100以上のWebサイトの脆弱性と改ざんを可視化し、リスクを手軽に排除する方法：セキュリティ人材不足の企業が安全を「保ち続ける」には

Webサイトはエンドユーザーとの接点として重要な役割を果たす。複数のWebサイトを運用する企業が自社サイトのリスクを発見してセキュリティを継続的に確保する方法とは。

[PR／ITmedia]

PR

　Webサイトは商品情報や会員向けサービスの提供、それらを通したブランディングやロイヤルティーの向上など、あらゆる用途で利用されている。新型コロナウイルス感染症（COVID-19）の拡大によって対面でのやりとりが制限され、以前にも増してWebサイトが重要な役割を果たすようになった。

　顧客接点としての利用が進むにつれて、Webサイトのセキュリティ確保が課題になっている。これまでもWebサイトの脆弱（ぜいじゃく）性を突いたサイバー攻撃によってページが改ざんされたり、連携するデータベースから顧客の個人情報が漏えいしたりする事件が発生してきた。

　支社や事業部単位で管理しているため、自社が運用するWebサイトの全体数を把握できていない企業もあるはずだ。「国内外のグループ会社が個別に管理しているものを含めると100を超えていた」というケースもあり、これらのセキュリティを確保する負荷は大きい。

Web活用の場面が増えた結果、継続的な脆弱性の確認・対応が企業の課題に

　Webサイトのセキュリティを確保するための一般的な対策には、不正アクセスを検知、ブロックするWebアプリケーションファイアウォール（WAF）の導入や、新たなサービスやアプリケーションをリリースする際に第三者によるセキュリティ診断を受けて脆弱性を可視化し、修正してから公開するといった手法がある。

　だがそれらの対策だけで複数のWebサイトのセキュリティを「保ち続ける」のは難しい。

日立システムズの長谷川 裕二氏

　日立システムズの長谷川 裕二氏（セキュリティサービス事業部　セキュリティ戦略・企画本部　本部長）は「最近は『WordPress』をはじめとしたCMSやプラットフォームを利用したWebサイトを構築するケースが一般的です。こうした汎用（はんよう）プラットフォームは日々新たな脆弱性が発見され、その都度パッチの適用や設定変更をする必要があります」と話す。

　セキュリティ人材の不足は、IT業界全体の課題だ。Webサイトのセキュリティ診断や脆弱性対応を自社の人員で継続できる企業は限られる。かといって1回の検査で数十万円以上のコストがかかる外注サービスは手軽に利用できるものではない。外注サービスは依頼から検査までに対象範囲の確認といった検討事柄が多く、工数や時間も掛かる。

　近年は営業やマーケティング、広報の担当者がホスティングサービスなどを活用して独自にキャンペーンサイトを構築し、情報発信する機会も増えている。その中で「魅力的なコンテンツの提供には注力できても、脆弱性対策や改ざん対策まで目が行き届かないケースが見られる」と、長谷川氏は指摘する。

日立システムズの芝原幸弘氏

　日立システムズの芝原幸弘氏（セキュリティサービス事業部　セキュリティサービス本部　セキュリティサービス部　主管技師）は「Webサイトのリリース時にセキュリティ診断をするだけでなく、継続的に脆弱性や改ざんの有無を確認する体制も必要です。それができていない場合、新たな脆弱性が発見されても放置されてしまいます」と語る。

　Webサイトが改ざんされると、閲覧したユーザーのPCがマルウェアに感染したり、閲覧したユーザーがフィッシングサイトに誘導されてIDとパスワードなどの機密情報を盗まれたりする可能性がある。

　「自社サイトの脆弱性を放置することでユーザーに被害が及んだ場合、企業はある意味、加害者の立場にもなってしまいます」（芝原氏）

クラウドベースで手軽に脆弱性を検出する「GRED Webセキュリティ診断 Cloud」

　セキュリティ人材がいなくても低コストかつ手軽にWebサイトの脆弱性と改ざんを診断できる方法が必要だ。このニーズに応えるため、日立システムズグループのグループ会社であるセキュアブレインは「GRED Webセキュリティ診断 Cloud」と「GRED Web改ざんチェック Cloud」を提供している。

　GRED Webセキュリティ診断 Cloudは、URLを基にWebサイトの構造を解析し、「National Vulnerability Database」（NVD）や「Japan Vulnerability Notes」（JVN）といった脆弱性データベースの情報と組み合わせて脆弱性の有無をチェックする。1つのURLやドメインにひも付いたWebページを最大200ページ、1日に1回の頻度で検査する。Webサイトが複数ある場合は、診断結果を1つのポータル画面にまとめて表示することも可能だ。

　診断結果は、「認証の不備」「暗号処理の不備」などの7つの項目別にWebサイトのリスクを色分けし、解決方法を表示する。真っ先に対処すべきものとそうでもないものを可視化し、優先順位を付けて対応できる。

