BUSINESS TIPS発注担当者の方へ、発注成功の為のお役立ち情報

WEBサイトセキュリティ対策の外注方法

WEBサイト制作を外注する際に、意外に見落としなのがセキュリティ対策です。
最近は、オープンソースのソフトウエアが主流ですので、それらを使ってプログラム開発をしているWEBサイトが大半を占めています。そうすると、常に脆弱性を狙って攻撃をしているウィルスにかかってしまい、データ改ざんやサーバのディレクトリを荒らされたり、また膨大な個人情報をハッキングされたりなど、そういったことが起きてしまうと普及および顧客への対応に膨大な時間と費用がかかってきます。
それらを未然に防ぐためにも、システム開発の設計時にセキュリティ対策を盛り込んでおくことが重要です。但し、セキュリティ対策は全てを盛り込もうとすると、予算を圧迫することにもなります。開発会社と相談しながらどこまで対策するかというのを決めることが必要なのです。
こちらでは、基本的なセキュリティ対策に関する基本知識を紹介します。

1. ブラウザ経由の攻撃対策

WEB系システムを構築するということは、常にインターネットに接続されている状態ですので、どこから攻撃されてもおかしくないという前提の認識が必要になります。

特にブラウザのフォーム画面は、悪意のある実行コマンドを埋め込まれてしまう危険性を持っているので、それらを無効にするような対策が必要になります。一切ブロックするには、ブラウザのフォームを一切使わずにデータのやり取りすることがベストですが、それではかなりの制約が出てしまいます。ブラウザのフォームを使用する場合は、システム設計段階から対策を立てる必要があります。

SQLインジェクション

不正なデータベースの検索用命令文で、フォームを通じて実行する手法のことをSQLインジェクションと言います。 例えば、正常な検索で「セキュリティ対策」というキーワードを検索画面に入力したとすると、データベースでは「セキュリティ対策の文字列を含んだ結果を表示しなさい」という命令文がデータベースへ行きます。

SQLインジェクションでは、「セキュリティ対策という文字列を含んだ文章を全て消去する」というような命令文が挿入されます。 これは、検索ボックスに入力されたデータを改ざんする形で命令文を作りサーバ側へ送り込む、ことを仕込んでいるのです。

コマンドインジェクション

SQLインジェクションがデータベースの不正操作で、コマンドインジェクションは、WindowsやUnixなどのシステムに対する不正コマンドを紛れ込ませてシステムダウンさせたり、サービス不能にしたりすることを言います。

コマンドインジェクションが実行されると、データ中心の被害になるSQLインジェクションよりも広範囲に被害が拡大する危険性を秘めています。
現実として、情報漏洩、ファイルの改ざんや削除、不正なシステム操作、ウイルスなどのマルウェア感染などの被害報告があります。

パラメータ改ざん

パラメータ改ざんは、正常コマンドを送信する際に、パラメータを改ざんして正常コマンド以外の操作を行う方法です。 例えば、フォーム送信時にhiddenタグに価格等を改ざんして注文できてしまうような操作を行ったりします。また、Cookie情報に偽ログイン情報を送りつけて別のユーザーになりすまし、マイページにログインしてなりすましショッピングを継続したりすることができてしまう可能性があります。

パストラバーサル

パストラバーサルは、フォーム経由で悪意あるデータを送りつける手法になります。サーバのディレクトリに格納されているファイルを閲覧したり、ファイル名をつけて保存したり、ファイルサーバが狙われやすいです。

これらの他に、スクリプト(Javascriptなど)を脆弱性のあるサイトに忍び込ませてユーザがそのサイトにアクセスしたタイミングで実行させるクロスサイトスクリプティグという、埋め込まれやすいものもあります。 また、あらかじめ確保しているメモリ容量を上回るデータを入力して実行することでプログラムの暴走を引き起こす手法のバッファオーバーフローというものもあります。

様々な攻撃手法が出てきており、イタチごっこのような状態が続いています。全てを完璧に対応することは難しいですし、コスト面もやればやるほどかかってくることですので、どこまで行うのかは開発会社と対応策について話し合いが必要です。

2. 認証時のセッション情報不正取得と情報漏洩対策

最初のフォーム画面にてユーザが認証をクリアしたのち、途中でセッション情報を乗っ取られて、以降の操作が不正に実行されることを示します。

通常、ログインユーザ自身がログアウトの操作をするまで、セッション情報はブラウザやサーバ側で保持されています。その保持されているセッションIDを乗っ取って、本来のユーザ権限を不正使用するというものです。

