Webサイト制作者必見!サイバー攻撃への技術的なセキュリティ対策 | 千葉で集客ホームページ制作はティーエスフォート
コラム

Webサイト制作者必見!サイバー攻撃への技術的なセキュリティ対策

Webサイト制作者必見!サイバー攻撃への技術的なセキュリティ対策

多くのセキュリティ事故が起きている中、あらゆる企業において、Web上のセキュリティ対策は必須だと言えるでしょう。

この記事では、Webサイトを制作するにあたって重要となるセキュリティ対策の中でも技術的な対策についてご紹介します。

1.WAF(Web Application Firewall)

WAFはwebアプリケーションに特化したタイプのファイアウォールです。近年のホームページは検索機能や投稿機能、会員登録機能など何らかのWebアプリ機能を持っていることが多いため、この点を介した攻撃への対策は必須です。

webアプリを介した攻撃に対して力を発揮するのがWAFです。特に、会員制サイト、口コミサイト、オンラインショップ、SNSなど、インターネット上で何らかのサービスを行っている企業では導入が必須です。

WAFの仕組みとしては、ブラックリスト型とホワイトリスト型の2種類があります。

ブラックリスト型

ブラックリスト型では既知の攻撃パターンをシグネチャに定義しておき、シグネチャに一致する通信を拒否します。複数のWebアプリケーションに対して適用することが可能ですが、未知の攻撃には対応することができないのがデメリットです。


ホワイトリスト型

ホワイトリスト型は、「許可する通信」をシグネチャに定義し、シグネチャと一致しなかった通信についてはすべて拒否し、不正アクセスの防止を図ります。未知の攻撃を防ぎ、Webアプリケーションに応じて柔軟な対応ができるのです。一方で「許可する通信」の定義が難しく、Webアプリケーションごとにホワイトリストを用意する必要があるため、運用が大変になるというデメリットもあります。

2.XSS(クロスサイトスクリプティング)対策

XSSとは、お問い合わせフォームなど、ユーザーが入力したものをサーバーへ送信できるインターフェースから悪意のあるプログラムを侵入させるサイバー攻撃です。閲覧するユーザーには別のWebサイト(クロスサイト)にリンクをさせるなどして、個人情報を盗んだりやマルウェア感染といった被害を及ぼします。

対策として2つご紹介します。

対策①入力値の制限

XSS攻撃はサイトへ不正なスクリプトを埋め込む攻撃です。これを防ぐために入力値制限を行います。例えば、郵便番号を入力するフォームでは、数字以外の文字種を入力できないように制限します。

それ以外には、ID・パスワードを入力するフォームでは半角英数字〇文字までしか入力できないなどの制限をしておきます。文字種の制限が難しいフォームでは、入力可能な文字数を制限するだけでも効果があります。


対策②サニタイジング

サニタイジングとは、サイトのフォームなどへスクリプトの構成に必要となる文字が入力された場合に、その文字を別の文字へ書き換えてしまう手法のことです。これによって、仮に攻撃者がスクリプトを埋め込もうとしても無効化することができます。

3.SQLインジェクション対策

SQLを不正に操作して、Webサイトを改ざんしたりウィルスを設置するサイバー攻撃です。例えば、オンラインショップなどで顧客情報を管理しているデータベース内に攻撃者が不正なSQLを侵入させ、データベース内の個人情報を盗み取るといった被害があります。

SQLインジェクション対策としては、悪意のあるSQL言語を正常な文字列に変換させるなどの方法があります。

他には以下があります。


①エラーメッセージを非表示にする

詳細なデータベースに関するエラーメッセージをウェブページに表示させないようにします。



②データベースアカウントの権限見直し

全部の権限を持つアカウントは使わないようにします。権限を必要最小限にすれば、防げる攻撃もあるからです。

4.CSRF(クロスサイトリクエストフォージェリ)対策

CSRFは、Webアプリケーションの脆弱性を利用したサイバー攻撃です。例えば、オンラインショップにログインしたユーザーを、悪意のある別のクロスサイトにリンクをさせ、不要なものを買わせるなどの被害があります。

XSSはブラウザで実行されるのに対し、CSRFはWebアプリサーバで実行されます。対策としては、Webアプリケーションが不正なリクエストの受信や処理をさせないよう、システムを作り込むなどの方法があります。

まとめ

今回の記事では、Webサイトのセキュリティ対策として以下の3つをご紹介しました。技術的に行うことができる対策とそれ以外の対策があります。

①XSS(クロスサイトスクリプティング)対策
②SQLインジェクション対策
③CSRF(クロスサイトリクエストフォージェリ)対策

今回は技術的な対策に絞ってご紹介しましたが、それ以外の対策もありますので、検討してみてはいかがでしょうか。

セキュリティ対策の向上とサイバー攻撃とはいたちごっこになっています。どちらかがレベルが上がるともう片方も上がるという構造は今後も変わらないでしょう。

だからこそ、最先端のセキュリティ対策をチェックしておくことが重要となります。

関連記事

ページ先頭へ