Webサービスの脆弱性は対応できますか?
🌐Web攻撃の深刻さを考慮すると、Webサービスの脆弱性を改善するためのアプローチは何ですか? Webサービスはさまざまな脅威にさらされており、それに対応するための体系的で実用的なセキュリティ戦略が必要です。
1. ウェブ攻撃の主要な統計と重要性
- 全攻撃の80%はウェブ攻撃から始まる。
- ランサムウェア攻撃の70%もウェブ経由で発生。
ウェブサービスの脆弱性対応のため、ISMSでは年に最低1回以上のウェブ脆弱性診断サービスを受けることを推奨しています。また、セキュアコーディングを含む開発要件も必須となっています。しかし、現実的な効果はどの程度でしょうか?
2. 複雑なウェブシステムと脆弱性
eコマースやeラーニングのように、一般ユーザー向けのサービスを提供するウェブシステムは、以下のような複雑な要件を満たす必要があります:
- 会員登録および認証システム
- アカウント乗っ取り攻撃への対策としての二段階認証
- セッションハイジャックおよび改ざん防止のための認証メカニズム
- 強力な暗号アルゴリズムおよびプロトコルの実装
- 管理者システムのアクセスおよび管理
- パブリッククラウドとIDC接続のための安全なネットワーク管理
- 運用およびアプリケーションのバージョン管理
これらのプロセスを適切に管理しなければ、深刻なセキュリティ問題に直面する可能性があります。実際に、Facebookでは5億人の個人情報が平文で保存され、ハッキングされた事例もあります。
3. 現実的な問題:ウェブ開発者の限界
ウェブ開発者がすべてのセキュリティ問題を正確に理解しているとは限りません。そのため、オープンソースの活用やクラウドSaaSサービスの利用が、より現実的な解決策となることがあります。
ウェブサービスは開設後も継続的な管理が必要です。顧客や内部要件を反映し、絶えず改善・補完を行う必要があります。
- 例: 運用サーバーに
info.php
ファイルを残すといった基本的なミスも、深刻な脆弱性につながる可能性があります。
4. 現実的かつ実践的なアプローチ
ウェブの脆弱性診断と管理を強化するために、以下の戦略が効果的です:
1) ウェブアプリケーションファイアウォール(WAF)の活用
ウェブアプリケーションファイアウォール(WAF)は、ウェブアプリケーションへの攻撃をリアルタイムで遮断し、セキュリティリスクを最小化します。
2) ウェブリクエスト本文およびアクセスログの分析
ウェブ攻撃のパターンや動向を把握し、事前防御対策を強化します。
3) ISMSに基づく定期診断
ISMSが推奨する脆弱性診断とセキュアコーディングの要件を体系的に遵守します。
- 補足: ペネトレーションテスト(模擬ハッキング)を行う際に、特定IPの例外処理が必要となる場合もあります。
📖 一緒に読む
[1] 보セキュリティニュース記事、ハッキング事故のうち80%を占めるWebセキュリティの重要性
[2] IT Daily 記事、ランサムウェア 70% インターネット経由で流布
[3] CIO、2018年のクラウドセキュリティ脅威12
[4] ハンギョレ記事、Facebookまた利用者個人情報大量流出
[5] ブログ、ワードプレスで作ったサイト 必須セキュリティ TOP 10