オープンソースを活用したWebセキュリティ対策

あなたのWebサイト、誰が見ていますか？

連載第3回は、情報漏えいなどのリスクから顧客を守るという観点で、オープンソース・ソフトウエアを使った対策の実例やSSL（Secure Sockets Layer）証明書、WAF（Web Application Firewall）の解説を交えて、Webのセキュリティ対策について説明します。

前回は、タダでできる具体的なメール・セキュリティ対策を解説しました。電話やFAXと同じ、もしくはそれ以上に使われるメールへのセキュリティ対策の重要性をご理解いただけたかと思います。今回は、Webに関するセキュリティ対策、特にWebサーバーでのセキュリティ対策について考えます。

あなたが企業やサービス提供者としてWebサーバーを運営しているのであれば、そのサイトは誰が見ていますか？分かりきったことかも知れませんが、これを考えることによって、Webセキュリティが何のために必要なのかを理解できるのではないかと思います。

あなたのお客さまや会員の方々、もしくは将来的にお客さまや会員になる見込みのある方々がサイトの来訪者であることに異論はないでしょう。そのお客さまが日々安心してあなたのサイトを利用できることは、今や当然のことに違いありません。

もし、ここであなたのサイトが何者かに改ざんされてウイルス配布サイトになったり、お客さまの個人情報が盗まれたりしたらどうなるでしょう？当然、企業やサービスの信用に傷がついたり、お客さまが犯罪や希望しない勧誘にさらされたり、または損害賠償が発生したりします。さらに、信用回復のためにさらなる投資を強いられることになります。

メール・セキュリティの場合は、セキュリティ対策をシステム化することによるコスト削減効果を説明しました。一方、Webのセキュリティには企業やサービスの安全と安心を守る、いわば「セキュリティによるブランド力の向上」という効果もあります（図1）。安心して利用できるサービスであることを、リピーターを増やして利益を上げていくための手段として活用していきましょう。

再点検！SSLサーバー証明書

SSLサーバー証明書は、ショッピング・サイトなどでも一般的になっています。第1回で軽く触れましたが、いま一度おさらいしておきましょう。

そもそもSSLプロトコルとは、米Netscape Communications社がWebサーバーとWevブラウザ間での安全な通信を保証するために開発したもので、PKI（公開鍵暗号基盤）の仕組みを利用しています。SSLサーバー証明書とは、SSLプロトコルでの相互の暗号化通信とWebサーバーの実在を証明する機能を提供します。

以前は、SSLサーバー証明書は比較的高価で、取得のために日本国内では会社を証明する書類が必要だったため、SSLサーバー証明書を導入しているだけでもWebサーバーと運用団体の実在証明として十分でした。

ところが、最近ではWeb経由で簡単かつ安価に購入できるSSLサーバー証明書が登場したため、フィッシング・サイトなどの悪意のあるサイトがSSLサーバー証明書を導入してユーザーを安心させてだます手口が増えてきました。

このため、少し高価ですが、EV SSL証明書のようなさらに厳密な申請の下で発行されるサーバー証明書が登場しています。

では、サーバー証明書を買ってSSL対応するだけで十分なのでしょうか？もしサーバーで会員制サイトを運営している場合、次の点を考えてみてください。同じページを「http://」と「https://」の両方で提供していませんか？ユーザーがサービスを利用する場合に、暗号化されていると思っていても平文でやりとりしてしまっているかも知れません。

なお、Webアプリケーションの構築に使われる言語の1つであるPHPでは、設定ファイルのphp.iniに下記の記述をすることで、SSL接続の場合に限ってCookieを送信するように設定できます。

次ページからは、Webサーバーのセキュリティ対策のポイントとして、WAFを利用したWebアプリケーションの脆弱性対策や、アクセス制御とログ記録による社内の不正利用対策などを解説します。