Webサイトを守るために企業が実施すべき対策とは?:情報セキュリティの深層(2/2 ページ)
ITmedia エンタープライズでも頻繁にニュースとして取り上げる「脆弱性」の情報。ソフトウェアに脆弱性があると、どんな影響があるのでしょうか。企業にとっては、この脆弱性が非常に深刻な脅威なのです。
常に発生しているWebサイトを狙ったサイバー攻撃
2016年12月、ECサイトの構築・運用・セキュリティの実務担当者619人を対象にトレンドマイクロが実施した調査では、過去1年以内に多くのECサイトが「脆弱性を狙ったサイバー攻撃」を受けていると回答しています(図3)。
この結果から、個人情報やクレジットカード情報を取り扱うようなECサイトは、頻繁にサイバー犯罪者からの攻撃を受けている実状が容易に想像できますが、攻撃の対象は必ずしもECサイトだけではありません。
公表事例からは、自社のWebページ、問合せフォームなど、さまざまなサイトが攻撃の被害に遭っていることが分かっています。著名な企業が運営するWebサイトかどうかはサイバー犯罪者にとってはあまり関係なく、外部に公開しているサーバは常に攻撃の対象として探索、調査の対象になっていることがうかがい知れます。こうした脆弱性はWeb改ざん、情報漏えい、最悪の場合にはサーバ自体が乗っ取られてしまうといった被害につながるリスクがあり、企業ではWebサイトなど外部に公開しているサーバに対する脆弱性対策が必要不可欠です。
企業が実施すべき脆弱性対策
Web改ざん、情報漏えい、サーバ乗っ取りといった深刻な被害をもたらすWebサイトの脆弱性を狙ったサイバー攻撃に対して、企業はどのような対策をとるべきなのでしょうか。
修正プログラムの適用
自社がWebサイト等で利用しているOS、ソフトウェアについては、常に最新の脆弱性情報を入手したうえで、製造元から提供される修正プログラムをできるだけ速やかに適用することが求められます。しかし、修正プログラムを適用することで、互換性の問題からWebサイトが正常稼働しなくなるなどの障害が発生するケースもあります。修正プログラムの適用については、その緊急性および必要性を検証したうえで実施することをお勧めします。
また、修正プログラムをどれだけ迅速に適用できるかは、製造元に依存することになります。そのため、製造元からの修正プログラム提供が遅れたり、サポートが終了したソフトウェアを使い続けたりしているために、修正プログラムがそもそも提供されなくなり、結果としてリスクがそのまま残るといったこともあります。
その一方で、「修正プログラムの検証に時間が掛かる」「どのサーバにどの修正プログラムを適用すべきか分からない」「脆弱性情報から緊急性、必要性が判断できない」といった理由から、迅速に修正プログラムを適用できない企業も多いのではないでしょうか。加えて、製造元が脆弱性を把握して修正プログラムを提供する前にサイバー犯罪者に悪用されてしまう場合には、即時での対応ができません。こうした場合に有効になってくるのが、セキュリティ製品による対策です。
セキュリティ対策製品による保護
Webサイト等の構築に利用されているOSや、ソフトウェアの脆弱性を狙う攻撃に対しては、侵入防御システム(Intrusion Prevention System、IPS)が効果的です。また、Webアプリケーション特有の脆弱性を狙う攻撃には、Webアプリケーションファイアウォール(WAF)が有効です。いずれの対策も、どれだけ迅速に脆弱性に対応できるかは、セキュリティ対策製品の製造元が、どれだけ迅速に脆弱性情報を把握し、攻撃を検知・ブロックするためのルールを提供できるかに依存します。
また、ゼロデイ脆弱性を突くような攻撃すべてを防ぎ切ることはできませんが、一般的な攻撃(例えばOSコマンドインジェクション等)の手法を使ってゼロデイの脆弱性に対する攻撃を試みてきた場合には、セキュリティ製品でその通信をブロックし、実被害を回避することができるケースもあります。
今回はWordPress、Apache Struts2の脆弱性の事例をもとに、Webサイトの脆弱性を狙ったサイバー攻撃の脅威とその対策についてお話してきました。次回は、国内ではまだ認知が低いものの、世界ではすでに多くの法人組織が被害に遭っており、少しずつ日本へ流入してきている新たな脅威「ビジネスメール詐欺(BEC)」について解説します。
著者プロフィール
トレンドマイクロ株式会社 コアテク・スレットマーケティンググループ 山外一徳
大学卒業後、官公庁の技術系職員としてセキュアなネットワークシステムの開発プロジェクトなどのセキュリティ業務に8年携わる。その後webサービス企業でセキュリティソリューションの導入・運用、SOC業務を経験。2015年にトレンドマイクロへ入社し、最新の脅威動向に関する情報をもとに法人向けに特化したマーケティング活動に従事。
関連記事
- 企業はランサムウェアの攻撃に備えて何をすればいいか
2016年頃から、従来のサイバー犯罪被害に加えて、「ランサムウェア」の被害も増えてきました。海外では社会インフラにまで影響を及ぼす事例も出ています。このランサムウェアとはなんなのか、どのような対策が必要なのか、細かく解説します。 - 2017年は標的型ランサムウェアや振り込め詐欺に注意、トレンドマイクロが予想
同社は2016年が「サイバー脅迫元年」だったと指摘。昨年のサイバー犯罪動向と2017年の脅威予想を解説した。 - 法人向けウイルスバスターに新版、マルウェア検出機能をさらに多層化へ
トレンドマイクロが「ウイルスバスター コーポレートエディション XG」を発表し、機械学習技術を使って新種マルウェアの検知精度を高めるという。 - ランサムウェア「WannaCry」の被害が止まらない理由
世界で猛威を振るい、次々と被害が報告されているランサムウェア、「WannaCry」。なぜ、被害が拡大し続けているのでしょうか。 - 世界で新手のランサムウェア攻撃が多発、重要インフラや大手企業も被害
ランサムウェア「Petya」の新しい亜種による大規模攻撃が発生。ウクライナを中心に、重要インフラがダウンするなどの大きな被害が出ている。 - トレンドマイクロ、ウイルスバスター最新版を発表 ランサムウェア対策を強化
今後1年間にウイルスバスターシリーズで1800万ユーザーを目指す。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.