企業に甚大な被害をもたらすサイバー攻撃。攻撃に遭った結果、自社のWebサイトを改ざんされてしまう場合がある。ひとたび改ざんにあえば、Webサイトに悪意のあるコードを仕込まれ、訪れたユーザーがトラブルに巻き込まれる二次被害に繋がりかねない。メディアで騒がれたネットバンキングの不正送金も、改ざんされたWebサイトをユーザーが閲覧してマルウェアに感染し、IDやパスワードを盗まれたことが原因だった。こうしたトラブルを防ぐためにもセキュリティ対策は欠かせないが、適切な対策をしないままトラブルが発覚するまで改ざんに気づかないケースも実は多い。そんなWebセキュリティの穴に落ちている情シスがここにもひとり────

多田野部長

にのまえくん!
最近、我が社のサービスサイトからの申し込みが激減したんだ!
何か心当たりあるかね?

にのまえ はじめ

……へっ!?

多田野部長

そんな意識じゃ困るんだよぉ!
とりあえず、どうにかしておいてくれ!頼んだぞ!

にのまえ はじめ

えぇっ!俺Web担当者じゃないんだけど…!
……ハァ…仕方ない、とりあえず調べるか

──── しばらくして ────

にのまえ はじめ

うーん、アクセスはあるみたいなんだけど
何かおかしいな…?サイトが全然表示されない…

Joshisu Man

Webサイトの運用に悩んでいるそこのキミ!

にのまえ はじめ

あなたはJoshisu Manさん!
ちょうどいいところに来ました!一緒に調べてください!

Joshisu Man

…もはや私を頼る気満々だな…
なに?Webサイトの調子がおかしい?

にのまえ はじめ

そうなんですよ~!
このサイトなんですけど…何だか様子がおかしくて

Joshisu Man

ファイアウォールはきちんと展開しているようだな
しかし…この気配は…!

Dr. Protocol

ククククッ…!
もう少しで侵入アーンド改ざんできるんだナ!

にのまえ はじめ

な、何が起こっているんですかぁ…?
まさか…攻撃されてるんですか?
目に見えないから全然わかんないよ~!

Joshisu Man

Dr.プロトコルがWebサイトに
不正侵入しようとしているんだ!

にのまえ はじめ

げげぇっ!?どうしよう!?
ファイアウォールは有効になっているのに!?

Joshisu Man

ファイアウォールは、あくまで通信データのIPアドレスなどの情報を判別し接続の許可をするかどうかを判断しているものだ
Webサイトやアプリケーションを守るためには『WAF』が必要になる

にのまえ はじめ

んんん…?どういうことだ?
わ、わふ…?

【用語】~KEY WORD!~

「WAF(Webアプリケーションファイアウォール)」 従来のFW(ファイアウォール)やIDS/IPSでは防ぐことができない攻撃からWebアプリケーションやWebサイトを防御するファイアウォールのこと。

《防御の違い》
・FW:IPアドレスやポートなど通信データの情報からアクセス許可の有無を判断する。
・IDS/IPS:OSやソフトウェアを狙った攻撃を防御する。IDSは通信の異常を検知・通知し、IPSはIDSで検知された不正なアクセスに対して防御措置を行う。
・WAF: SQLインジェクションやクロスサイトスクリプティングなどWebアプリケーションへの攻撃に特化したファイアウォール。

それぞれ異なるレイヤの攻撃を防御するため、単体で運用しても完全な守りにはならない。


にのまえ はじめ

し、知らなかった…
ファイアウォールはイージスの盾ぐらいに思ってた…

Joshisu Man

なら、なおさら早急に手を打つ必要がある!
Webサイトを改ざんされてしまったら恐ろしいことになるぞ!

