【検証結果も】Webサイトの脅威とWAFの重要性
更新日 : 2024年08月07日
サイバー攻撃は被害者になることもあれば、気付かないうちに攻撃へ加担してしまい加害者になることもあります。本記事では、Webサイトを狙ったサイバー攻撃の特徴や、それらから守るための手段としてのWAFの重要性および導入で気を付けたいポイントを解説します。実際にどれくらいサイバー攻撃を受けるのかを検証した内容についても触れていますので、Webセキュリティ向上に関心がある企業のセキュリティ担当者にお読みいただきたい内容です。 本記事の内容は、2023年3月に行った講演を基にしています。現時点でのセキュリティ脅威の動向をすべて反映しているわけではありませんので、ご了承ください。 |
目次 |
Webサイトを狙った攻撃
ほとんどの企業は自社のWebサイトを運営していますが、これらのWebサイトを狙ったサイバー攻撃は古くから存在します。サイバー攻撃をきっかけとした個人情報漏えいのニュースは、一度は聞いたことがあるかと思います。個人情報が漏えいする原因は多岐にわたりますが、その中でもWebサイトを狙った攻撃による被害は少なくありません。
実際に、2022年にはコンサルティングサービスを提供している企業のWebサイトが攻撃され会員情報が流出したり、ソフトウェア開発企業のWebサイトが改ざんされたりなどさまざまな被害が発生しています。このようなWebサイトを狙ったサイバー攻撃の事例は、セキュリティインシデントをまとめているWebサイトで、詳しい事例を見ることができます。では攻撃者が狙う、もしくは狙われやすいWebサイトはどのような特徴があるのでしょうか。
攻撃者が狙うWebサイトの特徴
顧客情報を扱う大手企業のWebサイトが攻撃されやすいと思われがちです。確かに、サイバー攻撃はそうしたWebサイトを狙うケースもありますが、攻撃者の意図によっては、顧客情報を扱っていなかったり、有名ではない企業のWebサイトも攻撃対象となることがあります。攻撃者の動機は主に以下の4つに分類されます。
- 特定の会社を狙った攻撃:ターゲットの企業が事前に特定されており、攻撃者にはそれに対する明確な意図が存在します。
- ユーザー情報の取得:ECサイトなど会員情報を有しているWebサイトを標的にします。
- Webサイトの改ざん:脆弱性がありそう、または、改ざんしてもすぐには発覚しなそうなWebサイトを対象とします。
- 愉快犯:脆弱性がありそうなWebサイトを狙います。
このように複数の狙われ方があるため、「自分たちのWebサイトは安全」と過信することは危険です。次に、Webサイトにインシデントが発生する理由や原因について解説します。
サイバー攻撃によるインシデントはなぜ起きる?
なぜサイバー攻撃によるインシデントは発生してしまうのでしょうか。理由の1つとして、セキュリティ対策が不十分だったことが挙げられます。この背景としては、Webサーバーに対するサイバー攻撃の存在を認識しているにも関わらず誤った安心感や自社では問題ないという過信、または経営層の理解が得られなかったことによりセキュリティ予算が確保できず対策できなかった、などのさまざまな理由があるかと思います。
セキュリティ対策が不十分であることでサイバー攻撃の被害を受けてしまう企業は少なくありません。実際にセキュリティインシデントが起こるとどのような影響があるかご紹介します。
セキュリティインシデント被害ケース
被害のケースとしては、大まかに4つに分類できます。
1.顧客情報の漏えい
攻撃者がWebサーバーと連携しているデータベースなどから顧客情報を盗み出し、不正に売買したり、悪用したりするケースがあげられます。このような事態が生じた場合、企業は流出した情報の調査や賠償、そして説明会を行う必要があり、企業イメージや信用の低下などビジネスへの影響も考えられます。2022年4月の個人情報保護法改正を受けて、個人情報の漏えいについては企業の報告義務がより厳しく定められたこともあり、より一層気を付ける必要があります。
2.Webサイトの改ざん
