Webサイトのサーバーが抱えるセキュリティリスクとその対策とは?

この記事をシェア

コロナ禍やデジタルシフトの流れを受け、集客や売上につながるWebサイトは事業運営の要ともなりつつある。一方、Webサイトの重要性が増すにつれ、Webサーバーがサイバー攻撃の対象として狙われている。この記事では、あらためてWebサイトの仕組みを考えるとともに、Webサーバーが抱えるセキュリティリスクとその対策を解説する。

Webサイトのサーバーが抱えるセキュリティリスクとその対策とは?

Webサイトを狙うサイバー攻撃が増加傾向に

コロナ禍の影響で対面のビジネスが難しくなる一方、Webサイト経由のマーケティングや営業活動がより強化されつつある。外出自粛の影響を受け、ECサイトの売上も増加傾向にある。経済産業省が行った「令和2年度 電子商取引に関する市場調査」では、物販系分野の消費者向けEC市場規模は、前年比21.71%増の12兆2,333億円に達したと報告された。

Webサイトの重要性が増すにつれて、それを標的としたサイバー攻撃も増加している。2020年第3四半期にIPA(情報処理推進機構)へ寄せられた不正ログインに関する相談は、四半期から59.4%増加した。マルウェアなどの事案も含め、全体の相談件数は83.3%と急増している。

Webサイトのセキュリティ対策を講じるにあたり、大きく分けて以下4つの観点から検討が必要となる。

1)アプリケーション

アプリケーションは、Webブラウザーからアクセスがあった際にコンテンツを表示する役割を果たす。検索機能のように、ユーザーの入力に従って動的に内容を変化させたり、ビジネスロジックを実行したりする機能も含まれる。アカウントを発行してログインさせる仕組みを持つWebサイトも少なくない。データの入出力や認証・認可に不備があると、不正アクセスや情報漏えいにつながる可能性がある。

2)サーバー

Webブラウザーからのアクセスに対して応答するコンピューターや、そのコンピューター上で処理を担うソフトウェア、あるいはハードウェアを指す。サーバー上で動作するOSやミドルウェアに脆弱性があると、攻撃者から標的とされる恐れがある。サーバーの詳細な仕組みについては後述する。

3)ネットワーク

Webブラウザーとサーバー間でデータをやり取りするための通信経路となる。イレギュラーな大量パケットがもたらされる通信や不正な通信を遮断するために、ファイアウォールやIPS/IDS、ルーターなどの機器が用いられる。

4)そのほかのインフラ要素

社内向け・社外向けといった用途に合わせ、オンプレミスとクラウド環境の併用、あるいは、複数のクラウド環境を利用するなど、Webサイトを運用する環境も複雑化している。クラウド事業者と責任範囲を明確にした上で、ネットワーク全体のセキュリティ対策を検討する必要に迫られている。

サーバーのセキュリティ強化の重要性

先述のとおり、Webサイトのセキュリティは複数の観点から総合的な対策が求められる。この記事では、中でもサーバーのセキュリティについて解説する。サーバーがサイバー攻撃に遭うと、その被害は大きくなりやすい。例えば、サーバーが不正アクセスされてしまうと、Webサイトのコンテンツが改ざんされたり、踏み台にされたりしてほかのサーバーへの攻撃に加担してしまう恐れがある。

また、アプリケーションはサーバー上に格納されているため、サーバーが稼働しなければWebサイトの機能は失われる。そして、サーバー上のデータ送受信の役割を担うネットワークも、サーバーに不具合があれば、その用途を果たせなくなる。

Webサイトを支えるサーバーの仕組み

サーバーはその機能・役割に応じて複数の種類に分けられる。Webサイト運用においては、以下が代表的なものだ。それぞれ、インストールされているミドルウェアの種類により名称が異なる。

1)Webサーバー

Webブラウザーからリクエストを受けた際に、ページ生成の材料となるHTMLデータや画像、装飾のためのCSSや画面上での動作を行うJavaScriptなど、Webサイトを構成するデータを送信する役割を担う。通信データの暗号化やアクセス制御を行う場合もある。Webサーバーとして、一般的にApacheやNginxといったミドルウェアが用いられる。HTTPサーバーと呼ばれることもある。

2)アプリケーションサーバー

Webブラウザーへのアクセスに呼応し、Javaなどのプログラムで動的なWebサイトを生成する。ビジネスロジックを実装したプログラムを稼働させるサーバーで、Tomcatなどのミドルウェアが用いられる。サーバーによっては、単独で静的なデータの送受信を行うWebサーバーのように用いられることもある。

