Webサイトの保守・運用業務におけるセキュリティ対策の重要性
はじめに、Webサイトの保守・運用をされている方が“セキュリティ”というキーワードを聞くと、情報セキュリティ部門の担当領域なので、自分たちの業務には直接かかわらないと思われる方もいるのではないでしょうか。しかし、皆さんが日々行っているシステムの保守・運用業務もWebセキュリティを守ることにつながっています。
Webサイトに対する攻撃というとSQLインジェクションや、クロスサイト・スクリプティングなど、Webアプリケーションの脆弱性を狙った攻撃をイメージされやすいと思います。しかし攻撃は、Webサイトで利用されているソフトウェアやフレームワークで発見された新しい脆弱性※1も狙っています。
※1.OpenSSLの脆弱性(通称:Heartbleed)、Apache Strutsの脆弱性、GNU Bashの脆弱性(通称:ShellShock)、SSL 3.0の脆弱性(通称:POODLE)、glibcの脆弱性(通称:GHOST)、TLS/SSLの脆弱性 (通称:FREAK)など。GNU Bashの脆弱性(通称:ShellShock)の時には公開されてから数日内に攻撃が始まっています。
これらの脆弱性が発見された際には、システムの保守・運用を行っている方がWebサイトを守るべく影響確認と対応を行うことが求められています。
脆弱性はいつ発見されるか予測することが難しいです。そのため、普段から脆弱性に対して備えておく必要があります。
Webサイトのセキュリティは、まず何に注意しておけばいい?
1.Webサイトの構成を把握しておきます
ソフトウェアやフレームワークなどで新しい脆弱性が発見された時には、運用しているWebサイトで該当しているか確認します。
利用していなければ影響を受けることはないため、対応する必要はありません。
事前に把握していないと、新しい脆弱性が発見された場合、経営層などから「うちのシステムは大丈夫か?」と調査依頼が来てから調査をすることになります。
対象となるWebサイトの台数などにもよりますが、想定より調査に時間がかかることもあるため、普段からWebサイトを構成しているOS、ミドルウェア、フレームワーク、ソフトウェア、モジュールなどのバージョン情報を含めた一覧を作成・更新しておき、必要な時に参照できるようにしておくことが大切です。
2.管理する責任を明確にします
クラウドサービスを利用してWebサイトを運用している時や、運用の一部を外部に委託している場合では、Webサイトを構成しているソフトウェアやフレームワークなどの管理、脆弱性への対応をどちらが行うのか管理責任を明確にしておきます。
3.脆弱性の情報を取集します
新しい脆弱性はいつ発見されるか予測が難しいため、継続的に脆弱性の情報を収集することが重要です。
情報元の参考として、ここでは脆弱性に関する各種情報(概要、影響を受ける製品、影響、対策など)を提供しているJPCERT、IPA 、JVN iPediaのWebページを掲載しておきます。
- 一般社団法人 JPCERT コーディネーションセンター 注意喚起ページ:https://www.jpcert.or.jp/at/2015.html
- IPA 独立行政法人 情報処理推進機構 重要なセキュリティ情報一覧ページ:http://www.ipa.go.jp/security/announce/alert.html
- JPCERT、IPAが共同で運営している脆弱性対策情報ポータルサイト JVN(Japan Vulnerability Notes):http://jvn.jp/
また、発見された新しい脆弱性の情報をメールなどで配信してくれるサービスもありますので、必要に応じてこれらを利用することでも情報を取集することもできます。どの情報元を利用するかについては、実運用などを考慮して考える必要があります。
4.脆弱性への対応方針を決めておきます
脆弱性へ対応する際には、発見された脆弱性による影響を考慮し、どの脆弱性を先に対応するか優先度を付けて行うことが重要です。
優先度をつけるための方針を決めておくことで、新しい脆弱性が発見されたとしても方針に沿った対応を行うことができます。
