情報発信・ブログ
Webセキュリティ対策は"これ"でダイジョウブ?
インターネットとともに知られるようになったキーワードとして、「脆弱性」という言葉があります。「脆弱性」とは、コンピュータのOSやソフトウェアの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のことを言います。
アルファベットとカタカナ表記がほとんどのデジタルキーワードの中で、なぜか3文字とも漢字という異彩を放った存在ですね。
※総務省「国民のための情報セキュリティサイト」より引用
IoTがやってキタ~
最近では、自宅のあらゆる機器がインターネットに接続されることで、外出先からエアコンや電気をつけたり、照明の明るさ調整したり。はたまた、自宅の鍵を閉めたか?締めてなかったら締めるといったことまで、インターネットにさえ繋がっていれば操作できるようになってきています。
自動車ですら、インターネットと常時接続して、渋滞情報をナビゲーションに出すだけでなく、スマホアプリと連携することで、走行時間や燃費などアプリで知ることができるものや駐車操作をスマホでってものまで...。
また、IFTTT(Facebook、DropboxなどのWebサービス同士を連携できるサービス)、スマートスピーカー、AIなど連携することで更に便利になってきますね。いろんなサービスが、インターネットの接続なしでは考えられない時代がもうやってきてます。
非常に便利になる反面、インターネットに繋がってさえいなければ起こらなかった、怖い「脆弱性」の事故も増えてきます。
日本ではありませんが、最近、スマートスピーカーが夫婦の会話を勝手に録音して送信したってニュースになってましたね...怖い、怖すぎる。これも、インターネットに繋がってさえいなければ、発生しなかった事象です。
便利だからと手放しにサービスを利用するのではなく、隠れたリスクに対しても十分に考えて使っていく必要がありますね。
サンドバック状態のサーバー達を守るWAFってナンダ?
話が飛躍しすぎちゃいましたが、本業であるWebに話を戻して、Webセキュリティを考えると、WAFというサービスがあります。WAFとはWeb Application Firewallの略語です。
WAFは何をするのかといえば、よく聞くものだと、クロスサイトスクリプティング、SQLインジェクション、ブルートフォースアタック、DDoS攻撃といったいろんな「脆弱性」に対しての外部からの攻撃からサーバー(コンテンツ)を守ってくれるものです。
WAFを入れておくことによって、攻撃された場合でも、問題が大きくならないよう未然に防ぐことができるのです。
世の中で一番使われているCMSにWordPressがあります。無料ですし、使ってみたいお客様や、すでに使ってらっしゃるお客様多いと思います。そんな世界でのシェアが多いCMSゆえに、頻繁に「脆弱性」に対しての攻撃がされています。その中でも有名なWordPressの「脆弱性」は、外部の第三者によってサーバー上でコンテンツを改ざんされてしまうものです。怖いですね...。
この脆弱性を悪用されたのでしょうか、多くのサイトが改ざんされたとニュースで話題になり、「導入しているサイトがあれば早期にアップデート対処を!」ってザワついてましたね。
※参照:IPA 「WordPressの脆弱性対策について」
みなさんがお使いのWordPressは最新に保たれていますか?万が一のためのバックアップはされていますか?
このような脆弱性からWebサイトを守ってくれるのがWAFなんです。契約しているサーバーの契約プランによってはWAFが実装されているものもありますが、どこのサーバーを使っているかどんな契約プランになっているかによって機能などがまちまちです。
サーバーにオプションとしてついているWAFのプランなどに関しては、サイト自体でPHPやCGIといったプログラムが動いていると不具合に繋がることもあるので、注意が必要です。
秘伝のWAFなら任せっきりでもダイジョウブ
そんな重要な機能を果たすWAFにも、使い勝手のいいASPのサービスが出てきています。
導入が楽になるだけでなく、その後の管理・運営も非常に楽になるサービスを選ぶのがポイントです。
当社でも積極的に活用させていただいているASPサービスがありますが、導入後はそのサービスに任せっきりでOKです。設定を見直すなどといった運用管理が必要なサービスではありません。あえて言います、任せっきりです!
その管理画面入るとびっくりするのが"ログ"です。先にも書いたように、WordPressやその他CMSなどの脆弱性を狙い、いろんな国から攻撃があります。こんなに攻撃って来てるのかって、改めて感じることになります。これでもかと言わんばかりに攻撃されているログを見て不安に感じることはありません。任せっきりでOKなASPサービスがブロックしてくれているので、安心してもらって大丈夫です。
世界中からのアタック状況を伝える当社秘伝のクラウド型WAF「攻撃遮断くん」