そして、セキュリティ対策の中でも忘れてはいけなく意外に多く発生するのが、人的な情報漏洩です。これは、内部関係者が個人情報を印刷物で持ち出したり、USBメモリ、CD―ROMなどで持ち出すという行為です。これは、外部に対してのセキュリティ対策ではなく内部対策が必要なものになります。いわゆる情報漏洩対策が必要になるのですが、システム運用面にてどのように防ぐかを考える必要があります。

3. 脆弱性対策

これまでの攻撃とは違って、嫌がらせ目的の攻撃対策をいくつか紹介します。

WEBサーバへの攻撃で代表的な攻撃で「DoS、DDoS攻撃」というのがあります。これは、ブラウザをリロードして再表示させたりする、ある意味無意味なリクエストを大量に送りつけて嫌がらせをする攻撃手法です。
ブラウザのリロードは、キーボードの「F5」を連続で押すだけの攻撃なので、仕掛けるのは容易です。更に、この攻撃を複数台のパソコンへ行ったりすると、WEBサービスが繋がりにくくなる自体が発生し、WEBサービスを停止に追い込む威力があります。

そして、「コンピュータウィルス」も、気をつけなければいけないセキュリティ対策の一つになります。コンピュータウィルスは、人間のウィルスと同様の動きをします。一度ウィルスに感染すると、自分自身のセルフコピーを自動で作成し、次々とそのウィルスが感染していく動きを見せます。このウィルス感染にすぐに気付ければ最小限の被害で終わりますが、気づけずに別のコンピュータへコピーされた場合などは厄介で、更にウィルスが感染していく仕組みになっています。まさに人間に起こるウィルス感染がコンピュータの中で起きているような状況です。

中でも「スパイウェア」に感染すると、サーバー内部に侵入し、個人情報や購買履歴などを勝手に送信してしまうようなスパイ活動を自動で行うので、とても厄介です。

インターネットバンキングなどを利用している場合、ログイン時の口座番号やログインID、パスワードなどの情報を盗み出して外部へ送信する可能性もあり、サービス停止に追い込まれるだけではなく、多額の損害賠償が必要になるケースも想定できるのです。

4. まとめ

今回は、WEBサイト開発依頼時に対策を考えておくべきセキュリティ対策に関する内容を説明してきました。
リリースしてからセキュリティ対策を考えるのは遅すぎますので、必ず要件定義の際に対策まで検討する必要があります。
セキュリティ対策は、やればやるほどコストがかかります。そして完璧がない状況です。それでも何もやらないというのは個人情報や機密情報を扱う以上は考えられないので、セキュリティ対策に関する要望は、必ずRFP(提案依頼書)の中にも記述するようにしましょう。

ホームページ制作でお困りではありませんか?

仕事の発注先探しや、新規顧客開拓など、ビジネスパートナー探しに役立つ総合ビジネスマッチングプラットフォーム。
それがリカイゼンです。

無料で相談する

ホームページ制作の関連記事

様々な業界のウェブサイトを手がけたデザイン力と技術力

ブランディング×ビジュアルデザイン 「ブランディング」・・・・市場・環境の分析、ターゲットの分析、プロジェクトの目的を元に、コンセプトを策定。ビジュアルクリエイティブを用いたお客様のブランディングを支援します。 「ビジュアル...

株式会社キャスティードについて

キャスティード!はじめまして。株式会社キャスティードと申します。当記事をご覧いただきありがとうございます。これからどんどんお客様に役立つ記事を掲載してまいりますので、よろしくお願いいたします!

【オフィシャルサイト作成】ミニクラブのサイト作成

相談内容 ミニクラブの経営にとってレベルの高い女性スタッフの獲得は非常に重要です。求職者が求人媒体を見た後に確認できるお店のサイトを作り、応募数を増やしたいとのご相談をいただきました。 課題 本来であれば求人に特化したサイト...

OOHって?昔はただの看板。今は見ている人を見られるメディア。

OOH(Out of home:アウト・オブ・ホーム)というのはOOH広告、OOHメディア。 直訳すると「家の外」という意味になり、「家の外にある広告」の総称。 このアウト・オブ・ホームメディアには、建設中のビルの仮囲い、街...

2020年、意匠法改正で変革が起きるWEBデザイン業界

WEBサイトづくりの中で、見渡せば同じようなデザインと構成のWEBサイトだらけ。ということはこれまでに1度はあるのではないでしょうか。2020年に向けて、WEBサイトのデザインを保護するための意匠法改正が決まりました。 ...

ホームページ制作に関連する記事を見る

記事を探す

キーワードで探す

カテゴリーで探す



案件の相談・見積もり

必須ご相談概要
必須お名前
必須メールアドレス
任意電話番号
利用規約及び、個人情報保護方針にご同意のうえ、送信ください。
本サイトは、reCAPTCHAとGoogleにより保護されています。(プライバシーポリシー利用規約)