対策

1. WordPressで制作されたといった事実を隠す

WordPressで作成されたWebサイトの場合、普通Webサイト管理者はドメインの後に「wp-admin」 または 「wp-login.php」をつけることでWordPressの管理画面にアクセスすることができます。つまり、ハッカーもドメインに少し手を加えるだけで容易にWordPressの管理画面にアクセスでき、その状況を知ることができるということです。しかし裏を返せば、このような情報を隠すことだけでもセキュリティ面で一定の成果を上げることができるということになります。「Hide My WP Plugin」などのプラグインを使うことで、管理画面のURLやその他「WordPressを利用している」という情報を隠し、簡単に対策をとることができます。

2. 便利なログイン機能はハッカーにも有効。ログインの試行回数を制限する

WordPressは普通のWebサイトと違ってパスワードに有効期限がないため、間違ったパスワードをいくら入力してもログイン機能がロックされません。Webサイト管理者にとっては便利な機能ですが、これはハッカーにも有効で、この脆弱性を狙い、成功するまで無限の数のパスワードで試し続けることができます。これに対応するには、「Limit Login Attempts」などログインの試行回数を制限するプラグインが有効です。

また前述の様に、ドメインの後に「wp-admin」 または 「wp-login.php」をつけることでWordPressの管理画面にアクセスすることができますが、このURLを変えることでけでもハッカーからの無差別攻撃の試しを防ぐことができます。 他にも、Webサイト管理者のアカウント名を変える、特定のディレクトリを閲覧専用に設定する、ディレクトリリスティングを非活性化する等の対策をとることができます。

3. 旧バージョンは弱点が丸見え。常に最新バージョンを使おう

WordPressは他のソフトウェアと同様に定期的なアップデートを実施しています。しかし、使用しているプラグインの互換性などの問題で、アップデートをすぐさま実行するWebサイト管理者はほんの少しにすぎません。ハッカーは、このように新規パッチが発表されたにもかかわらず、旧バージョンを使用しているページを狙います。アップデートは主に旧バージョンの弱点を補完するものであるので、逆に旧バージョンの弱点をさらすものにもなるのです。その為、できる限り迅速なアップデートの適用をおすすめします。

4. Web脆弱性を狙った多数の攻撃。WAFで対応しよう

冒頭で述べたように、WordPressでは多数のWeb脆弱性が発見されており、またそれを狙った攻撃も多発しています。 2020年第1四半期のWeb脆弱性トレンドレポートによると、WordPressのWeb脆弱性を狙った攻撃には以下の3種類がありました。

  • Cross Site Scripting: 特定のWebサイトからブラウザを通じ情報を奪取する攻撃
  • Authentication Bypass: 認証を迂回し、管理者コンソールへ不正アクセスする攻撃
  • CSV Injection: データをCSVファイルに出力するとき、不正な命令語を差し込む攻撃

このようにWeb脆弱性を狙ったサイバー攻撃を防ぐためには、セキュリティ対策を講じる必要があります。特に、WAF(Webアプリケーションファイアウォール)を導入することも一つの有効な対策となります。WAFはWeb脆弱性に対する攻撃に対応するだけではなく、ハッカーがWebサイトにアクセスすること自体を防ぐことができます。つまりWordPressのようなアプリケーション自体に脆弱性が存在する場合も、それによる被害を事前に防ぐことができるということです。

 

最後に

WordPressは業界随一のCMSツールですが、セキュリティ面で問題を抱えていることも事実です。決して「安全ではない」わけではありませんが、Webサイト管理者の不注意によっては脆弱性を抱えることになるでしょう。しかし、簡単な対策をとることでより安全に使用することができます。ご紹介した対策を念頭に置き、安全にWordPressを運用しましょう!