3)DB(データベース)サーバー

アプリケーションで用いられるデータを格納する。Webブラウザーからのリクエストに応じ、アプリケーションサーバーと連携して、データの検索や編集の機能を提供する。MySQLやPostgreSQLといったデータベース管理システムが広く使われている。

最近では、サーバーの役割をより細分化させた構成で構築するWebサイトも存在する。大量のアクセスを想定し、サーバーの負荷を軽減するためのCDN(Content Delivery Network)サーバーや、API(Application Programming Interface)のリクエスト頻度が高い場合、専用で処理するAPIサーバーなども組み合わされるケースがある。

以前は1台の物理的なサーバーごとに1つの役割を担わせる構成も見られた。しかし、最近はサーバーのスペックが強化されたり、仮想化が普及したりといった環境の変化により、サーバー内の領域を仮想的に区切って複数のミドルウェアをインストールする構成が一般化してきた。ただし、仮想化が一般的になっても、今なおこれらの構成がベースとなるため、サーバーの種類や仕組みについては適切に把握しておきたい。

サーバーに関連するセキュリティリスク

事業におけるWebサイトの重要性が高まるにつれ、サーバーを標的にする事例も増えている。具体的には、以下のような手口を用いてサーバーへの攻撃が行われる傾向にある。

1)Webサイトの改ざん

アプリケーションやサーバーの脆弱性を突いて、Webサイトの内容を書き換えてしまう。マルウェアが埋め込まれて、Webサイトの訪問者に被害を与えてしまう場合もある。

2)ポートスキャン

サーバーが外部のコンピューターと通信する接続口をポートと呼ぶ。攻撃者は所有者が意図せず公開しているポートを探索し、不正アクセスやサーバーの乗っ取り、データの破壊や窃取を試みる。

3)SQLインジェクション

SQLはデータベースの読み出しや書き込みに使われる言語である。Webサイトの入力フォームなどに不正なSQLコマンドを入力し、データの破壊や窃取、Webサイトの改ざんが行われる。

4)クロスサイトスクリプティング

脆弱性のあるWebサイトから悪意のあるWebサイトへ誘導し、個人情報を詐取したり、マルウェアに感染させたりする。本物のWebサイトが書き換えられる、あるいは、フィッシング詐欺のページが表示されてしまい、攻撃者に加担してしまうケースがある。

5)DDoS攻撃

複数のコンピューターから標的となるWebサイトへ大量のパケットを送信して過剰な負荷を与えることで、Webサイトの停止へ追い込む。Webサイト運営者としては、標的となるリスクとともに、踏み台にされてほかのWebサイトへの攻撃へ悪用されるリスクも考慮する必要がある。

6)ブルートフォース攻撃

アカウントのパスワードを総当たり方式で解読する。短く、類推されやすいパスワードを設定していると、解読される危険性が高まる。不正アクセスや情報漏えいをはじめ、管理者用パスワードが解読されてしまえば、Webサイトの改ざんなどが行われ、被害が拡大する。

7)ゼロデイ攻撃

OSやミドルウェアなどをはじめ、プログラムの未知の脆弱性を突いた攻撃を指す。開発元も気づいていない脆弱性を突かれるため、防御は困難を極める。侵入されることを前提に、速やかに攻撃を検知し、被害の最小化を目指して対応する仕組みが求められる。

セキュリティ対策を進める上では、上記のような、いわゆるサイバー攻撃と呼ばれるもの以外にも、管理体制の不備が招く情報漏えいなども考慮する必要がある。

サーバーのセキュリティ対策

サーバーのセキュリティリスクを低減するための対策として、IPAでは「安全なウェブサイトの運用管理に向けての20ヶ条 ~セキュリティ対策のチェックポイント~」を公開している。以下に、その中からいくつかのポイントを抜粋する。

1)サーバー上のOSやミドルウェア、アプリケーションの更新

Webサイトは、さまざまなソフトウェアで構成されている。それらの修正プログラムが公表された際は、できるだけ早く適用し、脆弱性を解消しなければならない。ただし、アップデートしたことで今まで動作していたアプリケーションが動作しなくなることもあるため、アップデートの前には十分な検証が必要になる。

