サイト運営者のためのWebサイトセキュリティ対策入門

【0】超入門「Webサイトのセキュリティ、5分でわかる初歩の初歩!」

Webサイトのセキュリティ対策」 とひとことで言っても、世の中にはいろいろな製品やサービスがあるため、「その違いや必要性が理解しづらい」という声をよく耳にします。昨今のWebからの情報漏えいに関する報道を聞いて、「自分の会社は大丈夫か?」と心配になり、弊社にお声がけをいただくケースも増えています。

このコンテンツでは、実際によくお寄せいただく質問をもとに、Webセキュリティ対策の「もやもや」を解消してもらえるよう解説していきます。今回の相談者様は、社長自ら積極的にECサイトを運営されている中小企業。業績は好調ですが、漏えい事件の報道や被害にあった知り合いの話などを目の当たりにして、自社のセキュリティが十分かどうか心配のようです。

所要時間は約5分。社長さんと一緒に、Webサイトセキュリティ初歩の初歩を、ざっくりと理解していきましょう!
2011年8月4日

【 登場人物紹介 】

社長 自社でECサイトを提供している。セキュリティ対策にはちょっと消極的。 社長 Scutum WAFサービス『Scutum』の営業担当。よくある脅威をあおるようなセキュリティの営業スタイルに常々疑問を感じている。 Scutum

「SSLではサイトを守れないの?」

Webサイトのセキュリティ対策ね。あー、それならなんとかサインとかいうやつをやっているよ。たしかSSLがどうとか…。

それは電子証明書ですね。ただ、残念ながらそれだとWebアプリケーションへの攻撃は防げないんですよ。

なんで? これで大丈夫っていってたよ? また余計なもの売りつけようとしてるんじゃないの?

違いますよw 電子証明書ももちろん大切なんですけど、残念ながら守る場所が違うというか…。

どう違うの?

SSLと電子証明書は、主に大切な通信を盗み見られないようにするものなんですよ。言うなればパソコンからWebサイトまでを安全なトンネルでつなぐようなもので、そのトンネルがちゃんと目的のサイトに繋がっていることを証明書が保証してくれるわけです。

ふんふん

ですから、もし途中でトンネルの外から通信データを第三者に見られてしまっても大丈夫なんですけど、残念ながらトンネル自体はだれでも入れるんですよ。

ということは?

つまり通信相手がWebサイトを攻撃している人でも守ってしまうと…。

あー、そういうことかー

そういうことなんですよー

「ファイアウォール入れてるから大丈夫でしょ?」

じゃああれだ、なんとかウォールっていうのがはいっているから大丈夫って言ってたよ?

(だれが言ってるのかな?) ファイアウォールですね。いろいろ対策されているんですね。

そうだよ! 当然だよ! お客様第一が我が社のモットー

偉い! でも言いづらいんですが…。

えっ、これもだめなの?

はい、残念ながらWebアプリケーションへの攻撃は防げないんですよー

えー、なんでー

一般的なファイアウォールが見ているところと、Webアプリケーションへの攻撃は実はちょっと違うところなんです。

えーと、よくわからないw

うーん、たとえば郵便にたとえると、封筒と中身の問題みたいなものです。

ふんふん

ファイアウォールは封筒の宛先や差出人を見て安全かどうか判断します。届けてはいけないところとか、怪しい差出人からは届かないようにしたりするんです。

なるほど

でも、宛先や差出人に問題がなくても、中身がよろしくない郵便物はそのまま届けてしまうんですよ。

中身はあけないとわからないからねー

まさにファイアウォールにとってのWebアプリケーションへの攻撃は宛先や差出人に問題がなくても、中身がよろしくない郵便物みたいなものなんです。

そういうことかー

そういうことなんですよー

「でも実際攻撃されるのって大きい会社とかだけじゃないの?」

でもさぁ、いろいろWEBサイトが攻撃されたってニュースとかにはなっているけど、だいたい超有名企業じゃない。うちみたいな規模の会社は攻撃されないんじゃない?

そういう風に思っている企業さんは多いですねー

なんかいやな言い方だな、そうじゃないってこと?

