Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

Webサイトのセキュリティは、まず何に注意すればいいの?保守・運用時のセキュリティ対策

  2015/03/26 06:00

 クラウドサービスなどの普及により比較的容易に自社のWebサイトや、オンラインショップなどをインターネットに公開することができるようになりました。Webサイトをインターネットに公開することで世界中からアクセスできるため、ビジネスのチャンスが増えますが、その分Webサイトに対するセキュリティ上のリスクも増えます。本連載では、Webサイトを開発・運用しているIT部門や情報システム部門の方に向けてWebセキュリティの基礎知識やしくみ、脅威と対策、注意点や見落としがちなポイントについてお伝えします。

Webサイトの保守・運用業務におけるセキュリティ対策の重要性

 はじめに、Webサイトの保守・運用をされている方が“セキュリティ”というキーワードを聞くと、情報セキュリティ部門の担当領域なので、自分たちの業務には直接かかわらないと思われる方もいるのではないでしょうか。しかし、皆さんが日々行っているシステムの保守・運用業務もWebセキュリティを守ることにつながっています。

 Webサイトに対する攻撃というとSQLインジェクションや、クロスサイト・スクリプティングなど、Webアプリケーションの脆弱性を狙った攻撃をイメージされやすいと思います。しかし攻撃は、Webサイトで利用されているソフトウェアやフレームワークで発見された新しい脆弱性※1も狙っています。

※1.OpenSSLの脆弱性(通称:Heartbleed)、Apache Strutsの脆弱性、GNU Bashの脆弱性(通称:ShellShock)、SSL 3.0の脆弱性(通称:POODLE)、glibcの脆弱性(通称:GHOST)、TLS/SSLの脆弱性 (通称:FREAK)など。GNU Bashの脆弱性(通称:ShellShock)の時には公開されてから数日内に攻撃が始まっています。

 これらの脆弱性が発見された際には、システムの保守・運用を行っている方がWebサイトを守るべく影響確認と対応を行うことが求められています。

 脆弱性はいつ発見されるか予測することが難しいです。そのため、普段から脆弱性に対して備えておく必要があります。

Webサイトのセキュリティは、まず何に注意しておけばいい?

1.Webサイトの構成を把握しておきます

 ソフトウェアやフレームワークなどで新しい脆弱性が発見された時には、運用しているWebサイトで該当しているか確認します。

 利用していなければ影響を受けることはないため、対応する必要はありません。

 事前に把握していないと、新しい脆弱性が発見された場合、経営層などから「うちのシステムは大丈夫か?」と調査依頼が来てから調査をすることになります。

 対象となるWebサイトの台数などにもよりますが、想定より調査に時間がかかることもあるため、普段からWebサイトを構成しているOS、ミドルウェア、フレームワーク、ソフトウェア、モジュールなどのバージョン情報を含めた一覧を作成・更新しておき、必要な時に参照できるようにしておくことが大切です。

2.管理する責任を明確にします

 クラウドサービスを利用してWebサイトを運用している時や、運用の一部を外部に委託している場合では、Webサイトを構成しているソフトウェアやフレームワークなどの管理、脆弱性への対応をどちらが行うのか管理責任を明確にしておきます。

3.脆弱性の情報を取集します

 新しい脆弱性はいつ発見されるか予測が難しいため、継続的に脆弱性の情報を収集することが重要です。

 情報元の参考として、ここでは脆弱性に関する各種情報(概要、影響を受ける製品、影響、対策など)を提供しているJPCERT、IPA 、JVN iPediaのWebページを掲載しておきます。

 また、発見された新しい脆弱性の情報をメールなどで配信してくれるサービスもありますので、必要に応じてこれらを利用することでも情報を取集することもできます。どの情報元を利用するかについては、実運用などを考慮して考える必要があります。

4.脆弱性への対応方針を決めておきます

 脆弱性へ対応する際には、発見された脆弱性による影響を考慮し、どの脆弱性を先に対応するか優先度を付けて行うことが重要です。

 優先度をつけるための方針を決めておくことで、新しい脆弱性が発見されたとしても方針に沿った対応を行うことができます。

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 川島 拓哉(カワシマタクヤ)

    株式会社ラック ITサービス本部 セキュリティディレクションサービス部 システム開発、WEBアプリ検査業務を経て、セキュリティコンサルティング業務に従事。ユーザ目線でセキュリティを捉え、ユーザに合った適切なセキュリティとは何か常に考えるよう心がけている。また、お祭り好きな性格で、セキュリティ含め各...

バックナンバー

連載:ITマネージャーのためのWebセキュリティ入門
All contents copyright © 2007-2019 Shoeisha Co., Ltd. All rights reserved. ver.1.5