1. ホーム
  2. 法人のお客様
  3. 法人向けおすすめサービス特集
  4. Webサイト運営に絶対必要なWebセキュリティ

他人事じゃない!Webサイトへのサイバー攻撃 Webサイト運営に絶対必要なWebセキュリティ WAF、DDoS攻撃にはどう対策するか

他人事じゃない!
多様なWebサイトが被害に
あっている

サイバー攻撃のターゲットは国家や大企業だけだと思っていませんか?
下は被害の一例ですが、通販サイトをはじめ、多様なWebサイトが毎週のようにサイバー攻撃の被害にあっていることが分かります。攻撃により、時には高額な損害賠償や企業イメージの失墜など、ビジネスに大きな影響を及ぼすことも。

事務用品や文房具を取り扱う通信販売サイトが不正アクセスを受け、最大12万件の顧客情報が流出した可能性があると発表。

通信販売サイト

http://www.security-next.com/114049

チーズを取り扱う通信販売サイトが不正アクセスを受け、268件のクレジットカード情報が流出し、一部が不正利用された可能性があると発表。

通信販売サイト

http://www.security-next.com/113840

スニーカーやスポーツ用品を取り扱う通信販売サイトが不正アクセスを受け、63件のクレジットカード情報が流出した可能性があると発表。

通信販売サイト

http://www.security-next.com/113419

某大学では、教育学部のウェブサイトが不正アクセスを受け、同大の意図しない記事が改ざんによって掲載されたことを発表。

大学 学部サイト

http://www.security-next.com/113380

某県の公式サイトにて、一時閲覧ができない状態が発生。同様の状況が複数回発生しており、DDoS攻撃が原因と見られると発表。

県公式サイト

http://www.security-next.com/113320

業務用タピオカの通販サイトがクレジットカード会社から情報流出の可能性について指摘を受けていたことを発表。

通信販売サイト

http://www.security-next.com/112877/2

豚肉の加工食品を扱う通信販売サイトが不正アクセスを受け、286件の顧客のクレジットカード情報が流出した可能性があることを発表。

通信販売サイト

http://www.security-next.com/112684

※出典:Security NEXT

情報漏えいによる信頼の失墜・損害賠償 サイト停止による機会損失

Webサイト運営者が、
考慮すべきセキュリティ
リスク

サイバー攻撃による被害事例は様々ですが、主なセキュリティリスクは3種類あり、攻撃手法は2種類に分けられます。
セキュリティリスクへの対処には、攻撃手法を把握し、適切なWebセキュリティ対策を実現することが重要です。

主なセキュリティリスク

個人情報の流出

サイト内に保有している個人情報が流出。クレジットカード情報が盗まれることもある

個人情報の流出の図

サイト改ざん

内容の書き換えだけでなく、マルウェアを感染させるサイトに改変される場合もある

サイト改ざんの図

攻撃❶Webアプリケーションの
脆弱性を突いた攻撃

サーバダウン

一時的にサイトが利用できなくなる

サーバダウンの図

攻撃❷攻撃者による集中アクセス

サイト運営で絶対必要な、
2つのWebセキュリティ

攻撃❶Webアプリケーションの
脆弱性を突いた攻撃【WAF】

攻撃者がWebアプリケーションの脆弱性を悪用して侵入し、Webサーバに格納された個人情報を盗みだしたり、コンテンツを改ざんしたりします。Webアプリケーションの脆弱性が発生する要因としては、プログラム作成時のミスや修正パッチ/プログラムの更新の漏れなどが挙げられます。

Webアプリケーションの脆弱性を突いた攻撃の図

代表的な攻撃として、SQLインジェクションやクロスサイトスクリプティングが挙げられます。脆弱性への対策を怠ると思わぬ被害を受けてしまう可能性があります。

SQLインジェクションの攻撃例

SQLインジェクションの攻撃例の図

脆弱性を利用して、アプリケーションが想定していないSQL文を実行させることにより、データベースを不正に操作し、攻撃を実行

Webアプリケーションに対する
Webセキュリティ対策

Webアプリケーションの設計時に脆弱性を作りこまないことはもちろん、プログラムの定期的な診断/更新をすることも重要です。ただ、最新バージョンへの更新やセキュリティパッチの適用を即時で対応することは運用面で困難です。このようなカバーしきれないリスクに対して有効な対策がWAF(Webアプリケーションファイアウォール)です。

WAFはWebアプリケーションに特化した対策で、Webサーバの前段に設置して、通信を解析し、Webアプリケーションの脆弱性を突く攻撃をブロックします。従来のファイアウォールやIPS/IDSでは、Webアプリケーションレベルの検査はできないため、WAFによる特化した対策が必要です。