残念ながら、あんまり規模は関係ないみたいなんですよ。

えー、でも中小企業のWebサイトで情報漏えいってニュースはみたことないよ

それはそうかもしれないですね。でも実際には結構おこっているんですよ。たとえば弊社のScutumでみると、大規模ECサイトから数百人が利用するだけのBtoBサイトまでいろいろと提供させていただいているんですけど、WEBサイトの大小と攻撃件数には関連があまりないみたいです。

そうなの?

はい。それと、あまり報道はされていないのですが、情報漏えい事件って結構発生していて、いろいろな規模のWebサイトでの漏えい事故が報告されているんですよ。

ふーん、あんまり報道されてないだけかー

あと、攻撃方法的にWebサイトの大小とかあまり区別してない場合が多いみたいです。

大きいところを選んで攻撃しているんじゃないの?

もちろんそういう場合もあるとは思うんですが、よくあるWEBサイトの攻撃だと区別してないみたいです。実は攻撃の大部分は自動化されてます。

自動化?

はい、とりあえずそのWebサイトがセキュリティ的に弱そうかどうかを判断するような攻撃を無差別に実施して、その結果から実際にもっと攻撃するかどうかを判断しているようなんですよ。

うーん

ですので、残念ながら規模の大小は攻撃にはあまり関係ないと考えた方が良さそうですね。

そうかー…

「ところでWebアプリケーションってなに?」

ところで、さっきからWebアプリケーションへの攻撃って何度も言ってるけど、『Webアプリケーション』ってなんのこと?

たしかに何となくわかるけど、具体的になにっていわれるととまどっちゃいますよねー

なんだScutumさんもわかってないのかw

いえいえw ちゃんとわかってますよ! ちょっと説明させてください。Webアプリケーションは、Webサイト上で動くアプリケーションというかソフトウェアのことです。

ソフトウェアのこと?

はい、たとえばWebサイトで会員登録をしたり、商品を購入したり、何かを調べてその結果を表示させたりすることはすべてWebアプリケーションがやっています。

なるほど、じゃあウチのECサイトも?

Webアプリケーションです!

そういうことか…

「Webアプリケーションが危険ってどういう意味?」

じゃあ、そのWebアプリケーションが危険ってどういう意味なの?

簡単に言うと、そのWebアプリケーションを作った側が意図していない動作をしてしまい、重要な情報を盗まれてしまったり、違う人になりすまされてしまったりすることです。

違うお客さんのふりをして買い物されちゃうとか?

そういうことです。

なんでそんなことが起きちゃうの?

いろいろ原因はあるんですが、作る人がうっかりミスをしてそうなってしまうことが多いみたいですねー。Webサイト構築はとくに短い納期で作らなければいけなかったり、業者間の競争で安く作らなくてはいけなかったりという背景もあるようです。

それじゃあ、作り手側の責任なんじゃないの?問題がおこったら開発会社とかに対応してもらえばいいんじゃない?

たしかにそういう考え方もあるとは思うのですが、実際に事件が起こった場合はやはりそのWebサイトを所有している企業の責任が問われるケースが多いみたいですね。実際に被害や影響を受けるのは開発会社ではなくWebサイトを所有している企業になるので・・・。

作り手側にも責任があるけど、結局自分たちでも気をつけた方がいいのかー

残念ながらそういうことみたいですね…。

「Webサイトを攻撃して何かいいことあるの?」

でもさー、Webサイトを攻撃してなんかいいことあるの?

確かにそう思いますよね。個人情報がお金になるって話は聞きますけど、日本国内だとそんなものを簡単に売買できないですしねー

そうだよなー

でも、海外だと結構そういう市場みたいなものがあるみたいですよ。もちろん合法的なものではないですが。

なるほど、じゃあ攻撃って外国からくるの?

すべてというわけではありませんが、大部分が海外からだといえそうですね。攻撃と思われる通信の約90%が海外からのものだという調査結果もでていたようですし()、Scutumの統計データでも、それに近い数値がでていますね。

なるほどねー、そういうところでもグローバルなんだー

本当にそうですねー

■ 次回予定

「サイト運営者のためのWebサイトセキュリティ対策入門」では、今後も『超入門!』の続編を予定しています。 どうぞご期待ください!

・WAFってなあに?
・診断ってどういうことするの?
・診断してプログラム修正するのって大変なんじゃない?
・対策しなくても大丈夫なんじゃないの?
・攻撃って実際どんな風にやるの?