あなたが運用している Web サイトにはどのようなセキュリティ対策が行われていますか。
現在のWEBサイトにおいては、セキュリティというものはとても重要視されています。
少しでも情報流出してしまうと、大きな問題になりかねませんからね。
そして、自分が運用しているWeb サーバーにどのようなデータが保持されているか把握していますか?
それが、万が一外部に流出してしまった時に、どのくらいリスクになるかも理解していますでしょうか。
今回は、そのWEBサイトにおけるセキュリティについてお話ししていきます。
この記事を読むことで、WEBサイトのセキュリティについて大枠をつかむことができるかと思います。
WEBサイトの脆弱性に対しての対策
WEBサイトは、想像以上に外部からの攻撃にさらされている状態です。
世の中では、毎日、多くの攻撃を受けているのが現状です。
この攻撃の1つが「脆弱性」を狙った攻撃となります。
脆弱性とはセキュリティ上の欠陥になります。
OSやソフトウェアにおける、この脆弱性を突いて攻撃をしかけてくるのです。
したがって、扱っているWEBサイトでは、脆弱性が存在しない状態を保たねばなりません。
利用しているOSやソフトウェアにて、脆弱性が発生された場合には、該当のOSやソフトウェアより脆弱性対応したバージョンが提供されます。
このOSやソフトウェアを最新バージョンへアップデートすることで、脆弱性を防ぐことが可能となります。
脆弱性が存在しないように、適時OSやソフトウェアの最新化を行う。
WEBサイトにおける主な3つのセキュリティ対策
次に、WEBサーバにおける主な3つのセキュリティ対策について解説をします。
それは「ファイアウォール」「IPS」「WAF」という3つになります。
基本的にはこの3つを組み合わせること(それぞれ補い合うこと)で、WEBサーバのセキュリティが構築されるのが望ましいです。
ファイアウォール(Firewall)
ファイアウォールとは、ネットワークとネットワークの間にある壁です。
この壁では、決められた通信しか通すことができないようになっています。
したがって、WEBサイト(サーバ)を構築する際に、そのサーバはどの通信を許可するかを(それ以外は通信させない)、あらかじめ計画して、ファイアウォールに対して設定を行います。
例えば、WEBサーバの前にあるファイアウォールでは、基本的にはHTTPSの通信しか通すことを許可していない。
という具合です。
IPS(Intrusion Prevention System)
IPSとは、日本語にすると「不正侵入防止システム」といいます。
ネットワーク中で発生するイベントを監視・分析することで、不正な侵入を検知する仕組みとなっています。
似たような仕組みでIDS(Intrusion Detection System)と言うものもあります。
これらの違いは、IPSは検知された不正な動きの侵入を自動的に遮断しますが、IDSでは遮断までは行いません。
WAF(Web Application Firewall)
WAFの仕組みとしては、攻撃のパターンというものをあらかじめ保存しておきます。
これを「シグネチャ」と言います。
通信内にこのシグネチャと一致するものがあるか無いかチェックを行い通信を制御します。
シグニチャーの定義には、ブラックリスト型とホワイトリスト型という2種類があります。
まとめ
今回は WEBサイトにおけるセキュリティという面にお話をしてきました。
内容としては以下でした。
外部からWEBサイトへの攻撃は想像以上に、至る所で行われています。
例えば、WEBサーバーのログを少し見た場合、海外のIPから短時間で大量の通信が発生していたりなどが良くあります。
ここで、WEBサーバーのセキュリティに、抜け道があった場合、攻撃の対象となりかねません。
したがって、WEBサイトにおけるセキュリティはしっかりと行っておかねばなりません。
(セキュリティは、お金や手間をかければいくらでもできます。したがって、どこまでのセキュリティをかけるかは判断となってきます。)
また、冒頭にもお伝えしたように、サーバーの中にどのようなデータが保存されているかについては確実に把握しておかなければなりません。
いかに素晴らしいWEBサービスを提供したとしても、セキュリティが甘ければ安心してそのサービスを利用することができませんね。
しっかりとセキュリティについても対策をしていきましょう。
以上です。
コメント