小林 和真氏によるコラム、【WEBサービスの安定供給に欠かせないセキュリティ対策とは】を公開

「WEBサービスの安定供給に欠かせないWEBセキュリティ」
　今回のトピックはWEBセキュリティです。当社はお客さまのホームページをお預かりし、それを効率的にインターネットに配信するCDN事業を営んでいます。当然ですがWEBサービスの安定供給には、セキュリティ対策もかかせません。それなりの対策を施して(有償・無償のサービスを組み合わせて)お客さまのニーズに合わせてCDNサービスの提供を行なっています。

　しかし、具体的な対策の方法を安易に公開することは、攻撃を計画する人たちを利するだけで良いことはあまりありません。というわけで具体的な対策には触れませんが、典型的なWEBセキュリティについて今回は解説していきます。


「WEBサービスに対する攻撃パターン」
　WEBサービスへの攻撃は、いくつかのパターンに分類できます。ひとつめは、ホームページにアクセスさせないようにするDoS(Denial of Service attack)攻撃、もうひとつはホームページとして公開している内容を改ざんする攻撃です。さらに内部で所有している情報を搾取する攻撃(情報漏洩)も増加傾向にあります。

　DoS攻撃には、ホームページへのアクセスを過剰に集中させ、ネットワークやサーバの通信能力を飽和させてサービスを停止させる方法(パケット飽和型)と、特定の処理リソース(メモリやコネクション数など)だけを過剰に消費させて処理系のバランスを崩してサービスを停止させる方法(リソース飽和型)が典型的な攻撃としてあります。
　また、必ずしもWEBサーバへの直接的な攻撃でなくとも、WEBサービスを提供する上で必要なDNSやロードバランサーなど周辺への攻撃が成功した場合でも、ホームページは閲覧できなくなります。DNSに対する攻撃は、成功すると被害範囲が大きくなるため(登録されているサーバ群全体に影響があるため)、特に重要な防御ポイントです。

　最近の傾向として増えているのが、ホームページの改ざんです。管理者のID・パスワードが盗まれ、管理者権限でWebサイトを改ざんします。ブルートフォースアタック（英：Brute-force attack）と呼ばれる、プログラムによる自動的な試行錯誤でID/パスワードを特定する攻撃が普及したため、もはや平易なID/パスワードの組み合わせでは安全性は確保できません。そのため二要素認証やICカードなど物理的な認証と組み合わせて安全性を高める工夫が行われています。

　また、サーバ上で動いているCMS（コンテンツマネジメントシステム）の脆弱性も狙われています。WordPress、Joomla!、Movable Type、XOOPSといったCMSでの対策は必須です。もちろん、オペレーティングシステムの脆弱性やWebサイトで使われているApache Struts2そのものの脆弱性、SQLの脆弱性を突く「SQLインジェクション」なども古典的な攻撃ですが続いています。


「多層防御、多重防御とCDN」
　オペレーティングシステムに起因する脆弱性や運用設定上の脆弱性、アプリケーションの脆弱性、ハードウェアに起因する脆弱性など、個々のシステム管理者(ネットワーク管理者)が、多面的に安全を確保するのは時間的にもリソース的にも相当困難です。単一装置のセキュリティ機能だけで完全なセキュリティを確保することは、もはやできないのではないでしょうか？

　多層防御は、提供するサービスに対して　ネットワーク層(L2,L3)、トランスポート層(L4)、アプリケーション層、(マネージメント層)など、それぞれの機能を提供している各層毎にセキュリティ対策を実装していく考え方です。
　典型的なファイヤウォールやIPSは、ネットワーク層とトランスポート層に起因するセキュリティ対策を講じる装置です。また、WAF(WEB Access Firewall)のように、単なるトランスポート層でのプロトコル的な対応ではなく、WEB通信の振る舞いの適正性を見て通信の安全性を確保する製品もあります。こうした「層」ごとの防御を組み合わせて、安全確保をはかるというものです。

　一方で多重防御は、同じ機能をもつセキュリティ対策製品を重複して配置する考え方です。異なるベンダーのファイヤウォールを直列に2台接続する形態が最も単純なもので、装置固有の脆弱性による攻撃を機能の多重化によって防ぐことができます。


・・・ここから先は、アクセリア株式会社で公開中のコラム本編でご覧ください。
リンク


【小林 和真氏のコラム】
・第1回：米国の家電展示会「CES」で見えてきたCDNとAI、IoTのつながりとは？リンク
・第2回：世界最大の放送に関する総合展示会「NAB」に見る技術のトレンドリンク