昨今のWebサービスは、顧客と企業をつなぐために必要不可欠なツールとなっており、その中で個人情報を扱う機会も増えています。そのような状況から、そのような機密情報を狙ったサイバー攻撃も後を絶たず、企業としても対策を講じる必要があります。

本記事では、Webセキュリティー対策の求められる背景や重要性について、最低限押さえておくべきポイントとともに解説します。

Webセキュリティー対策がなぜ重要なのか

インターネットを通じたビジネスが当たり前となった今、Webサイトは企業の顔であり、顧客との重要な接点です。しかしその一方で、Webサイトはサイバー攻撃の格好の標的でもあります。特に個人情報を扱うサイトでは、適切なセキュリティー対策の有無が、企業の信頼性を左右します。

Webサイトと個人情報を狙うサイバー攻撃の実態

近年、SQLインジェクションやクロスサイトスクリプティング(XSS)、DDoS攻撃など、Webアプリケーションを狙った攻撃が年々増加し続けています。

国立研究開発法人情報通信研究機構(NICT)『NICTER観測レポート2023』の調査データにおいても、2023年に観測されたサイバー攻撃関連の通信数は約6,197億パケットに達し、2015年比で約9.8倍に増加しています。

個人情報の漏洩が企業にもたらす深刻なダメージ

東京商工リサーチ(TSR)の調査によると、2024年には上場企業だけでも189件の情報漏洩事故が発生しており、4年連続で過去最多を更新しています。このような継続的な増加傾向は、より高度なセキュリティー対策や情報管理が必要なことを示しています。

万が一、個人情報が流出すると、企業は以下のような深刻な影響を受けることとなります。

• 社会的信用の低下
• 顧客からの損害賠償請求
• 法的責任や行政指導
• 営業活動の停止や売上減少

これらは一時的な被害にとどまらず、企業の存続やブランド価値に長期的な影響を及ぼすおそれがあります。そのため、個人情報の保護は、単なるコンプライアンス対応ではなく、経営リスク対策としても極めて重要なのです。

Webサービスの個人情報が狙われる主なリスクとは

Webサービス上で個人情報を扱う以上、あらゆるサイバー攻撃のリスクからは逃れられません。ここでは、Webサービスに潜む代表的なリスクと攻撃手法について見ていきます。

代表的な攻撃手法・手口

個人情報を狙う攻撃は多岐にわたりますが、次に挙げる手法が、特に多く確認されています。

SQLインジェクション攻撃 (SQL Injection)

攻撃者がフォーム入力欄から悪意あるSQLコードを送信することで、個人情報などを盗み出す攻撃です。

例えば「ログイン画面」や「お問い合わせフォーム」など、SQLなどデータベースと連携する入力項目があるページは、特に注意が必要です。

クロスサイトスクリプティング (XSS)

Webページに悪意あるスクリプトを埋め込み、ユーザーのブラウザー上で実行させる攻撃です。

クッキー情報やログインセッションの乗っ取り、偽ログインフォームのようなフィッシングページへの誘導などが可能となります。

パスワードリスト攻撃 (リスト型攻撃)

他社が流出させたID・パスワードの組み合わせを使い回して、不正ログインを試みる攻撃です。

特に、同じパスワードを複数のサービスで使い回しているユーザーが多い場合、被害が拡大しやすくなります。

ゼロデイ攻撃

まだ修正パッチが公開されていないような、未知または未対策のソフトウェア脆弱性を突く攻撃です。セキュリティーベンダーや開発者側の対応が追いつく前に攻撃が仕掛けられるため、防ぐのが非常に困難です。

CMSの脆弱性を突く攻撃とその傾向

多くのWebサービスは、WordPressなどのCMS(コンテンツ管理システム)を用いて構築されています。これらCMSは高機能で利便性が高い一方、次のようなセキュリティーリスクが存在します。

プラグインやテーマの脆弱性

CMSの機能拡張のために導入されるプラグインやテーマの中には、十分なセキュリティー対策が施されていないものも存在します。特に更新が止まっているものは、脆弱性対応についても放置されているリスクが高いと認識すべきです。

バージョンアップへの未対応

CMS自体のセキュリティーアップデートを怠ると、既知の脆弱性が放置されたままとなり、攻撃者にとって「公開された侵入口」と化します。

セキュリティー設計の不備と運用管理の甘さ

CMS導入時の初期設定や運用ポリシーの不備も、大きなリスクです。例えば、次のようなケースが見受けられます。

• 管理画面のログインURLをデフォルトのまま公開
• ID＋パスワード以外の認証(多要素認証など)を設けていない
• 適切なユーザー管理をしていない、アカウントの使い回し
• 通信が暗号化されていない(HTTPSでない平文による通信)

攻撃の自動化

攻撃者は特定のCMSやバージョンを対象としたボットを使い、自動であらゆるWebサイトの脆弱性をスキャンし、突破を試みます。意図的に狙われなくても「放置していたらいつの間にか侵入されていた」というケースも、実は多いのです。