最新Web脆弱性トレンドレポートの情報はこちら

中小企業のためのセキュリティ対策、クラウド型セキュリティサービス

中小企業のためのセキュリティ対策、クラウド型セキュリティサービス

新型コロナウイルスに関する緊急事態宣言が5月末に延長するなど、以違とは違った生活になったり、社会的に混乱な状況が続いています。変わっていく日常だけに目が行きがちですが、こういう時こそセキュリティ対策に気を付けなければいけません。実際、新型コロナウイルスの影響でオンライン教育やWeb会議などが拡大される中、それを狙ったような攻撃も続々発生しています。

オンライン教育に冷や水、ベネッセHD子会社で不正アクセス
ベネッセホールディングス(HD)子会社、Classi(クラッシー)が不正アクセスを受けて情報を流出した可能性があると発表した4月13日、インターネット上のSNSなどには高校生や教員とみられる利用者の不満の声が相次いだ。新型コロナウイルスの感染拡大でオンライン教育が広がる中、利便性の裏側に潜むリスクをあらためて示した。…教員や保護者を含む全利用者約122万人分のユーザーIDと、パスワードを暗号化した文字列、2031人の教員が作成した自己紹介文が流出した可能性がある。…「1人当たり3万3000円」。学校のIT化などに関する調査・研究や情報発信を行う教育ネットワーク情報セキュリティ推進委員会(ISEN)が試算した、生徒の成績情報が流出した場合の損害賠償額だ。
引用:日経ビジネス

このような被害を防ぐためには、セキュリティ対策が必須です。しかしセキュリティ対策となると、大規模な装備を用いて大勢の人が対策する姿を浮かべがちであり、なかなか手が出せないという声が多く聞かれます。そんな方にお勧めするのが、「クラウド型セキュリティサービス」です。

 

クラウド型セキュリティサービスとは

クラウド型セキュリティサービスは、セキュリティ担当者を配置しづらい、もしくは多くの予算を省けない中小企業に適切なセキュリティサービスとして利用されるようになってきました。

クラウド型セキュリティサービスはSaaS型セキュリティサービス、またはSECaaS(Security as a Service、サービスとしてのセキュリテイ)とも呼ばれます。

まず、SaaSとは何かをご紹介しましょう。SaaSとは「Software as a Service」の略で、言葉通り、従来に高価な製品やソフトウェアを導入し利用してきたサービスを、インターネットのクラウド上で簡単に利用できるようにするということです。代表的な例としてはグーグルの「Gmail」等が挙げられます。厳密にはクラウドサービスの中にSaaS等が含まれるという形ですが、同じようなものとして捉えても無理はないでしょう。

つまり、SaaS型セキュリティサービス、すなわちクラウド型セキュリティサービスとは、既存の高度なセキュリティ対策をインターネット経由で利用する形です。SECaaSという言葉通り「セキュリティーをサービスとして受ける」ので機材を導入する必要がなく、使用した分だけ払えるのでリーズナブルな料金で利用できるのが特徴です。クラウド型セキュリティサービスとしてはWebアプリケーションファイアウォール(WAF)、ネットワークセキュリティ、メールのセキュリティ、暗号化等が主に提供されます。

 

クラウド型セキュリティサービスの機能と選び方

Webセキュリティにおいて重要な要素には、Webアプリケーションファイアウォールと暗号化が挙げられます。Webアプリケーションファイアウォール(WAF)とは、ハッカーの攻撃を内部に侵入させぬべくそれを検知し遮断するものです。一方、暗号化はWebサイトのデータが奪取されたとしてもその悪用を防ぐものです。Webサイトの管理者はこれらに関するクラウド型セキュリティサービスを導入することにより、安全なWeb環境を構築できるだけではなくセキュリティへの手間を省くことができるので、一石二鳥の効果を得られると言えるでしょう。

それでは、クラウド型セキュリティサービスを選ぶときにはどのような部分を考慮すべきでしょうか。まず、複数のサービスを導入する場合、相互に互換性が保障されているかを検討しなければいけません。サービス間の衝突が発生した場合、さらなる脅威にさらされる場合があるからです。その他にも、サービスが主なセキュリティ案件に対するログを提供するのか、カスタマーサービスが有効であり信頼できるのかなどを考慮する必要があります。

ペンタセキュリティはクラウド型セキュリティサービスとして、クラウド型WAF(Webアプリケーションファイアウォール)であるクラウドブリック(Cloudbric)を提供しております。Webサイト防衛機能だけではなく、暗号化のためのSSL証明書サービスなど多様な機能と信頼性を併せ持っております。ぜひ、導入をご検討ください。