次に問題となるのがWebサイトの改ざんです。Webサイトの内容を書き換えられてしまったり、Webサイトに不正な動作を引き起こすような変更をされるケースがあげられます。例えば、Webサイトへアクセスした端末に不審なプログラムをダウンロードさせたり、別の攻撃者のWebサイトへリダイレクトさせたり、本来信頼できるWebサイトがユーザーを危険なサイトへ導く「水飲み場攻撃」の拠点に転用されることもありえます。
3.踏み台
上記にも関連しますが、自社のWebサイトが他のサーバーへの攻撃に利用される「踏み台」となるケースがあります。攻撃者はWebサイトのセキュリティ上の弱点を突き、例えばバックドアを設置して、自社のサーバーを経由させる形で他のシステムへ攻撃を仕掛けたりします。
4.機密情報の漏えい
企業内部の機密情報が盗まれる被害も考えられます。外部からのアクセスによって、本来外部へ公開する意図のなかった情報が外部に流出してしまう可能性があります。また、攻撃者によって企業内の重要情報が不正に取得されるリスクも考慮が必要です。
全てのケースで共通して言えるのは、企業の信頼イメージを保持し、知らず知らずのうちに攻撃者に使われないようWebサイトのセキュリティ対策が不可欠であるということです。
本当にWebサイトへの攻撃を起きるのか検証してみた
しかし、本当に自社のWebサイトにサイバー攻撃はくるのかと懐疑的な方もいらっしゃるかと思います。
Azureのパブリッククラウド環境でWordPressのWebサーバーを構築し、インターネット上からのさまざまな攻撃を受けてみた検証を行いました。詳細はこちらのコラムでご紹介していますので合わせてご覧ください。
環境を構築してからわずか8分以内に最初の攻撃が確認されました。ここから、新しく立ち上げたWebサイトでも攻撃の標的となることがわかります。検証は5日間続け、その間に417回の攻撃を受けました。
攻撃の国別の内訳を見ると、中国、アメリカが多いことがわかりました。これは、攻撃者が他国のサーバーを利用している可能性もありますので、完全な実情であるとは限らない点に留意が必要です。この検証から、Webサーバーは常にどこでも攻撃のリスクに晒されているということがいえるでしょう。
具体的な攻撃方法の例を挙げると、SQL攻撃やインジェクション攻撃などがありました。これらはUTMやファイヤーウォール、IPSでは防げないものであり、Webサイトのセキュリティ対策の重要性を示しています。それでは、Webサイトを保護するために何をするべきかを考えていきましょう。
これらの攻撃を防ぐには
まず第一に、Webサーバーの脆弱性への対策を常に意識して、細かい管理が必要です。Webサイトに対するサイバー攻撃が成功する最も一般的な原因は、脆弱性が介在しているからであり、使用しているミドルウェアやアプリケーションのセキュリティパッチをこまめに適用することが重要です。これによりWebセキュリティが向上します。メリットとして、既存セキュリティ製品の更新を行うだけで済み、新たなセキュリティ製品を導入する必要がなく、追加の管理が発生しない点があります。しかし、継続的に脆弱性対策を行う必要があり、その分の時間と労力がかかるのは懸念点です。さらに、常に最新のサイバー攻撃手法に注意を払う必要があります。
次に、WAFの導入です。WAFについてはこちらのコラムで解説しています。
WAFは、WebサイトやWebアプリケーションを保護するために特化されており、通常のファイアウォールやIPSでは不十分な防護を提供してくれます。WAFを使用すれば、ミドルウェアやアプリケーションの脆弱性対策が不十分だとしても、その脆弱性を狙ったサイバー攻撃を回避可能になります。ただし、WAFの購入には費用が掛かり、管理対象のセキュリティ製品が増えることで運用業務に負荷が増える点が課題です。
WAF導入で気を付けたいポイント