Webセキュリティーの基本対策 〜最低限やっておくべき必須項目〜

管理者向けのログイン画面や管理機能は、攻撃者に狙われやすい重要な入口です。適切なアクセス制御とシステム保護のための必須項目をご紹介しますので、これらを実施できているかを確認しましょう。

TLS/SSL(HTTPS)による通信の暗号化

管理画面やログインページなど、重要な情報をやり取りする際の通信は、TLS/SSL(HTTPS)によって暗号化するのが基本です。従来では重要情報を表示したり扱ったりするページだけ暗号化すれば良いとされていましたが、2018年頃からは全ページを対象とする「常時SSL」が事実上必須となっています。

暗号化プロトコルのバージョンについても、昨今では脆弱性などの観点から、SSL全バージョン(1.0〜3.0)およびTLS 1.1以前(1.0/1.1)は推奨されません。最低でもTLS 1.2以降での対応が求められます。

ソフトウェアやプラグインの更新管理

CMS本体やテーマ、各種プラグインは、常に最新の状態に保つことが重要です。脆弱性が発見されたバージョンを使い続けると、そこを狙った攻撃のリスクが高まります。自動更新の活用や、定期的な更新チェックの仕組みづくりが欠かせません。

パスワード・ユーザーアカウントの適切な管理

推測されやすいパスワードや使い回しは避け、十分に強度のあるパスワードを設定します。さらに、不要なアカウントの削除や権限の見直しも定期的に実施しましょう。管理者アカウントの扱いには、特に注意が必要です。

管理画面・ログインページの保護

管理画面やログインページは、前述のように、攻撃者にとって狙いやすい入り口です。MFA(多要素認証)の導入やログイン試行回数の制限が、比較的容易でありながら効果的です。

なお、かつては有効とされたIPアドレス制限やBASIC認証も、昨今では課題が指摘されており、特にBASIC認証については仕組み自体の脆弱性ゆえに利用すべきではありません。既に導入している場合でも、運用方法を見直すべきでしょう。

Webアプリケーションを守るWAFとは？〜概要と効果〜

ここまでご紹介してきたのは、あくまでWebセキュリティー対策の中でも「最低限の基本対策」です。しかし、実際のWebサービスはあらゆる脅威にさらされており、基本対策だけでは十分とは言えません。

ここからは、さらに一歩進んだ対策として有効な「WAF (Web Application Firewall)」について、その概要と導入のポイントを紹介します。

WAFとは何か？

WAF(Web Application Firewall)は、WebサイトやWebアプリケーションへの不正なアクセスを検知・遮断するセキュリティー対策です。

通常のファイアウォールがネットワーク層やトランスポート層における通信(IPアドレスやポート番号など)を監視・制御するのに対し、WAFはHTTP/HTTPSといったアプリケーション層の通信内容を解析し、不正なリクエストを検知した場合には遮断します。

WAFで防げる攻撃とは

WAFではWebアプリケーションを狙う様々な攻撃から防御しますが、一般的なものでは主に、以下のような攻撃手法に対して有効です。

• SQLインジェクション対策：
  不正なSQLクエリーを検知してブロックする。
• XSS対策：
  悪意あるスクリプトの実行をブロックする。
• DoS対策、パスワードリスト攻撃：
  異常頻度のリクエストを検知してブロックする。

これらの攻撃の一部は、アプリケーション側の対策だけでは完全に防ぐことが難しいとされていますが、WAFを導入することで、多層的な防御体制を構築できます。

WAFの2つの導入形態

WAFの導入形態には、主に以下の2つがあります。

オンプレミス型WAF

自社のサーバーやネットワーク内に直接設置またはインストールするタイプで、カスタマイズ性や制御性に優れています。一方で、導入や運用には専門知識と人的リソースが必要なことと、昨今の多様化する攻撃に対処しきれないケースが増えたことから、後述するクラウド型が主流となりつつあります。

クラウド型WAF

クラウドサービス型として提供されるタイプで、一般的にはオンプレミス型よりも導入が比較的容易とされます。インフラの構築が不要なため、大規模サービスだけでなく小規模サービスでも利用しやすく、短期間で導入したいケースにも適しています。

サービスによっては、DDoS対策やCDN(キャッシュ配信)などの機能を有するものもあり、セキュリティーだけでなく負荷対策やパフォーマンス改善の目的でも導入できます。

WAFの選定ポイント

WAFは一般化しつつあるセキュリティー対策であり、多くのベンダーから様々なサービスが展開されています。

その中で、自社ニーズに合ったWAFを選定する際には、以下のような視点からの確認が重要です。

• 対応可能な攻撃パターンが自動更新されるか
• 導入方法や、防御ルールの柔軟性
• パフォーマンス上のボトルネックとならないか
• 管理画面の操作性やレポート機能
• サポート体制