Webサイト最適化:表示速度とセキュリティを両立する5つのコツ

Webサイト最適化:表示速度とセキュリティを両立する5つのコツ

Webサイト運営はもはやビジネスにおいて欠かせないものとなってきました。最近は、HTMLやCSSといった専門的な知識がなくても、様々なCMS(Contents Management System、コンテンツ・マネジメント・システム)ツールを利用することで、誰でも簡単にWebサイトを構築できます。潜在顧客を発掘するチャンスを無駄にしないためには、Webサイトを作る際に「Webサイトの表示速度」と「セキュリティ」の両立を考慮することが重要です。これらはSEO的にもGoogleの検索順位を上げる重大な要因となります。本日はWebサイトの表示速度とセキュリティを両立できる5つの方法について説明していきたいと思います。

 

1.画像及びメディアファイルの最適化

Webページを構成するデータの中で最もデータ量が多いのが画像データです。http archiveによると、動画はWebページの重さの平均25%を占めています。画像サイズが大きいほどWebページの表示速度が遅くなるため、Web用に画像最適化を行うことが重要です。Webサイト速度の改善につながる画像及びメディアファイル最適化方法について説明します。

  1. 画像を保存する形式としてよく使われるのは「JPG」と「PNG」です。それぞれ特徴はありますが、一般的にPNGよりJPGの方が軽量なので、なるべくJPGで保存するのがおすすめです。
  2. GIFは容量が大きいため、ページロードに時間がかかります。形式を変更し容量を小さくするか、または控えた方がいいでしょう。
  3. HTML上で画像の直接横幅と縦幅を設定するより、画像をWeb用のサイズに変更してから保存した方がWebサイトの最適化に役立ちます。
  4. 画像や動画などをサーバに直接保存するより、YoutubeやSlideshareといった共有サイトにアップロードし、コンテンツシェア機能を活用することもおすすめです。

 

2.専用ホスティングを利用する

Webサイトオンライン上で公開するために使われる「ホスティングサービス」。ホスティングの種類には複数のユーザが1つのサーバを共同で利用する「共有ホスティング」、1ユーザーで1つのサーバを専有している「専用ホスティング」があります。共有ホスティングは専用ホスティングに比べ、運用コストが低いかもしれませんが、予想外の費用が掛かる可能性もあります。その費用とは潜在顧客を獲得するのにかかる費用のことを言います。

同じサーバー内の他のユーザの利用量が増え高負荷状態になったり、多数のアクセスが発生するサイトが存在すると、別のユーザまで速度低下になってしまう場合があります。

潜在顧客の多くがWebサイトを通じて資料調査などを行うといった調査結果もありますので、サーバーに障害が発生することは潜在顧客を失うことと言っても過言ではありません。専用ホスティングを利用することでこのような問題を防げます。

 

3.Webサイトを常時SSL化する

SSL(Secure Sockets Layer)とは インターネット上でのセキュア通信のための通信プロトコルのことです。常時SSL未対応のWebサイトの場合「http://」から始まり、SSL化されたWebサイトはSecure(セキュア)を意味する「S」が加わり、「https://」から始まります。HTTPSが通信速度が低下させるといった話がありましたが、それは昔の話で、「HTTP/2」という通信方法に高速化になってきています。これは、Webページのデータをサーバーから取得するための技術で、容量の大きなデータやWebページを速やかに表示させます。

 

4.CDNを使用する

CDN(Content Delivery Network、コンテンツデリバリネットワーク)とはWebコンテンツをインターネット経由で配信するために最適化されたネットワークのことを言います。CDNを使用することによってサーバーが不安定になる可能性が減るため、速度を改善することができます。CDNはユーザに最も近い所にあるキャッシュサーバーからデータを配信する仕組みで、データのダウンロードが安定され、Webページの表示速度が速くなります。さらに、CDNはサイバー攻撃、特にDDoS攻撃からWebサイトを守るセキュリティ対策にもなります。

5.WAF(Webアプリケーションファイアウォール)を利用する

限られた予算で専用ホスティングを利用することが不可能であれば、WAFを導入することで速度とセキュリティを両立できます。一般的にWAF導入はWebサイトを安全に保護するセキュリティ対策として考えられていますが、どのように速度を上げることができるのでしょうか。スパムボット(Spambot)と悪意のある攻撃をフィルタリングしないとWebサイトのサーバーリソースが過度に消費され、Webサイトの全般的な速度とパフォーマンスの低下につながります。しかし、WAFを導入すると確認されたトラフィックのみ通過させ、セキュリティと速度の両立が実現できるということです。

