ユーザー視点に立ったセキュリティの棚卸し

2009年11月2日(月)
桜井 剛

Webサイトを利用する場合のセキュリティ対策

 Webサイトを利用する場合も、メールと同様に、閲覧/ダウンロード時におけるウイルス感染などのインバウンド・セキュリティ対策と、アップロードによる情報漏えいなどのアウトバウンド・セキュリティ対策の2種類があります。

 インバウンド・セキュリティについては、メールやWebサイトに含まれるリンクを介した、マルウエア感染やフィッシング・サイトへの誘導などへの対策が考えられます。

 これらの脅威に対しては、ウイルス対策ソフトやWebフィルタリング・ソフトの導入が効果的です。

 フィッシング・サイト対策としては、SSLサーバー証明書によるサイトの運営者の目視確認が有効です(図2)。最近ではEV-SSLサーバー証明書によって、サイトの運営者が一目で分かるようになっています。ショッピング・サイトであれば、表示される運営者に直接連絡を取って実在確認をすることもできるでしょう。

 アウトバウンド・セキュリティについては、掲示板やWebメールを介した機密情報の漏えいへの対策が考えられます。特に、企業では顧客情報などの機密情報を扱いますので、これらが漏えいすることによる金銭的/社会的なリスクがより大きくなります。

 これらの脅威に対しては、Webフィルタリング・ソフトの導入が効果的です。ただし、過失による掲示板への書き込みなど、防ぐことが難しい問題もあり、企業であれば社員教育を行っていくこともリスクを回避するためには重要です。

 また、最近はウィジェットなどHTTPまたはHTTPSを経由して情報をやり取りするアプリケーションが増えているため、対策すべき範囲が広がってはいますが、基本的にはプロトコル・レベルでのチェックをウイルス対策ソフトが行うため、ある程度の対策はできていると言えます。

Webサーバーを運用する場合のセキュリティ対策

 Webサーバーのセキュリティ対策は、サーバーへの不正アクセス対応などのインバウンド・セキュリティ対策が中心となります。実際に行われる不正アクセスの方法として、次のような手段があります。

(1)サーバー上にあるアカウントのパスワードを破ってログインする

 方法の1つは、Unix系であればroot、WindowsであればAdministratorアカウントのパスワードを推測することで、強引にアクセスするというものです。ログインしたアカウントの権限の範囲内で、改ざんやファイルの設置、情報の取得、あるいはサービスの停止などの行為が行われます。

 対策としては、管理者権限でのリモート・ログインを許可しないようにする方法や、セキュアOSを用いて権限を分散する方法、侵入検知ツールを導入する方法などがあります。また、ファイアウォールやルーターによるネットワーク・アクセスの制御も有効です。

(2)サーバーやアプリケーションの脆弱(ぜいじゃく)性を利用する

 別の方法は、SQLインジェクションやクロスサイト・スクリプティングなどのWebアプリケーションへの攻撃を行って、不正に情報を取得、改ざんしたり、サービスを停止させるというものです。

 対策としては、サーバーやアプリケーションにセキュリティ・パッチを適用することがもっとも効果的です。パッチが存在しない未知の脆弱(ぜいじゃく)性への攻撃に対抗するため、最近ではWAF(Webアプリケーション・ファイアウォール)を導入するサイトも増えています。

 Webサーバーにおけるアウトバウンド・セキュリティ対策については、サーバーが第三者に乗っ取られて他者への攻撃の踏み台として利用されることを防ぐ、といったことが考えられます。対策としては、やはり不正アクセスを防止することで対応することになります。将来的には、アウトバウンド向けのWAFなども登場してくるかも知れません。

株式会社HDE
インターネット黎明期より、ネットワーク構築やWebシステムの開発に携わり、2005年より株式会社HDE(http://www.hde.co.jp/)にて、メールセキュリティ製品の開発マネージャとして活躍。最近はHDEラボ(http://lab.hde.co.jp/)を運営し、Pythonやオープンソース関連の技術情報を広く公開している。

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る

他にもこの記事が読まれています