改ざん対策はすべてのサイトに求められる

改ざんを試みる攻撃者の目的から考えると、そのサイト自体が個人情報やクレジットカード情報を扱う/扱わないという区別は、必ずしも重要ではありません。「単なる企業情報を載せているだけで、第三者が狙う理由が無い」と社内で思われているようなサイトこそ、対策が手薄となり被害を受けやすい側面もあるのです。どのようなサイトであっても、改ざんによってユーザーや取引先に多大な被害を与えてしまう可能性を常に念頭におき、継続的な対策を採る必要があります。

Webサイトの脆弱性を利用した改ざんを“防ぐ”には

改ざん対策に限らず、Webサイトに対する外部からのインターネット経由の攻撃を防御するには、利用しているソフトウエア(OS/ミドルウエア/フレームワーク等)やWebアプリケーションの脆弱性が無い状態を保つことが基本となります。開発にあたって脆弱性を作りこまないようにすること、公開前や改変時に脆弱性診断を行うこと、既製のCMS等を利用する場合はセキュリティアップデートを速やかに反映することなどの各種対策を行うことになりますが、手間をかけず、かつ最新の脆弱性対策を反映した対策を継続的に維持するには、クラウド型(SaaS型)のWAF(Web Application Firewall)の導入が非常に効果的です。
【例】クラウド型WAFサービス「Scutum(スキュータム)」

Webサイト改ざんを早期に“知る”には

万一Webサイトが改ざんされてしまった場合、早期に管理者がそのことに気づき、速やかに対策を講じることで影響を最小限に食い止めることが重要です。改ざん検知サービスを利用するのも効果的です。検知サービスは、契約内容に応じた回数(例:1日1~8回)のチェックを定期的に行うもので、万が一、改ざん被害があった場合に、早期に発見できます。
【例】改ざん検知「gredセキュリティサービス」(セキュアブレイン社)

SSTでは、サイト改ざん対策として、改ざんを防ぐWAFサービス「Scutum(スキュータム)」と、改ざん検知サービス「GRED(グレッド)」をワンストップで利用できる、『企業サイトWeb改ざん防御&検知サービス』をご提供中です。

『企業サイトWeb改ざん防御&検知サービス』(株式会社セキュアスカイ・テクノロジー)

WAF「Scutum」によるWebサイト防御

Scutumは、お客様Webサイトへのアクセスを、DNSを変更してScutum経由とすることで導入できる、世界初のクラウド型(SaaS型)WAFです。Webサイトへの正常なアクセスには影響を与えず、脆弱性を突いた攻撃等の不正なアクセスをブロックします。通常、導入時にお客様側のシステム構成を変更する必要も、サービスを止める必要もありません。

サイト改ざん目的の変化「愉快犯・示威目的から、情報詐取・犯罪目的へ」

運用・監視・アップデートをすべてScutum側で行うため、お客様側でWAFの管理が不要な上、新たなWebアプリケーションの脆弱性や攻撃パターンにもよりスムーズな対応が可能です(過去の対応一覧)。また、2010年ごろに日本でも多くのサイトが被害にあった「Gumblar(ガンブラー)」によるサイト改ざんに対しては、不正に埋め込まれたスクリプトを無害化する機能も実現しています(2010年2月プレスリリース)。