【攻撃例から知る】WEBサイトセキュリティ対策の外注ポイント

［更新日］2021/09/28
［公開日］2019/04/25
2700 view

【攻撃例から知る】WEBサイトセキュリティ対策の外注ポイント
1.　ブラウザ経由の攻撃対策
2.　セッションハイジャック対策
3.　人的情報漏えい対策
- 人的情報漏えいの例
- ルールによる対策
4.　脆弱性対策
- DoS,DDoS攻撃
- コンピューターウイルス
5.　セキュリティ対策を外注するなら
6.　WEBセキュリティ対策のまとめ

【攻撃例から知る】WEBサイトセキュリティ対策の外注ポイント

WEBサイト制作を外注する際に、意外に見落としがちなのがセキュリティ対策です。
最近は、オープンソースのソフトウエアが主流ですので、それらを使ってプログラム開発をしているWEBサイトが大半を占めています。オープンソースのメリットの反面、常に脆弱性を狙って攻撃をしてくるウィルスには気をつけなければなりません。データ改ざんやサーバーのディレクトリを荒らされたり、また膨大な個人情報をハッキングされたりといった事態が起きてしまうと、復旧および顧客への対応に膨大な時間と費用がかかってしまいます。

それらを未然に防ぐためにも、システム開発の設計時にセキュリティ対策を盛り込んでおくことが重要です。ただし、セキュリティ対策はすべてを盛り込もうとすると、予算を圧迫することにもなります。開発会社と相談しながら、どこまで対策するかを決めることが必要なのです。この記事では、セキュリティ対策に関する基本知識を紹介します。

WEBサイト制作の依頼先探しならリカイゼンにお任せください！

リカイゼンでは、WEBサイト制作の実績を多数持つ会社の中から、ご要望に合う会社を厳選して無料でご紹介します。
企画段階からのご相談も受付中！気軽に相談できるプロをご紹介いたします。

お電話でのご相談は 03-6427-5422
受付時間：平日10:00～18:30

お電話でのご相談はこちら TEL:03-6427-5422 (平日10:00～18:30)

1.　ブラウザ経由の攻撃対策

WEB系システムを構築するということは、常にインターネットに接続されている状態です。よって、どこから攻撃されてもおかしくないという前提の認識が必要になります。

特にブラウザのフォーム画面は、悪意のある実行コマンドを埋め込まれてしまう危険性を持っているため、それらの攻撃を無効にするような対策が必要になります。すべてをブロックするには、ブラウザのフォームを一切使わずにデータをやり取りすることがベストです。しかし、それではかなりの制約が出てしまいます。よって、ブラウザのフォームを使用する場合は、システム設計段階から対策を立てる必要があるわけです。

では、ブラウザ経由の攻撃方法にはどのような種類があるのでしょうか？詳しく解説していきます。

SQLインジェクション

不正なデータベースの検索用命令文で、フォームを通じて実行する手法がSQLインジェクションです。例えば、正常な検索で「セキュリティ対策」というキーワードを検索画面に入力したとすると、データベースでは「セキュリティ対策の文字列を含んだ結果を表示しなさい」という命令文がデータベースへ行きます。

この際、SQLインジェクションでは、例えば「セキュリティ対策という文字列を含んだ文章を全て消去する」というような命令文を挿入します。これにより、検索ボックスに入力されたデータを改ざんする形で命令文を作り、データベース側へ送り込めてしまうのです。

コマンドインジェクション

データベースの不正操作にあたるSQLインジェクションに対してWindowsやUnixなどのシステムに対する不正コマンドを紛れ込ませてシステムダウンさせたり、サービス不能にしたりする攻撃がコマンドインジェクションです。

コマンドインジェクションが実行されると、データ中心の被害になるSQLインジェクションよりも広範囲に被害が拡大する危険性を秘めています。
実際、情報漏洩、ファイルの改ざんや削除、不正なシステム操作、ウイルスなどのマルウェア感染などの被害報告があります。

