株式会社セキュアイノベーション

Menu

BLOG

  • Webアプリケーション

公開:2020.07.20 12:15 | 更新: 2021.07.26 02:24

WAFってセキュリティ対策に必要?

IPA(独立行政法人情報処理推進機構)が毎年、情報セキュリティ10大脅威と称して影響が大きかったと考えられる脅威を発表しています。
以下が、過去2年分のランキングですが、ご覧いただいてわかる通り約半数がwebアプリケーションに関する脅威(赤字記載)となっています。

情報セキュリティ10大脅威(組織)

順位2019年2020年
1位
標的型攻撃による被害
標的型攻撃による被害
2位
ビジネスメール詐欺による被害
内部不正による情報漏洩
3位ランサムウェアによる被害
ビジネスメール詐欺による被害
4位サプライチェーンの弱点を悪用した攻撃の高まりサプライチェーンの弱点を悪用した攻撃
5位内部不正による情報漏洩ランサムウェアによる被害
6位
サービス妨害行為によるサービスの停止
予期せぬIT基盤の障害に伴う業務停止
7位
インターネットサービスからの個人情報の窃取
不注意による情報漏えい
8位
IoT機器の脆弱性の顕在化
インターネットサービスからの個人情報の窃取
9位
脆弱性対策情報の公開に伴う悪用増加
IoT機器の不正利用
10位不注意による情報漏えい
サービス妨害行為によるサービスの停止

上記のランキングからも、webアプリケーションに対するセキュリティ施策はプライオリティ高くのぞむべきと汲み取れます。今日においては新型コロナウィルスの影響で一気に普及が進んだweb会議ツール等、webアプリケーションの活用は進んでいくことが推測でき、より一層、webアプリケーションへの施策は重要なものになってくると考えます。

次に、webアプリケーションを標的にしたサイバー攻撃の代表的なところをいくつかご紹介したいと思います。

攻撃名概要
SQLインジェクションwebサイトが連携しているデータベースへの不正な命令が実行されることで保持する情報が盗み出されてしまう
クロスサイトスクリプト脆弱な企業サイトを直接攻撃するものではなく、ターゲット企業のwebサイトを利用するユーザーを標的とし、不正な情報収集やフィッシング詐欺に繋がる
クロスサイトリクエストフォージェリ会員制のwebサービス等でユーザーがログインした状態で、意図しない操作が複数のサイトへ実行される。ログイン状態のSNS上で閲覧したサイトのURLが投稿されてしまう、など。
コマンドインジェクション外部からのコマンド入力を受け付けてしまう脆弱性を利用して、管理権限等を奪い情報を盗み出す等の不正な操作を行う
ディレクトリトラバーサル本来はアクセスを許可しないファイルを閲覧、ダウンロードされてしまい情報流出につながる

恐ろしいのは、例にあげたこれらの攻撃のほとんどが、標的とされた企業の「ユーザーにまで被害が及ぶ」ことです。標的になった企業のユーザーはログイン情報やクレジットカード情報などの個人情報が盗まれて被害にあったり、悪意あるプログラムをPCに仕込まれて、知らぬ間に加害者となってしまう可能性もあります。webアプリケーションへのセキュリティ施策であるWAFを導入する事は、企業を守り、社員を守るだけでなくユーザーも守ることに繋がり、信頼関係を築いていく上で重要な役割を担います。

従前の、アプライアンス型のWAFはその有用性の反面、導入コストや技術的な部分、セキュリティ知識が多く求められてしまい、普及がすすんでいなかったところがありましたが、クラウド型WAFは手軽で実用性の高い、特に多くの中小企業にとって現実的なwebアプリケーションのセキュリティ対策となっています。

ユーザーへ被害が及ばぬよう、自社が加害者となってしまわぬよう、webサイトを運営しながらもWAFを導入していない企業はぜひ一度、ご検討を!