Webサイトのパフォーマンスとセキュリティがお客様の信頼を得ることにつながります。Webサイトを構築する際にはWebサイトの表示速度とセキュリティを考慮したうえで適した最適化方法を選ぶ必要があります。画像の最適化、専用ホスティングの利用、常時SSL化、CDNの使用、WAF導入に至るまで、様々なWebサイト最適化方法を適用していきましょう。

不正アクセス

不正アクセスのターゲットの約9割は一般企業!被害事例と有効な対策について

不正アクセスとは、本来アクセス権限を持たない者が、サーバや情報システムの内部へ侵入を行う行為です。その結果、サーバや情報システムが停止してしまったり、重要情報が漏えいしてしまったりと、企業や組織の業務やブランド・イメージなどに大きな影響を及ぼします。インターネットは世界中とつながっているため、不正アクセスは世界中のどこからでも行われる可能性があります。 今回は深刻な不正アクセス被害についてのレポートと、その対策についてまとめてみました。

 

不正アクセスによる被害とは

  • 情報の流出

不正アクセスされると、企業が管理している外部に漏えいしてはいけない機密データや個人情報などが流出します。個人だけでなくアカウントが保持している他人の機密データの内容までもが流出する危険があります。その結果、通販サイト等のアカウントに不正アクセスされることでクレジットカード情報等が流出してしまい、商品を勝手に購入されたり、ポイントが不正に使用されてしまうといった被害が起こります。金融系のサービスでは、正規ユーザーのIDやパスワードなどを入手した第三者が勝手にログインし、不正に送金を行うなど、ユーザーの預金が消失するケースもあります。

  • ウェブサイトやファイルの改ざん

攻撃者は、インターネットを通じて企業や組織のサーバや情報システムに侵入を試みます。手口としては、ツールを用いてアカウント情報を窃取するための総当たり攻撃を行ったり、OSやソフトウェアの脆弱性、設定の不備など利用して攻撃することが知られています。

攻撃者は侵入に成功すると、その中にあるホームページの内容を書き換えたり、保存されている顧客情報や機密情報を窃取したり、重要なファイルを消去したりすることもあります。 ホームページの書き換えは、いたずらでまったく関係ない画像を掲載するものから、最近はホームページにあるリンクやファイルの参照先を不正に書き換え、接続してきた利用者をウイルスに感染させたり、パソコンから情報を盗み取ったりするものが増えています。ホームページが書き換えの被害を受けるということは、その企業や組織のセキュリティ対策が不十分であることを示すことになり、社会に対するイメージ低下は避けられません。

  • 他のシステムへの攻撃の踏み台にされる

不正アクセスによって侵入されたシステムは、攻撃者がその後いつでもアクセスできるように、バックドアと呼ばれる裏口を作られてしまうことが知られています。攻撃者は、そのシステムを踏み台として、さらに組織の内部に侵入しようとしたり、そのシステムからインターネットを通じて外部の他の組織を攻撃したりすることもあります。

この場合に多く見られる例は、攻撃者によってボット ウイルスを送り込まれ、自分がボットネットの一員となってしまうというものです。ボットネットとは、攻撃者によって制御を奪われたコンピュータの集まりで、数千~数十万というネットワークから構成されていることもあります。攻撃者はボットに一斉に指令を送り、外部の他の組織に対して大規模なDDoS攻撃を行ったり、スパムメールを送信したりすることもあります。

 

後をたたないWebサイトへの不正アクセス被害事例

象印から個人情報漏洩 フィッシング被害も – 日経XTECH 2020年1月23日

象印マホービンのグループ会社が運営する通販サイト「象印でショッピング」が不正アクセスを受け、最大28万件の個人情報が漏洩した。個人情報には、名前や住所、メールアドレスが含まれていたが、クレジットカード情報は含まれていなかった。システムの脆弱性を悪用されたとしている

漏洩した個人情報を使ったとみられるフィッシング被害も発生した。偽の当選通知が被害者に届き、そこには当選した金券の送料を負担してほしいと書かれていた。この送料の支払い画面にクレジットカード情報を入力させる手口だった。支払い画面には、同サイトのWebページを改ざんしたものが使われた。

出典:https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/031800050/012000011/