Webアプリケーションに対するWebセキュリティ対策の図

WAFの導入は年々加速

WAF市場 売上金額推移

WAF市場 売上金額推移のグラフ
グラフ【出典】ITR「ITR Market View:サイバー・セキュリティ対策市場2020

近年、Webサイトを活用した事業展開が活発化していることなどから、セキュリティ対策として国内WAF市場は右肩上がりで成長。今後も導入が加速すると予測されています。

攻撃❷攻撃者による集中アクセス【DDoS対策】

攻撃者が、複数のコンピュータから標的のWebサーバに、ネットワークを介して大量の処理要求を送ることでサービスを停止させます。一般的に、こうした攻撃はDDoS攻撃と呼ばれています。

攻撃者はマルウェアに感染させた多数のコンピュータ(ボットネット)を利用し、複数の送信元から大量アクセスによる攻撃を仕掛けます。近年では増加するIoT機器をボットネット化することで、攻撃の規模が更に拡大しています。

攻撃者による集中アクセスの図

DDoS攻撃は継続的に発生

IIJにおけるDDoS攻撃の観測結果を見ると、年間を通して途切れることなく攻撃が続いていることが分かります。また、2020年2月には539.97Mbpsの大きな攻撃も観測しており、Webセキュリティ対策なしでは、深刻な被害が発生することが推測されます。

DDoS攻撃の検出件数(2019年4月~2020年3月)

DDoS攻撃の検出件数(2019年4月~2020年3月)のグラフ
※IIJマネージドセキュリティサービスやバックボーンなどでIIJが対処したDDoS攻撃の観測結果
各月の傾向は wizSafe Security Signal 観測レポートをご参照ください。

集中アクセスに対する
Webセキュリティ対策

DDoS攻撃を防ぐために重要なポイントは、対策を行う「場所」です。近年では攻撃規模の拡大により、お客様環境の回線を埋め尽くしてしまう場合もあるため、お客様の回線に入る手前で対策を行う必要があります。

そのためには、インターネット接続事業者や WAF / CDN(コンテンツキャッシュ)を提供する事業者のDDoS対策機能を利用することが効果的です。

Webサーバ側で対策

Webサーバ側で対策の図

事業者ネットワーク上で対策

事業者ネットワーク上で対策の図

拡大するDDoS対策市場

DDoS対策市場 売上金額推移

DDoS対策市場 売上金額推移のグラフ
グラフ【出典】ITR「ITR Market View:サイバー・セキュリティ対策市場2020

従来より観測されているDDoS攻撃ですが、近年は特に攻撃規模が拡大しているため、市場でも増々対策が求められていくと予測されています。

Webセキュリティ対策の
選定ポイント

きめ細やかな設定やカスタマイズが必要となる場合はオンプレミス型(アプライアンス型)を選択するケースもありますが、近年、ITインフラのクラウド化が進み、こうしたセキュリティ対策も運用面や導入の容易さの観点からクラウド型(サービス型)を活用するケースが増加しています。多種多様なクラウド型の中から選ぶ際には、「運用」「拡張性」「導入」の3つのポイントを考慮するとよいでしょう。

クラウド型(サービス型)の選定ポイント

運用

シグネチャ更新など煩雑な運用作業は事業者に任せられる

拡張性

保護対象のサイト数や帯域に応じて拡張可能

導入

各種レコードの変更のみで手軽に導入できる

WAFもDDoS対策も任
せられる
IIJのクラウド型サービス

IIJでは、クラウド上でWAF/DDoSを一元的に対策できる「Webセキュリティプラットフォーム」を提供しています。クラウド型の3つの選定ポイントも兼ね備えており、Webサイトに必要なセキュリティ対策を安心してお任せいただけます。

WAFもDDoS対策も任せられるIIJのクラウド型サービスの図

特徴①:高性能WAFをクラウドで

市場での実績も高いF5ネットワークス社のBIG-IP ASMをWAFエンジンとして採用。シグネチャ更新や緊急パッチ適用作業などによる運用負担を解消します。

特徴②:お客様の回線帯域を守るDDoS対策

IIJバックボーン内にDDoS攻撃対策システムを配備。攻撃元に最も近い設備で防御することにより、大規模なDDoS攻撃にも併せて対応できます。

特徴③:あらゆるWeb環境に対応

オンプレミス環境はもちろん、AWS/Azure/GCP などマルチクラウド環境の一元的な防御にも対応。各クラウドへの閉域接続で安全性を高めることも可能です。

閉じる