2)不要なアプリケーション、サービスの削除

サーバー上で普段使用していないサービスが起動したままだと、脆弱性があっても気づかずに悪用されてしまう恐れがある。Webサイトに関連する必要最低限のもの以外は停止、あるいは削除しておきたい。

3)開発やテスト時に発行したアカウントの適切な管理

アカウントごとにアクセス権限の制御を適用するのは重要であるが、一方で開発やテスト時に発行したアカウントが放置されてしまう恐れがある。悪用されるリスクを低減させるため、開発完了時などにはアカウントの一覧を見返して、不要なものは削除しておきたい。

4)ファイル、ディレクトリへの適切なアクセス制御

第三者に意図せず非公開のファイルを閲覧されたり、プログラムを実行されたりするリスクがある。特に、Webサイトの設定ファイルや個人情報を格納したファイルは、インターネット上からアクセスできないよう、取り扱いには十分に注意したい。

5)Webサイト運用に用いるツールの適切な活用

Webサイトの脆弱性を検査するツールなどを活用すると、安全、かつ効率的にWebサイトを運用できる。操作性や効率性を考慮し、適切なツールの活用を図りたい。

6)サーバーログの取得と保管

Webサイトに関係して、Webサイトへのアクセスやアプリケーションの挙動、データベース操作などのログを取得することができる。ログを取得しておけば、セキュリティインシデントの発生時やサーバーの故障時に原因究明につながりやすい。また、不正アクセスの疑いがある不審な動きを検知するきっかけにもなり得る。

最近ではクラウドサーバーやレンタルサーバーを利用してWebサイトを運用する企業が多いが、その場合には提供事業者のセキュリティポリシーを十分に確認する必要がある。

一般的に、クラウド事業者であればサーバーを冗長構成にするなど、十分なセキュリティ対策がとられているはずだ。しかし、裏付けのない過度な信頼を寄せてしまうと、クラウド事業者にクリティカルな問題が生じた際に、自社の重要なデータを失う結果につながりかねない。

そして、Webサイト制作でオープンソースのCMS(Content Management System)であるWordPressを採用している企業も少なくないだろう。WordPressもサイバー攻撃の標的になるリスクがあるため、適切な対策を講じなければならない。

Webサイトの根幹となるサーバーを保護するために

Webサイトの心臓部とも言えるサーバーへのセキュリティ侵害を防ぐためには、不正な通信を遮断する方法も有効となる。以下では、ネットワークにおける異なる層で防御や検知を行う仕組みを解説する。

1)ファイアウォール

ネットワークを対象とした基礎的なセキュリティ対策であり、IPアドレスやポート番号でアクセスを制限し、ポートスキャンなどの攻撃を防ぐ。もともとはハードウェアの導入が前提であったが、最近ではクラウド型のサービスも増えている。

2)IPS(不正侵入防止システム)、IDS(不正侵入検知システム)

主にOSやミドルウェアを対象にセキュリティ対策を講じるのがIPSIDSと呼ばれるシステムだ。既知の攻撃の検出や異常な通信の検知によって、多様化する攻撃に対応できる。ファイアウォールでは防御できない、DoS攻撃などの防御に有効となる。

3)WAF(Web・アプリケーション・ファイアウォール)

Webアプリケーションを対象に対策を講じるソリューションとなる。ファイアウォールやIPS、IDSでは検知が難しいとされるSQLインジェクションクロスサイトスクリプティングといった攻撃を検知、遮断する。Webサーバーに導入するホスト型や、ネットワーク上に機器を設定するアプライアンス型に加えて、インターネット経由で利用するクラウド型に大別される。

また、セキュリティを強化する手段としてリバースプロキシの活用も検討の余地がある。リバースプロキシは、Webブラウザーからアクセスがあった際に、Webサーバーへ直接アクセスさせず、中継する機能を持つ。中継段階で、IPアドレス制限やマルウェアスキャンなどのセキュリティ対策を施すことができるのがメリットだ。加えて、負荷分散やSSL処理の高速化など、サイト品質を向上させるメリットもある。

あらゆる業務やサービスがオンラインへ向かうデジタルシフトの影響もあり、企業におけるWebサイトの重要性が増している。クラウド周辺の技術革新もあり、Webサイトの構築自体は容易になってきた。しかし、セキュリティを堅持しながらWebサイトを運用する難易度は、かつてないほどに高まっているのが実情だ。取り得る対策を施し、サーバーを安全に保護していくことは、事業継続において今後もより一層重要な課題となっていくことだろう。

この記事をシェア

Webサーバーのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!