パラメータ改ざん

パラメータ改ざんは、正常コマンドを送信する際に、パラメータを改ざんして正常コマンド以外の操作を行う方法です。

例えば、フォーム送信時にhiddenタグに価格などを改ざんして注文できてしまうような操作をします。また、Cookie情報に偽ログイン情報を送りつけて別のユーザーになりすまし、マイページにログインして勝手にショッピングを継続される可能性があります。

パストラバーサル

パストラバーサルは、フォーム経由で悪意あるデータを送りつける手法です。サーバーのディレクトリに格納されているファイルを勝手に閲覧したり、ファイル名をつけて保存したりします。パストラバーサルではとくにファイルサーバーが狙われやすくなります。

これらの他に、以下のような攻撃方法があります。

クロスサイトスクリプティング

バッファオーバーフロー

さまざまな攻撃手法が出てきており、イタチごっこのような状態が続いています。すべての攻撃に完璧に対応することは難しい上に、やればやるほどコストがかかってくるため、どこまで対策を行うのかは開発会社話し合いが必要です。

WEBサイトのセキュリティ対策の外注についてお考えの場合は、リカイゼンにお任せください！
リカイゼンでは、熟練のマッチングスタッフが、希望条件に応じて適した方法、また対応可能な制作会社候補を選定し、無料紹介いたします。
まずはご相談からでもお気軽にご連絡ください。

お電話でのご相談は 03-6427-5422
受付時間：平日10:00～18:30

お電話でのご相談はこちら TEL:03-6427-5422 (平日10:00～18:30)

2.　セッションハイジャック対策

会員ページやログインを必要とするページを持ったWEBサイトの場合、セッションハイジャック、いわゆるなりすまし行為にも注意が必要です。

セッションとは

セッションとは、ユーザーがサイトへアクセスしてから離脱するまでの”一連の動作”のことを指します。例えば、ネットショップへログインし、一通り商品を見てから注文をした後にログアウトすれば、この一連の流れが１セッションです。

WEBアプリケーションやWEBサーバーなどでは、アクセスしてきたユーザーに対してセッションIDを発行したり、Cookieを使ったりしてユーザーの識別やセッション管理を行っています。

セッションハイジャックとは

セッションハイジャックとは、その名の通り他人のセッションを乗っ取る行為です。通常、ログインユーザー自身がログアウトの操作をするまで、セッションIDはブラウザやサーバー側で保持されています。セッションハイジャックでは、何らかの方法でその保持されているセッションIDを乗っ取って、本来のユーザー権限を不正使用します。

● 個人的なメールや会員限定情報などを盗み見る
● 管理者ページへアクセスしてWEBサイトの改ざんや消去を行う
● 会員になりすまして商品購入や送金を行う

特にネットショップのような決済機能のあるWEBサイトではセッションハイジャックの被害が大きくなりやすいため、十分な警戒が必要です。

対策方法

セッションハイジャックを防ぐには、セッション管理方法を強化し、悪意ある第三者にセッションIDを知られないようにします。

例えば、以下のような方法です。

URLにIDを含めない

ワンタイムセッションIDの発行

管理ツールを利用する

お電話でのご相談は 03-6427-5422
受付時間：平日10:00～18:30

お電話でのご相談はこちら TEL:03-6427-5422 (平日10:00～18:30)

3.　人的情報漏えい対策

セキュリティ対策の中でも忘れてはいけない、ですが意外に多く発生するのが人的な情報漏洩です。内部関係者が、情報を印刷物やUSBメモリ、CD―ROMなどの形で情報を持ち出す行為です。

この問題に対しては、外部へのセキュリティ対策ではなく内部への対策、いわゆる”情報漏えい対策”が必要になります。システム運用面にてどのように防ぐかを考えることが大切です。

人的情報漏えいの例

人的情報漏えいでは、例えば以下のような例が考えられます。

USBメモリやマイクロチップなどの外部記憶媒体や、紙、電子メールなどを使って機密情報を外部へ持ち出される
退職社員から在職中のアカウントを利用して内部情報を取得される
置き忘れや盗難によりパソコンやデバイスごと情報が取られてしまう
家で仕事をするために持ち帰ったデータが外部へ漏れてしまう
メールやFAXの誤送信

