情報セキュリティ ブログ記事

WAFって必要?

2020/07/20

 

 

IPA(独立行政法人情報処理推進機構)が毎年、情報セキュリティ10大脅威と称して影響が大きかったと考えられる脅威を発表しています。
以下が、過去2年分のランキングですが、ご覧いただいてわかる通り約半数がwebアプリケーションに関する脅威(赤字記載)となっています。

情報セキュリティ10大脅威(組織)

順位 2019年 2020年
1位 標的型攻撃による被害 標的型攻撃による被害
2位 ビジネスメール詐欺による被害 内部不正による情報漏洩
3位 ランサムウェアによる被害 ビジネスメール詐欺による被害
4位 サプライチェーンの弱点を悪用した攻撃の高まり サプライチェーンの弱点を悪用した攻撃
5位 内部不正による情報漏洩 ランサムウェアによる被害
6位 サービス妨害行為によるサービスの停止 予期せぬIT基盤の障害に伴う業務停止
7位 インターネットサービスからの個人情報の窃取 不注意による情報漏えい
8位 IoT機器の脆弱性の顕在化 インターネットサービスからの個人情報の窃取
9位 脆弱性対策情報の公開に伴う悪用増加 IoT機器の不正利用
10位 不注意による情報漏えい サービス妨害行為によるサービスの停止

上記のランキングからも、webアプリケーションに対するセキュリティ施策はプライオリティ高くのぞむべきと汲み取れます。今日においては新型コロナウィルスの影響で一気に普及が進んだweb会議ツール等、webアプリケーションの活用は進んでいくことが推測でき、より一層、webアプリケーションへの施策は重要なものになってくると考えます。

 

次に、webアプリケーションを標的にしたサイバー攻撃の代表的なところをいくつかご紹介したいと思います。

攻撃名 概要
SQLインジェクション webサイトが連携しているデータベースへの不正な命令が実行されることで保持する情報が盗み出されてしまう
クロスサイトスクリプト 脆弱な企業サイトを直接攻撃するものではなく、ターゲット企業のwebサイトを利用するユーザーを標的とし、不正な情報収集やフィッシング詐欺に繋がる
クロスサイトリクエストフォージェリ 会員制のwebサービス等でユーザーがログインした状態で、意図しない操作が複数のサイトへ実行される。ログイン状態のSNS上で閲覧したサイトのURLが投稿されてしまう、など。
コマンドインジェクション 外部からのコマンド入力を受け付けてしまう脆弱性を利用して、管理権限等を奪い情報を盗み出す等の不正な操作を行う
ディレクトリトラバーサル 本来はアクセスを許可しないファイルを閲覧、ダウンロードされてしまい情報流出につながる

恐ろしいのは、例にあげたこれらの攻撃のほとんどが、標的とされた企業の「ユーザーにまで被害が及ぶ」ことです。標的になった企業のユーザーはログイン情報やクレジットカード情報などの個人情報が盗まれて被害にあったり、悪意あるプログラムをPCに仕込まれて、知らぬ間に加害者となってしまう可能性もあります。webアプリケーションへのセキュリティ施策であるWAFを導入する事は、企業を守り、社員を守るだけでなくユーザーも守ることに繋がり、信頼関係を築いていく上で重要な役割を担います。

従前の、アプライアンス型のWAFはその有用性の反面、導入コストや技術的な部分、セキュリティ知識が多く求められてしまい、普及がすすんでいなかったところがありましたが、クラウド型WAFは手軽で実用性の高い、特に多くの中小企業にとって現実的なwebアプリケーションのセキュリティ対策となっています。

ユーザーへ被害が及ばぬよう、自社が加害者となってしまわぬよう、webサイトを運営しながらもWAFを導入していない企業はぜひ一度、ご検討を!

 
このエントリーをはてなブックマークに追加