FW(ファイアウォール)だけではない!Webサーバに必要なセキュリティ対策まとめ
サーバセキュリティの脆弱性が引き起こすインシデント
まず、サーバセキュリティの脆弱性が引き起こすインシデントと、サイバー攻撃の種類について紹介します。
脆弱性が引き起こすインシデントの種類
- ・機密情報漏洩
- ・公式情報の改ざん
- ・ECサイトやWebサービスのダウンによる金銭的な損害(機会損失含む)
- ・情報漏洩やサービスの停止による顧客信用の低下
- ・改ざん、ダウンなどからシステムを復旧させる費用の発生
サイバー攻撃の種類
| サイバー攻撃の種類 | 攻撃内容 |
|---|---|
| ポートスキャン | 侵入や攻撃の糸口を探る |
| Web改ざん | 不正な方法で企業や団体の公式サイト情報を改ざんし、信用力を低下させる |
| SQLインジェクション | データベースに不正な命令を発行し、顧客情報を盗み取る |
| クロスサイトスクリプティング(XSS) | スクリプト送信によるWebページの不正操作 |
| DDoS攻撃 | 外部から同時多発的にDoS攻撃を加え、サーバダウンを狙う |
| ブルートフォースアタック | ツールを利用した総当たり形式でID・パスワードを入力し不正アクセス |
| ゼロデイ攻撃 | OS、ミドルウェア、アプリケーションの脆弱性発覚からパッチ適用までの期間を狙った攻撃 |
Webサーバ構築時に対策すべきサーバセキュリティ
Webサーバは、サイバー攻撃の脅威にさらされやすいため、重点的な対策が必要です。サーバセキュリティ対策は、複数の手法を組み合わせて行いましょう。
FW(ファイアウォール)
ネットワークレベルのセキュリティ対策。あらかじめ設定したルールに基づき、アクセス制御を行う。設定項目は、ポート番号、IPアドレス、プロトコル、通信方向など。ただし、通信の内容まではチェックできない。また、80番や443番ポートなどへの、正常な通信に偽装した攻撃には対処しきれない。
IDS(不正侵入検知システム)
プラットフォールレベルでのセキュリティ対策。FWが許可した通信に対し、不正なアクセスか否かをチェックし、管理者に通報する仕組み。ただし、検知後の遮断・防御までは行わない。
IPS(不正侵入防止システム)
IDSと同じく、FWが許可した通信パケットを監視し、パケット内容を含めた通信全体を解析する。万が一、怪しい振る舞いや不正侵入の可能性を検出した場合には、通信を遮断もしくは破棄する。
WAF(Webアプリケーションファイアウォール)
アプリケーションレベルのセキュリティ対策。FWやIDS、IPSよりも上位に位置し、アプリケーション層の防御に特化している。Webアプリケーションへの攻撃に対し、通信内容のチェックや流出しないはずのデータが相手に返されていないかなどをチェックする。
※WAFについては、こちらの記事で詳細を解説しています。WAF(Webアプリケーションファイアウォール)とは
階層ごとのサーバセキュリティ対策
Webサーバのセキュリティ対策は、階層ごとに適した手法を組み合わせて行います。
- OS・ミドルウェア ⇒ IPS・IDS・WAF
- ネットワーク ⇒ FW
- Webアプリケーション ⇒ WAF
サイバー攻撃の種類と有効なサーバセキュリティ対策
サイバー攻撃にはそれぞれに有効なセキュリティ対策があります。例えばFWのみでは、SQLインジェクション攻撃やXSS攻撃は防ぐことができません。アプリケーションレベルで通信内容をチェックできるWAFが必須です。このようにサイバー攻撃とセキュリティ対策が上手く紐づかなければ、せっかくのセキュリティ対策も効果が無くなってしまいます。
以下は、サイバー攻撃とセキュリティ対策の組み合わせを整理したものです。
- ポートスキャン ⇒ FWもしくはネットワーク型IDS(NIDS)
- SQLインジェクション ⇒ WAF
- クロスサイトスクリプティング(XSS) ⇒ WAF
- DDoS攻撃 ⇒ IPS・IDS・WAF
- ブルートフォースアタック ⇒ WAF
- ゼロデイ攻撃 ⇒ IPS、IDS・WAF
サーバセキュリティ対策に必要なポリシー
ここまでは主に、技術的な対策について解説してきました。しかし、サーバセキュリティにおいて最も重要なのは、セキュリティに対する考え方や取り組みの姿勢をまとめた「規範」です。これは「ポリシー」と言い換えても良いでしょう。いかに優れたセキュリティ技術があろうとも、適切なポリシーがなければ、その効果は薄まってしまいます。
以下は、サーバセキュリティ対策に必要なポリシーを整理したものです。
不正アクセスや外部から攻撃に対するポリシー
- サイバー攻撃の手法や事例、対応策に関する最新情報を常に収集するよう心がける。
- OSやサーバで使用されるソフトウェアは常に最新バージョンを使用する。また、セキュリティパッチや修正プログラムがあれば随時インストールする。特にOSS(ApachやNginxなど)に関する情報のチェックは、日常のルーチンワークとして組み込む。
- サーバで起動させるサービスは、業務に必要なものだけに限定する。
- サーバ管理者以外が自由にサーバへログインできないよう、適宜アクセス制御をかける。原則として、管理者以外のアカウントは必要最低限のアクセス権限のみ付与する。
- アクセスログは定期的に収集・分析し、不審なアクセスログがないことを確認する。
- アクセスログは一定期間(半年~1年以上)保存する。
- 侵入検知、遮断を行う専用ツールを導入する。
- サーバが外部の悪意を持った外部の第三者に、踏み台として利用されないよう防御する。
- 第三者によるプログラムを介したデータの不正操作、意図しないデータ埋め込みが起きないよう、脆弱性対策を施す。
情報漏えい対策のポリシー
- ・個人情報などの機密性が高い情報は、別サーバへ退避させて管理し、攻撃による流出のリスクを減らす。
- ・不要なアカウントが無いかをチェックする。長期間使用されていないアカウントは、悪用リスク低減のため、適宜削除する。
- ・推測されやすいパスワードは使用禁止にする。また、文字数や文字の種類を増やし、パスワードの強度を保つよう義務付ける。
その他のポリシー
- ・定期的にセキュリティ診断を受ける。特に、外部組織によるサーバ、ネットワーク、アプリケーションへの脆弱性診断は積極的に活用する。
- ・クラウドなどの外部サービスを活用する場合は、ベンダーが提供するセキュリティ対策を把握し、不足分は自社内で補う。
まとめ
サーバセキュリティの脆弱性が引き起こすインシデントやサイバー攻撃の種類、その対処法などを解説しました。
サーバセキュリティ対策は、明確なポリシーのもと、複数の技術を併用していかなくてはなりません。しかし、年々高度化するサイバー攻撃に対し、自社のみで完璧なセキュリティ対策を施すのは難しい、という企業も少なくないでしょう。限られたリソースで強固なセキュリティを実現するため、クラウドサービスの活用も検討してみてください。