故意に情報が盗まれるケースと、社員のミスによって情報が漏えいしてしまうケースの両方の事例が発生しています。

ルールによる対策

人的情報漏えいに対しては、ただ注意するよう呼びかけるのではなく、きちんとしたルール策定が必要です。
ツールを使ったハード的な対策と、社内ルールによるソフト的な対策の両面で考えましょう。

セキュリティ機能付きのツールを使う

対策ルールを策定する

4.　脆弱性対策

WEBサイトやソフトウェアの脆弱性を狙った嫌がらせや攻撃手法についても紹介します。

DoS,DDoS攻撃

WEBサーバーへの代表的な攻撃で「DoS、DDoS攻撃」というのがあります。これは、ブラウザをリロードしてページを再表示させるリクエストをWEBサーバーへ大量に送りつける攻撃手法です。

DoS攻撃

DDoS攻撃

DosやDDos攻撃は、仕組み自体は単純なものの、規模が大きくなるとWEBサービスが繋がりにくくなるなどサービスを停止へ追い込む威力があります。

コンピューターウイルス

「コンピュータウィルス」も、気をつけなければいけないセキュリティ対策の一つです。コンピュータウィルスは、人間のウイルスとほぼ同様の動きをします。一度ウィルスに感染すると、自分自身のセルフコピーを自動で作成し、次々とそのウィルスが感染していきます。

このウィルス感染にすぐに気付ければ最小限の被害で終わりますが、気づけずに別のコンピュータへコピーされた場合などは厄介です。さらにウィルス感染が広がってしまいます。まさに人間に起こるウィルス感染がコンピュータの中で起きているような状況です。

中でも「スパイウェア」に感染すると、サーバー内部に侵入し、個人情報や購買履歴などを勝手に送信してしまうようなスパイ活動を自動で行うので、とても厄介です。例えばインターネットバンキングなどを利用している場合、ログイン時の口座番号やログインID、パスワードなどの情報を盗み出して外部へ送信する可能性もあります。サービス停止に追い込まれるだけではなく、多額の損害賠償が必要になるケースも想定できるでしょう。

コンピュータウィルスは日々新しいものが生み出され、拡散されています。「これなら万全」という状態は、残念ながらありません。セキュリティソフトは最新のバージョンを使うのは当然として、「外部からの怪しいメールは開かない」などの社内ルールを徹底する必要があります。

5.　セキュリティ対策を外注するなら

サイト運営するにあたっては、セキュリティ対策は前提条件です。特に、会員登録などで個人情報を取得するサイト、決済機能を有するサイトでは、十分な対策が必要です。

万が一、情報漏えいや不正利用などの攻撃にあってしまった場合、その被害・損失は計り知れません。会社とサイトの信頼性に傷がつくのはもちろん、多額の損害賠償を請求されるリスクもあるのです。

社内にセキュリティ対策チームがいるのが一番ですが、そうでない場合は外部のセキュリティ対策のプロに外注することをおすすめします。これから新規でWEBサイトを作るというのであれば、制作に入る前にセキュリティ面も検討しておくとよいでしょう。

お電話でのご相談は 03-6427-5422
受付時間：平日10:00～18:30

お電話でのご相談はこちら TEL:03-6427-5422 (平日10:00～18:30)

6.　WEBセキュリティ対策のまとめ

今回は、WEBサイト開発依頼時に対策を考えておくべきセキュリティ対策に関する内容を説明してきました。リリースしてからセキュリティ対策を考えるのでは遅すぎますので、必ず要件定義の際に対策まで検討する必要があります。

セキュリティ対策は、やればやるほどコストがかかります。そして完璧がない状況です。それでも何もやらないというのは個人情報や機密情報を扱う以上は考えられないので、セキュリティ対策に関する要望は、必ずRFP（提案依頼書）の中にも記述するようにしましょう。