導入前、設定構築、そして運用開始の3つのフェーズにわけられます。他のセキュリティ製品にも共通するこのフェーズですが、初めに保護対象の特定や製品の選択が行われ、実現したいセキュリティ対策の目的に応じて環境に合った製品を決めます。その後の設定・構築フェーズでは、ルールに基づく適切な設定とテストを行い、WAFを使ってどのようなサイバー攻撃を防ぎたいのか、また何を制御したいかを定義します。
製品導入後の運用開始前には、インシデント発生時や設定変更が必要になった際の迅速な対応ができるよう、十分な準備をすることが不可欠です。具体的な対応フローや体制の確立し、誰が実施して誰が承認するなどのルールを事前に決めていきます。
また、よくお客様からご相談をいただくケースとして下記3つがあげられます。
よく相談があるケース
- 導入するWAFの種類:自社のWebサイトを保護するためにWAFを導入したいが、どの製品を選べば良いかわからない
- 過検知・誤検知への対応:過検知や誤検知への対処方法がわからない
- インシデント発生時の運用体制、人員:セキュリティ運用などの知見がある人員が不足
これらの問題の根本原因は、適切な知識を持つ人材の不在が共通事項としてあります。解決策として、WAFの導入・構築から運用までをアウトソーシングする選択肢があります。
JBサービス株式会社では、24時間365日体制で運営している運用センターSMACという施設に、認定ホワイトハッカーを中心としたセキュリティの専門家が在籍するSOCを有しています。WAFの導入や運用についてもサービスを提供していますので、自社のリソースだけだと導入が難しいとお悩みの方はぜひご相談ください。
おすすめのWAFサービス
SaaS型WAFサービス
JBサービス株式会社では、Barracuda WAF-as-a-Service SMAC EditionというSaaS型WAFサービスを提供しています。このサービスでは、バラクーダネットワークス社が構築したSaaS環境内のWAFを、お客様のWebサイトと紐づけてWAFの環境を提供します。
バラクーダネットワークス社製WAFは、基本的な防御機能に加えて、DDoS攻撃の防御機能が標準搭載しており、攻撃検出用のシグネチャーがあります。同社はオンプレミス型WAFを15年以上に渡り提供してきた実績があり、その蓄積されたシグネチャーデータベースを活用し、世界中から集めた最新情報を共有しています。SaaS型サービスでも、オンプレミス型と同じようなシグネチャーが利用可能です。
低コストで導入可能なため、特にこれまでWAFに躊躇していた企業に推奨しています。さらに、Webサーバー証明書の発行と適用サービスも含んでいるので、HTTPSへの移行、セキュリティ強化を図りたい企業にとっても魅力的です。しかし、基本サービスでは設定の詳細なカスタマイズは含まれていませんので、大規模なトラフィックがあるWebサイトには不向きかもしれません。
オンプレミス型WAF 運用サービス
またJBサービス株式会社では、オンプレミス型のバラクーダネットワークス社製WAFの運用サービスも提供しています。
このサービスには、お客様のご要望に応じてサービス内容を協議していきます。帯域利用量や特定のサーバーに対する要求がSaaS型サービスでは満たせない場合、また細やかなコントロールや負荷分散機能が必要な場合のお客様にお勧めしたいサービスです。
導入事例
ECサービスに不可欠な低コスト高セキュリティをJBサービスのクラウドWAFで実現株式会社東日本計算センター様にクラウド型WAF「Barracuda WAF-as-a-Service SMAC Edition」をご採用頂きました。選定いただいた理由やパートナーとしてJBサービスを選択した理由についてもご紹介します。 |
まとめ
Webサイトを狙ったサイバー攻撃の特徴や、それらから守るための手段としてのWAFの重要性および導入方法についてご紹介しました。
どんなWebサイトでも攻撃者には狙われています。機密・大事な情報を盗まれる加害者にならないため、企業の規模や有名か無名に限らずしっかりセキュリティ対策を行うことが重要です。
WAF製品の導入や運用のアウトソーシング先をお探しであれば、JBサービス株式会社までご相談ください。