Webサービスに対する攻撃は日々進化し続けていることから、「WAFは入れておしまい」ではありません。導入対象のサービスに合わせて、適切に運用する必要があります。

万一攻撃を受けた際にはタイムリーなサポートを受けられるか、Webサービスのアップデートや状況変化に応じて定期的なログ分析・チューニングがおこなえるかなども、WAFによる効果を最大化するための鍵となります。

サイト運営者がすぐできること

限られた人員・リソースでも、今すぐ着手できる実践的なセキュリティー対策があります。比較的導入ハードルが低いながら、効果の高いアクションを紹介します。

セキュリティー診断や脆弱性チェックの活用

無料または有料の脆弱性診断ツールを活用し、定期的にWebサイトのセキュリティー状態を確認しましょう。

自動診断ツールは手軽で継続的なチェックに向いており、専門ベンダーによる手動診断ではより深い分析が可能です。両者を併用することで、診断の網羅性を高めることができます。

管理画面・ログインページの保護

前述しているように、ログイン画面は攻撃者にとって格好の標的です。以下のような対策を講じることで、不正アクセスのリスクを軽減できます。

• MFA(多要素認証)の導入
• ログイン試行回数の制限
• ログイン通知や異常検知による即時アラート

従来よく使われていた「IP制限」や「BASIC認証」は、現代のセキュリティー要件に対して脆弱性や運用上の問題があるため、対策としては見直しが必要です。

アクセスログの定期的な確認と監視体制

アクセスログを定期的に確認することで、不審な挙動を早期に察知できます。SIEM(Security Information and Event Management)などのログ分析ツールを導入すると、異常検出やアラートの自動化が可能になります。

また、ログを「誰が」「どの頻度で」「どの観点で」監視するのかといった、体制づくりも不可欠です。ツール任せにせず、運用ポリシーを明文化しておくことが重要です。

不要な機能・アカウントの削除

使っていない管理画面やプラグイン、退職者のアカウントなどが放置されていると、攻撃の入り口として悪用される可能性があります。不要な機能・アカウントを定期的に洗い出して削除することは、基本的かつ効果的なセキュリティー対策です。

セキュリティー対策の導入・運用支援サービス

サイバー攻撃の高度化・巧妙化により、自前で対処することは不可能といっても過言ではありません。そのため多くの企業では、専門ベンダーによるセキュリティー対策の導入・運用支援サービスを活用しています。

このようなサービスを利用する際の活用方法や、サービス選定のポイントについて押さえていきましょう。

専門ベンダーによるセキュリティー支援を活用するメリット

セキュリティー対策には専門知識が不可欠であり、自社リソースだけでは対応が難しいこともあります。そうした場合、外部の専門ベンダーを活用することで、次のような支援が得られます。

• WAFの導入や運用支援
• 脆弱性診断やペネトレーションテストの実施
• SOCによる24時間監視
• インシデント対応支援

これにより、自社内では不足してしまうセキュリティー専門性や運用力を補完できます。

自社に最適なサービスを選ぶポイント

多数のベンダーやサービスから最適なものを選ぶ際には、次のポイントを意識してください。

• 自社の業種・業態、規模に応じた実績があるか
• 24時間365日の監視・対応体制があるか
• 導入後の運用支援・レポーティングが充実しているか
• インシデント発生時の対応体制や実績が明確か
• 稼働率などのSLAを提供しているか

低品質なサービスを選択してしまうと、せっかく導入したセキュリティーサービスも「ボトルネック」と化して、Webサービスのレベルを下げてしまうこともあります。価格や表面的な機能だけではなく、自社に合ったサービスを多角的な観点で比較するべきです。

まとめ

本記事で紹介した内容は、セキュリティー対策としては最低限必要とされる基本的な内容です。サイバー攻撃の手法は年々高度化し、Botを悪用した攻撃なども増加しており、そうした攻撃への対策の重要性も増しております。

とはいえ、初めからすべてに対策を講じることは、費用や準備の面で様々な課題があると思います。ですので、まずは本記事で紹介しているポイントについて、できることから一歩ずつ始めましょう。Webセキュリティーは「守りの投資」であり、企業の信頼を守る最前線です。

当社では、クラウドやセキュリティーのパイオニアであるAkamai社が開発・提供する各種サービスを、長年にわたって取り扱っており、数多くのお客様へご提供しております。Webセキュリティー対策についてお困りの方や、ご興味いただけました方は、是非お気軽にお問い合わせください。

関連コンテンツのご紹介

製品ページ

• クラウド型WAAP
• ウェブサービスやAPIをあらゆる攻撃から自動保護 (特設ページ)
• セキュリティーに関するサービス一覧

ブロードメディアでは、ウェブサイトやアプリケーション、APIに関する、セキュリティー対策やパフォーマンス高速化、負荷対策などの各種サービスを提供しています。また、これらサービスの開発元であるAkamai社のパートナープログラムにおいて、最高ランクである「Elite」の認定を受けています。

セキュリティー対策や高速化などでお困りでしたら、ぜひお気軽にご相談・お問い合わせください。