【リスク】~KEY WORD!~

「Webサイト改ざん」

企業などが運営している正規のWebサイトを攻撃して構造を変えたり、別のサイトに飛ばしたりすること。改ざんによる被害は、以下のようなものがある。

 

・Webサイトの内容を誤った情報に書き換えられてしまう
⇒ユーザーや取引先に迷惑をかけるだけでなく、企業やブランドの信用失墜に繋がる
・悪意のあるプログラムを埋め込まれてしまう
⇒アクセスしたユーザーのPCにウイルスやマルウェアが侵入する
・お問い合わせや資料請求などの入力フォームの改ざん
⇒入力された個人情報や機密データが勝手に外部へ送信される

 

サイトが改ざんされると、被害はWebサイト管理者だけでなく、サイトを利用するユーザーにまで広がってしまう。悪意あるサイトに誘導されたり、閲覧しただけでマルウェアに感染させられたりするのだ。知らぬ間に被害者である企業が加害者となってしまう深刻な脅威といえる。


にのまえ はじめ

そ、それはイヤだぁぁぁ!
Webマーケの担当が擦り切れるまでA/Bテストとかして集客したサイトですよ!?
一瞬でパァになるなんて…担当者にあわす顔がないぃ…
で、でも…守るために何をすれば良いのかサッパリわかんないです!!


Joshisu Man

それを可能にするのが、これだッ!
マルチセキュリティツールからカードを生成!
USEN GATE 02オープン!
「攻撃遮断くん」を展開!

Dr. Protocol

ククククッ…!
そんな簡単にセキュリティ対策ができるわけ…

Joshisu Man

「攻撃遮断くん」は、
システムやネットワーク構成を変えずに利用できる
クラウド型のWAFだ!オマエの攻撃を即座に検知して遮断する!
(ガキィィィィィン!)

Dr. Protocol

なっ!なんだと…!
こんな短時間でセキュリティを構築するなんて…!
チッ…出直すゾ!(ブォン)

Joshisu Man

どうやら脅威は去ったようだな…

にのまえ はじめ

あああああ危なかったですね…!
自分のところは攻撃されない、ファイアウォールだけで
大丈夫って思ってたんですけど

Joshisu Man

その意識こそ危ないぞ!
サイバー攻撃は日々巧妙化し、あらゆる手法で狙ってくる!
だからこそ、複数のセキュリティ対策を組み合わせて「多層防御」を行なう必要があるんだ!

にのまえ はじめ

セキュリティ対策って適切なソリューションをただ配置するだけじゃなくて、相互の機能も理解しておかないといけないんですね
…奥深い…!

Joshisu Man

キミに必要なのはリスクを見据えたセキュリティ意識だな
攻撃されてからでは遅い…事前の対策がカギを握るんだ
強い情シスが企業のセキュリティ対策も伸ばす!
また会おう!

【解決】~ICT SOLUTION!~

Webサイト改ざんは、サイバー攻撃の被害者である企業が知らぬ間に加害者にもなり得る深刻な脅威だ。一度改ざんされてしまえば復旧に莫大な費用がかかったり、個人情報の流出など重大な損害に繋がりかねない。「サイバーセキュリティ基本法」が2014年11月に成立した背景から、サイバー攻撃の被害を防止する努力が企業には求められている。自社だけでなく、取引先や顧客を守るためにも、リスクを見据えた事前のセキュリティ対策は必要だ。Webサイト運用に一抹の不安を抱えている情シスマンはぜひ導入を考えてみてほしい。

 

「USEN GATE 02―攻撃遮断くん―」

・手間のかかる保守・運用作業はすべておまかせ
・クラウド環境(IaaS)で構築されたWEBサイトにも対応
・改ざんを検知するとただちに通知 (※オプション機能)

 
■サーバセキュリティタイプ

エージェントをインストールするだけの簡単導入。IPS機能付き。

■Webセキュリティタイプ

DNSの切り替えだけで導入可能。クラウド上のWAFセンターで攻撃を検知/遮断。

■WEBセキュリティタイプ advanced

お客様専用のWAFセンターをご用意。他社にはないUSENオリジナルプラン。


TO BE CONTINUED…

<Joshisu Man>

本メディアの主人公。職業はヒーローで、趣味はトラフィック監視。
様々な武器を駆使して情シスにまつわる問題や悩みを解決している。
ITをよく知らないのに、情シス担当になってしまった人の味方です。いや、正義の味方じゃなく、正義そのもの。困っている人がいたら、助けたいお人よし。

この記事に関連するお役立ち資料はこちら

情報システム・セキリティ学びスタートアップガイド

情報システム業務は、たった1人で担当していたり、専門ではない方が兼務で担っている状況も多いはずです。そんな方々に情報セキュリティの基礎を知っていただくことで、少しでもお仕事がスムーズになるお手伝いができればという思いで資料を作成しました。

ダウンロードする

さらに理解を深めたい方にオススメの記事はこちら

関連サービス