PR

オープンソースを活用したWebセキュリティ対策

2009年11月16日(月)
桜井 剛

あなたのWebサイト、誰が見ていますか?

連載第3回は、情報漏えいなどのリスクから顧客を守るという観点で、オープンソース・ソフトウエアを使った対策の実例やSSL(Secure Sockets Layer)証明書、WAF(Web Application Firewall)の解説を交えて、Webのセキュリティ対策について説明します。

前回は、タダでできる具体的なメール・セキュリティ対策を解説しました。電話やFAXと同じ、もしくはそれ以上に使われるメールへのセキュリティ対策の重要性をご理解いただけたかと思います。今回は、Webに関するセキュリティ対策、特にWebサーバーでのセキュリティ対策について考えます。

あなたが企業やサービス提供者としてWebサーバーを運営しているのであれば、そのサイトは誰が見ていますか?分かりきったことかも知れませんが、これを考えることによって、Webセキュリティが何のために必要なのかを理解できるのではないかと思います。

あなたのお客さまや会員の方々、もしくは将来的にお客さまや会員になる見込みのある方々がサイトの来訪者であることに異論はないでしょう。そのお客さまが日々安心してあなたのサイトを利用できることは、今や当然のことに違いありません。

もし、ここであなたのサイトが何者かに改ざんされてウイルス配布サイトになったり、お客さまの個人情報が盗まれたりしたらどうなるでしょう?当然、企業やサービスの信用に傷がついたり、お客さまが犯罪や希望しない勧誘にさらされたり、または損害賠償が発生したりします。さらに、信用回復のためにさらなる投資を強いられることになります。

メール・セキュリティの場合は、セキュリティ対策をシステム化することによるコスト削減効果を説明しました。一方、Webのセキュリティには企業やサービスの安全と安心を守る、いわば「セキュリティによるブランド力の向上」という効果もあります(図1)。安心して利用できるサービスであることを、リピーターを増やして利益を上げていくための手段として活用していきましょう。

再点検!SSLサーバー証明書

SSLサーバー証明書は、ショッピング・サイトなどでも一般的になっています。第1回で軽く触れましたが、いま一度おさらいしておきましょう。

そもそもSSLプロトコルとは、米Netscape Communications社がWebサーバーとWevブラウザ間での安全な通信を保証するために開発したもので、PKI(公開鍵暗号基盤)の仕組みを利用しています。SSLサーバー証明書とは、SSLプロトコルでの相互の暗号化通信とWebサーバーの実在を証明する機能を提供します。

以前は、SSLサーバー証明書は比較的高価で、取得のために日本国内では会社を証明する書類が必要だったため、SSLサーバー証明書を導入しているだけでもWebサーバーと運用団体の実在証明として十分でした。

ところが、最近ではWeb経由で簡単かつ安価に購入できるSSLサーバー証明書が登場したため、フィッシング・サイトなどの悪意のあるサイトがSSLサーバー証明書を導入してユーザーを安心させてだます手口が増えてきました。

このため、少し高価ですが、EV SSL証明書のようなさらに厳密な申請の下で発行されるサーバー証明書が登場しています。

では、サーバー証明書を買ってSSL対応するだけで十分なのでしょうか?もしサーバーで会員制サイトを運営している場合、次の点を考えてみてください。同じページを「http://」と「https://」の両方で提供していませんか?ユーザーがサービスを利用する場合に、暗号化されていると思っていても平文でやりとりしてしまっているかも知れません。

なお、Webアプリケーションの構築に使われる言語の1つであるPHPでは、設定ファイルのphp.iniに下記の記述をすることで、SSL接続の場合に限ってCookieを送信するように設定できます。

次ページからは、Webサーバーのセキュリティ対策のポイントとして、WAFを利用したWebアプリケーションの脆弱性対策や、アクセス制御とログ記録による社内の不正利用対策などを解説します。

株式会社HDE
インターネット黎明期より、ネットワーク構築やWebシステムの開発に携わり、2005年より株式会社HDE(http://www.hde.co.jp/)にて、メールセキュリティ製品の開発マネージャとして活躍。最近はHDEラボ(http://lab.hde.co.jp/)を運営し、Pythonやオープンソース関連の技術情報を広く公開している。

Think IT会員サービス無料登録受付中

Think ITでは、より付加価値の高いコンテンツを会員サービスとして提供しています。会員登録を済ませてThink ITのWebサイトにログインすることでさまざまな限定特典を入手できるようになります。

Think IT会員サービスの概要とメリットをチェック

他にもこの記事が読まれています

オープンソースを活用したWebセキュリティ対策 | Think IT(シンクイット)

Think IT(シンクイット)

サイトに予期せぬエラーが起こりました。しばらくたってから再度お試しください。