近年、Webサイトの改ざんやWebアプリケーションからの情報漏洩が多数発生しています。情報セキュリティシステムもかなり進歩し、個人も企業もセキュリティレベルが向上しているはずなのに、Webサイトへの不正アクセスは増加傾向にあります。
ここでは、Webサイトの種類別にセキュリティ対策をどう講じるべきかを考察したいと思います。
1.Webアプリケーションのセキュリティ対策
脆弱性を出さない開発を心がけ、少なくとも以下の項目は避けるべきです。
・SQLインジェクション
・OSコマンドインジェクション
・ディレクトリトラバーサル
・クロスサイトスクリプティング
・バッファオーバーフロー
・不要なファイルや内部ページを公開しない
Webアプリケーションには非常に多くのファイルが存在しますが、ユーザーが使用するページ以外は表示しないようにしましょう。
特に、設定ファイルなどはデータベースへのアクセスなどの情報が記載されていることが多いので、絶対に外部からアクセスできないよう、厳重な管理が必要です。
・Webアプリケーションのログを記録する
ログはシステムが稼働した際にどんな挙動をしたのかが記録されるので、万が一攻撃を受けた際の動きを確認し、追跡や対策に役立てることができます。
2.Webサーバのセキュリティ対策
Webサーバの主な働きは、自社のWebサイトを公開することだけです。
しかし、サーバ内にはサービスがあらかじめインストールされていることが多いです。
そうしたアプリケーションなどに脆弱性がある場合、そこから攻撃を受ける可能性があるので、不要なアプリケーションやサービスはアンインストールもしくは停止しておきましょう。
・不要なアカウントは削除する
サーバを設置したり、設定したりする際に作成したテストアカウントなど、実際の運用には必要ないアカウントは脆弱性になりうるので削除しましょう。
・ディレクトリやファイルへのアクセスを制限する
Webサーバにアクセスできる全員が全てのディレクトリやファイルにアクセスできるのは非常に危険です。内部の人間のファイルの改ざんを防ぐためにも、Webサイトを更新できる者や管理する者のみにアクセス権限を与えるべきでしょう。
・ファイアウォールを設計する
ファイアウォールはサーバセキュリティの基本です。サーバへの通信は、必要最低限に絞り込み、不要な通信を遮断することで、潜在的なリスクを排除する事ができます。ファイアウォールは専用機の導入がベストですが、簡易的なものであれば、サーバ側で設計する事も可能です。
以上のように、Webサイトにも適正なセキュリティ対策を施すことで個人情報の流出などのリスクを軽減することができます。
いずれの場合もログを記録することはかなり有用な手段なので、必ず記録しておくようにしましょう。