色分けされることで脆弱性のリスクを直感的に理解できる（出典：日立システムズ提供資料）

セキュアブレインの深谷亮輔氏

　クラウドベースの脆弱性診断サービスは幾つか存在する。その中でGRED Webセキュリティ診断 Cloudを利用するメリットについて、セキュアブレインの深谷亮輔氏（プロダクト推進部　プロダクトマネージャ）は次のように強調する。

　「疑似リクエストに対する応答から脆弱性の有無を判断するだけでは、セキュリティリスクを見逃す可能性もあります。GRED Webセキュリティ診断 Cloudは、そうしたサービスでは検出が難しいCMSなどのセキュリティリスクも可視化します」（深谷氏）

　2022年1月に話題になった「Apache Log4j」の脆弱性、通称「Log4Shell」でも明らかになった通り、サイバー攻撃者はCMSなどに深刻な脆弱性が発見された直後から脆弱性の有無を確認して攻撃するかどうかを判断する。GRED Webセキュリティ診断 Cloudは「攻撃者の視点」でWebサイトをチェックし、脆弱性を洗い出すことを意識しているという。Log4Shellについても速やかに診断機能を組み込んだ。

万が一に備えてWebサイトの改ざん対策を

　定期的に脆弱性をチェックしてパッチを適用する「事前の予防」と同様に重要なのが、侵入した脅威を素早く検知して対応する仕組みづくりだ。「検知」「対応」の重要性は、NISTのサイバーセキュリティフレームワークでも言及されている。

　GRED Web改ざんチェック CloudはGRED Webセキュリティ診断 Cloudと同様にクラウドベースのサービスで、URLを登録すると自動的にサイトをクローリングし、Webサイトが改ざんされていないかどうかを1日4回の頻度でチェックする。改ざんが見つかった場合は、管理者にアラートを送るとともに自動でそのページへのアクセスをメンテナンスページにリダイレクトさせ、アクセスしてきたユーザーが被害に遭わないようにできる。

改ざんを検知すると管理コンソール画面が赤色で表示される（出典：日立システムズ提供資料）

　GRED Web改ざんチェック Cloudの特徴の一つに「誤検知の少なさ」がある。ファイルやハッシュ値の比較だけではなく「スクリプトを埋め込む」「新規のタグを追加する」といったよくある改ざんのパターンを収集し、それと照らし合わせて改ざんの有無を判断する「ヒューリスティック検知」を採用している。これによって、正規の更新が改ざんと判断されるといった誤検知を減らせる。

　「昨今のWebサイトは更新頻度が上がっています。コンテンツを更新する部署と改ざんをチェックする部署が分かれていると、従来型の差分比較方式では『改ざんアラートが頻繁に上がってしまい運用にならない』という話をよく耳にします。GRED Web改ざんチェック Cloudは改ざんのパターンを見る方式なので、少ない運用負荷で改ざんを監視できます」（深谷氏）

　セキュアブレインは「GRED Webセキュリティ診断 Cloud」と「GRED Web改ざんチェック Cloud」を通してWebサイトのセキュリティ対策を支援する。

　「『うちは大丈夫だろう』と思われる方もいますが、Webサイトはインターネットに公開され、世界につながっているものですから、全世界から狙われる可能性があります。脆弱性の公表から悪用までのスピードは速くなっています。手軽に導入できるサービスを取り入れ、脆弱性を放置しない仕組みをつくってほしいと思います」（深谷氏）

　なお決済を伴う金融関連のWebサイトにおいては、Webサイトの改ざんだけでなく、なりすましによる侵入者の「不正取引」を防御する必要がある。その対策として、セキュアブレインでは不正取引をリアルタイムに検知する「Scam Radar BD」を用意している。これを組み合わせることでセキュリティ対策をより強固にできる。

変化するシステム環境の中でセキュリティ上の懸念にトータルに対応

　クラウドシフトをはじめシステム環境は日々変化している。日立システムズは、そうした変化に伴うセキュリティリスクに対抗するための多種多様なサービスを提供している。2021年10月に新設した「セキュリティサービス事業部」は、SOCなどのマネージドサービスやセキュアブレインのソリューションを組み合わせながら、セキュリティの課題を抱える企業をトータルにサポートする。

　長谷川氏は「経営層がセキュリティ対策の必要性を認識していても、現場が多忙であるが故に取り組みが進まないケースもあるでしょう。セキュアブレインのサービスならば工数が掛からず手軽に導入できます。日立システムズのマネージドサービスを併せて活用することで、システム運用の負荷を軽減できます」と述べる。セキュリティ対策をトータルで支援できるパートナーとして日立システムズは企業の強い味方になるだろう。