JR東の「えきねっとアプリ」 3729人が不正ログイン被害  – 日本経済新聞 2020年3月3日

JR東日本は3日、在来線の指定席列車の予約や購入がチケットレスでできるスマートフォンアプリの「えきねっとアプリ」で不正ログインの被害があったと発表した。2日の午後5時30分ごろから3日の午後0時37分までの間に3729人のえきねっと会員が不正ログインされた。
不正ログインのあった期間中に、13人分の氏名や住所、電話番号や下4ケタのクレジットカード番号の閲覧があった。13人のうち、自身で会員情報を見ていた利用者もおり、不正ログインによる閲覧があったかどうかは調査中という。JR東は不正ログインのあった3729人分のパスワードを強制的に変更して通知したほか、セキュリティー対策を強化した。

出典:https://www.nikkei.com/article/DGXMZO56358570T00C20A3TJC000/

「宅ふぁいる便」不正アクセスで480万件のユーザー情報流出 メアド・パスワードも – Tmedia NEWS 2019年1月26日

大容量ファイル送信サービス「宅ふぁいる便」を運営するオージス総研は1月26日、同サービスの一部サーバが不正アクセスを受け、約480万件の顧客情報が流出したことを確認したと発表した。流出した情報には、メールアドレスやログインパスワードなどが含まれているという。23日からサービスを一時停止しており、再開のめどは立っていない。

出典:https://www.itmedia.co.jp/news/articles/1901/26/news015.html

宅ふぁいる便は不正アクセス事件以降サービスを休止して、再発防止を含めた対策を1年ほど検討していましたが、結局2020年3月31日をもって、サービスの終了を決定しました。理由としては、サービス再開には相当程度のシステムの再構築が必要であり、再構築に要する時間・費用等を踏まえ総合的に判断した結果、サービスを終了せざるえないとの判断になったと公式ページで説明しています。

このような不正アクセスの事例は後をたちません。 情報処理推進機構(IPA)が毎年発表している『情報セキュリティ10大脅威 2019』でも、組織に対する脅威の7位に「インターネットサービスからの個人情報の窃取」がランクインしています。インターネットサービスの脆弱性が悪用され、インターネットサービス内に登録されている個人情報やクレジットカード情報等の重要な情報を窃取される被害が発生しています。攻撃者は窃取した情報を悪用して不審なメールを送信したり、クレジットカードを不正利用したりします。

一度不正アクセスされクリティカルな情報漏えいが発生してしまうと、その為の対策費用や賠償が重くのしかかって、最悪宅ふぁいる便のようにサービスの停止や終了につながります。

 

Webサイトへの不正アクセスを防ぐには?

総務省は過去5年間の「不正アクセス行為の発生状況」において、平成30年における不正アクセス行為の認知件数注1は1,486件であり前年から284件上昇したと報告しています。このうちターゲットとなったのは一般企業が1,314件でほとんどの不正アクセスが企業であることを示しています。企業において、不正アクセスによる被害を回避するには一般的に次のような対策をとることがすすめられています。

  • セキュリティソフトやファイアウォールを活用する
  • OSやソフトを最新の状態にアップデートする
  • 社内のモバイル機器の管理を徹底する
  • 社内無線LANルーターのセキュリティを高める

セキュリティソフトやファイヤーウォールを導入している企業は多いと思いますが、それでも毎年被害が減ることはありません。一般的なファイヤーウォールは外部から侵入してくる不正なアクセスを防御するためのセキュリティ製品や機能のことを言います。ポート番号、IPアドレス、プロトコル、通信方向を制御するルールに基づいて通信の許可/拒否を判断します。しかし通常のファイヤーウォールは「通信の中身」まで識別することはできません。

一方でWAF(ウェブアプリケーションファイアウォール)はHTTPプロトコルでやり取りされる要求行や要求ヘッダ、要求本文(パラメータの名前、パラメータの値)などを検査することで、SQLインジェクションなどのウェブアプリケーションの脆弱性を悪用する攻撃からWebサイトを保護するという役割を果たします。以前はコストも高かったり、運用が難しい等の理由で導入を見送る企業も多かったですが、現在はホスト型、ゲートウェイ型の他クラウド型のWAFも登場し、専門知識がなくても簡単に運用できる製品が出ています。クラウド型は専用ハードウェアを用意する必要や、物理的なネットワーク構成を変更する必要がなく、WAF運用をベンダーに任せられるのがメリットです。

サイバー攻撃の手法は多様化し、従来の技術だけでは防御することが難しくなってきています。サイバー攻撃に特化したWAFを導入し、高度な防御体制を構築していくことをお勧めします。