コラムアーカイブ

上記の記事にはクロスサイトスクリプティングなどのウェブサイト（※）の脆弱性の解説や対策が書かれています。セキュリティに馴染みが無い人には難しい言葉ばかり並んでいますが、ウェブサイトをインターネットに公開する場合は、セキュリティは難しいと言わずに、ウェブサイトの脆弱性対策の必要性を理解して対策を実施しなければいけません。インターネットは世界中とつながっていて、攻撃者がウェブサイトの脆弱性を狙っています。

※ウェブサイトの呼び方は他にも、ウェブシステム、ウェブアプリケーション（ウェブアプリ）、ウェブプログラム、ウェブサービスなどがあります。

攻撃者にウェブサイトの脆弱性を悪用されると、ウェブサイトの不正利用、顧客情報などの情報漏洩、ウェブサイトの停止やデータ破壊などの被害が発生する可能性があります。また、ウェブサイトが乗っ取られると攻撃に加担させられる可能性もあり、被害は自身だけに留まらない場合もあります。

ウェブサイトの脆弱性は、脆弱性が作られる場所によりタイプが異なります。主に、ウェブサイトで「利用するソフトウェア製品」に脆弱性があるか、ウェブサイトの「開発者が作った独自のアプリケーションやプログラム」に脆弱性があるか、大きくこの2種類に分類されます。

①ウェブサイトで利用する製品の脆弱性と対策
ウェブサイトのサーバーで利用される製品（OS、ウェブサーバー、ミドルウェアなど）に脆弱性がある場合、または製品に設定の不備がある場合に、攻撃者に悪用される危険性があります。対策は、「製品の最新の状態へアップデート」や「設定の見直し」をウェブサイトの公開前と公開後も定期的に実施する必要があります。このタイプの脆弱性はウェブサイトの構築や維持を担当する人間が理解して対処する必要があります。

②ウェブアプリケーションの脆弱性と対策
ウェブサイトが受け付けるリクエスト（パラメーターやフォームによる値の入力）によって処理結果や表示内容が動的に変化するサイト（つまり、プログラムを持つウェブアプリケーションの形態のサイト）、例えば、ログイン機能や検索機能やお問い合わせフォームがあるサイトなど、ユーザーのリクエストによって処理が発生するサイトの場合、悪意のあるリクエストによってウェブサイトが悪用される危険性があります。対策として、IPAの「安全なウェブサイトの作り方」に書かれているような脆弱性対策を理解した開発者によって、対策が施されたプログラムが作成される必要があります。このタイプの脆弱性はウェブサイトのプログラム開発や維持を担当する人間が対処する必要があります。

上記の①②共通して、必要に応じて脆弱性診断をウェブサイトの公開前と公開後も定期的（または変化が発生するタイミングで）に実施します。診断の必要性は、ウェブサイトで取り扱う情報の重要性・機密性や、サイトやデータが改ざんされてはならないという完全性、サイトがダウンしてはならないという可用性から判断します。これらの要素が強い場合は、WAF（ウェブアプリケーションファイアウォール：ウェブサイトへの攻撃を遮断・検知するシステム）や改ざん検知など上記以外の追加対策も検討します。

ウェブサイトを公開する場合、インターネットからの攻撃を常に想定して、必要な対策の維持を常に意識するようにしてください。ウェブサイトの改ざんにより攻撃者に悪用されて加害者側に立たされる可能性もあるため、ウェブサイトの公開と脆弱性対策には社会的責任を伴うと言っても過言ではありません。

とはいえ、実際にはウェブサイトにはさまざまな形態があるため、どこまで対策を実施するか判断する必要があります。その判断が難しいこともありますが、ウェブサイトを狙う攻撃の被害に遭わないためには、対策から逃げてはいられません。ウェブサイト関係者間で認識を合わせた上で、ウェブサイトの開発・構築・維持の中で必要な脆弱性対策を選択して実施していきましょう。脆弱性対策のコストを計画や予算に盛り込み、開発や運営の委託業者を利用する場合は、脆弱性対策の方針を聞いて脆弱性対策のへ責任意識や具体策を持っているか確認しながら進めると良いです。チーム内に専門的知識が足りないと感じたら、外から知識を借りるようにしてください。

ご参考：

IPA「安全なウェブサイトの作り方」
https://www.ipa.go.jp/security/vuln/websecurity.html

NISC「インターネットの安全・安心ハンドブック」
https://security-portal.nisc.go.jp/handbook/