【導入実績300社以上】AWS 構築・運用保守サービス

【導入実績300社以上】AWS 構築・運用保守サービス

【サーバー管理不要】WordPress専用クラウド『WebSpeed』

【サーバー管理不要】WordPress専用クラウド『WebSpeed』

【100URLの登録が0円】Webサイト監視サービス『Appmill』

【100URLの登録が0円】Webサイト監視サービス『Appmill』

【コミュニケーションアプリ開発】LINE アプリ開発サービス

【コミュニケーションアプリ開発】LINE アプリ開発サービス

【ECサイト構築】Shopify カスタムアプリ開発サービス

【ECサイト構築】Shopify カスタムアプリ開発サービス

【音声アプリ開発】Twilio アプリ開発サービス

【音声アプリ開発】Twilio アプリ開発サービス

【グローバル対応】北米リージョン・クラウド / サーバー サポート

【グローバル対応】北米リージョン・クラウド / サーバー サポート

【CPU】AMD EPYC 技術検証(PoC)サービス

【CPU】AMD EPYC 技術検証(PoC)サービス

【Webシステム / サービス開発】SAKARAKU Lab(セカラクラボ)

【Webシステム / サービス開発】SAKARAKU Lab(セカラクラボ)

【取材記事】サーバー系企業ビヨンドが サーバーサイドエンジニアを募集中

【取材記事】サーバー系企業ビヨンドが サーバーサイドエンジニアを募集中

【対談記事】「やっぱクラウド移設っていいですよね」マイネット × ビヨンド エンジニア対談

【対談記事】「やっぱクラウド移設っていいですよね」マイネット × ビヨンド エンジニア対談

【YouTube】ビヨンド公式チャンネル「びよまるチャンネル」

【YouTube】ビヨンド公式チャンネル「びよまるチャンネル」

Webセキュリティの重要性 ~Webアプリケーションに潜む脆弱性~

技術営業部の大原です。

今回のテーマは「Webセキュリティ」です。

各社Webでの集客・販売の取り組みとして、トレンドデザインや遊び心を意識した
Webアプリケーションが数多くありますが、これからは「Webセキュリティ」ついても
意識したいところでもあります。
本稿では、そのセキュリティ対策を可能にする「WAF」について書いていきたいと思います。

■ WAFっなに?

「WAF」(Web Application Firewall)とは、
Webサイト上のアプリケーションに特化したファイアウォールです。

主に役割としては、

・ユーザーからの入力を受付するサイト
・リクエストに応じて動的なページ生成するサイト など

上記のようなWebサイトを、不正な攻撃から守る役割を果たします。
一般的なファイアウォールとは異なり、データの中身をアプリケーションレベルで
解析できるのが特徴です。

数年前のWAFは、導入作業の難しさや導入コストの高さ、運用にセキュリティの専門知識が
必要なことなどから、限られた企業だけが利用できる、敷居が高いソリューションでしたが、
現在は、面倒な運用が不要で、安価なクラウド型WAFが登場したことで、
Webサイト防御において最適な選択肢の一つとなっています。

■ Webアプリケーションの現状

Webアプリケーションをリリースする前に、より入念なテストや評価が重要視するのが理想ですが、
Webアプリケーション開発は、常に時間との戦いでもあります。限られた開発スケジュールで、
どのように作業を進めても脆弱性を完全に排除することは難しく、
どこかのタイミングで見切りをつけてサービスを開始する、というのが実情かと思います。

■ 脆弱性の種類と危険度

Webアプリケーションへの攻撃で狙われやすい脆弱性としては、代表的なものだと
「SQLインジェクション」や「クロスサイトスクリプティング(XSS)」・
「クロスサイトリクエストフォージェリ(CSRF)」をはじめ、約10種類ほどが挙げられます。

セキュリティを担保したWEBアプリケーション開発を行うために、これらの情報と対策を
常に理解し続けることが、開発者にとって大きな負担になっています。

● SQLインジェクション

データベースと連動したWebサイトで、データベースへの問い合わせや操作を行なうプログラムに対して不正に操作し、データベースを改ざんしたり情報を入手する攻撃。

● クロスサイトリクエストフォージェリ (CSRF)

掲示板やオンラインショップ等のWebアプリケーションで「投稿」「削除」「購入」「退会」
「メッセージ送信」等のコマンドを実行するURLへ誘導し、利用者が意図しないコマンドを
実行させる攻撃。

● クロスサイトスクリプティング (XSS)

動的にWebページを生成する、アプリケーションのセキュリティ上の不備を意図的に利用し、
悪意のあるスクリプトを混入させる攻撃。

このようにWebアプリケーションの脆弱性は、開発・運営には常に付きまとう、
身近な問題となっています。

■ まとめ

Webサイトの改ざんや情報漏洩などは、いまや会社・個人を問わず他人事ではない
状況になってきていると感じています。

Webセキュリティ対策で予算があまりかけられない企業でも
クラウド型」ならお手軽ですぐに導入が可能なのでオススメです。

個人的にオススメと思う、クラウド型WAFを少し紹介します。

●スキュータム

https://www.scutum.jp/

クラウド型のWAFとしては世界初とのことで、1,500サイトの導入実績があります。

●IIJ WAFソリューション

http://www.iij.ad.jp/biz/waf-sol/

こちらのWAFは、オンプレ型とクラウド型の両方で提供されています。

※ちなみに弊社ビヨンドでも、上記のクラウド型WAFサービスを取り扱っておりますので、
Webセキュリティ対策を検討している方は、ぜひ一度ご相談ください!

この記事がお役に立てば【 いいね 】のご協力をお願いいたします!
0
読み込み中...
0 票, 平均: 0.00 / 10
122
facebook twitter はてなブックマーク

この記事をかいた人

About the author

ohara

通信業界にて法人向けのNWサービス・OA機器・グループウェアなどのIT製品の導入を担当するセールスとしてキャリアをスタート。

その後、物理サーバー / ホスティングサービス のプリセールスエンジニア、SaaS型 の SFA / CRM、BtoB EC など の カスタマーエンジニアを経て、現在のビヨンドへ入社。現在は毎日 Google検索 で インターネットの世界を徘徊してます。

所有資格:AWS Certified Cloud Practitioner(CLF)・簿記二級