デジタルマーケティングTips

クラウド型WAFでWebサイトを不正な攻撃からガードする方法

記事タイトル:クラウド型WAFでWebサイトを不正な攻撃からガードする方法

Webシステムの脆弱性を突いた不正アクセスからサイトを守るには、プログラム側での脆弱性対策に加えて、サーバー側に不正アクセスを遮断する仕組みをつくることが重要です。そのための有力な選択肢が、クラウド型WAFを活用して脆弱性対策を強化する方法です。

要点

メルマガでも情報を配信中です! ぜひご登録ください。

貴社のサイトも狙われている!? 不正アクセスにご用心

図:WAFなし=不正アクセスのリスクあり

企業のWebサイトは、悪意あるユーザーの不正アクセスに常に狙われています。 特に要注意なのが、ECサイト、SNS、会員制ポータルサイト、キャンペーンサイト等の個人情報を扱うサイトで、住所・氏名・ID・パスワード・クレジットカード番号等の大規模な情報漏えい事故がしばしばニュースとなっています。

「盗まれて困るような機密や個人情報は置いていない」というサイトでも決して安心はできません。 サーバーに侵入されて内容を改ざんされたサイトは、ブラウザ表示時に起動するプログラムを埋め込まれることで、他人の不正行為の踏み台にされる場合があります。これも結果的にサイトの企業が犯罪に加担することになり、企業イメージや信用度の失墜など大きなダメージは避けられません。多くのユーザーが閲覧する大企業のサイトや情報メディアサイトなどは特に注意が必要です。

防ぐのが難しい不正アクセスには、専用の対抗手段が必要

悪意あるユーザーが攻撃に使う手段は様々ですが、特に防ぎにくいのが、Webプログラムの処理の不備を突いた不正アクセスです。
これらは正常なアクセスに見せかけて、ひそかにフォーム入力内容やURL末尾のパラメーターに細工をすることで、サーバーに不正動作を起こさせます。ファイアウォール等では異常とみなされないため、プログラム開発時に対策を行うのが基本ですが、開発者の想定を超える不正アクセスを防ぎきれないケースは依然として存在します。

そのため、不正アクセス対策を強化したいサイトでは、プログラム側の対策のほかに、もう1段防衛網を張っておくことが重要になります。そこでおすすめなのがWebアプリケーションファイアウォール(WAF)です。

クラウド型WAFでワンランク上のWebサイトセキュリティを実現!

図:WAFあり=セキュリティ強化

Webアプリケーションファイアウォール(WAF)は、ユーザーからWebサーバーへの接続経路の間に入る位置に設置されるセキュリティ機器です。WAFのシステムはWeb不正アクセスと認識したものを遮断し、それ以外はWebサーバーにアクセスを通します。 一般のユーザーから見たアクセスは今までと同様なので、ユーザーが不便に感じることなく、セキュリティレベルを上げることが可能です。

従来のWAF(WAF用に物理的にサーバーを用意するタイプ)は導入費用・導入期間・保守の手間に難があり、敷居の高い存在でしたが、クラウド型WAFの登場により、従来よりも比較的低価格で、導入・保守の手間のかからないWAFが、すぐに使えるようになりました。機能・性能では従来型の方がまだまだ上になりがちですが、全体のバランスで考えると、やはりクラウド型の方が導入しやすい製品になっています。

従来型WAF
(アプライアンス型/ソフトウェア型)
クラウド型WAF
費用 × <
購入・構築の初期費が特にかさむ傾向あり 初期費・運用費とも比較的抑え目(トラフィックで変動)
導入期間
手間
× <
初期のパラメーター設定で数ヶ月以上かかる。
運用中も随時新規の脆弱性対応が必要で手間がかかる
DNS設定切り替えだけで導入可能。
運用中の新規脆弱性対応は、サービス内で一括処理され手間いらず
必要な
技術
× <
WAFを熟知した専門のセキュリティ技術者が必要不可欠。
外注でもいいので人材を常時確保する必要あり
WAF専門の技術が必要な作業はサービス内で処理されるため、通常のWebサーバー運用技術があればOK
機能
防衛強度
>
独立サーバーの強みを生かし、運用するWebコンテンツ/システムに特化した高セキュリティ構成・設定が可能 クラウドで提供される標準的な機能が利用可能
従来型WAF クラウド型WAF
費用 × <
購入・構築の初期費が特にかさむ傾向あり 初期費・運用費とも比較的抑え目(トラフィックで変動)
導入期間
手間
× <
初期のパラメーター設定で数ヶ月以上かかる。
運用中も随時新規の脆弱性対応が必要で手間がかかる
DNS設定切り替えだけで導入可能。
運用中の新規脆弱性対応は、サービス内で一括処理され手間いらず
必要な
技術
× <
WAFを熟知した専門のセキュリティ技術者が必要不可欠。
外注でもいいので人材を常時確保する必要あり
WAF専門の技術が必要な作業はサービス内で処理されるため、通常のWebサーバー運用技術があればOK
機能
防衛強度
>
独立サーバーの強みを生かし、運用するWebコンテンツ/システムに特化した高セキュリティ構成・設定が可能 クラウドで提供される標準的な機能が利用可能

まとめ

クラウド型WAFを活用することで、近年企業Webサイトを脅かす個人情報漏えいやサイト改ざんなどの脅威を大幅に低減することが可能になります。個人情報漏えいによる損害やブランドイメージの失墜から企業を守るための手段が必要なサイトにとっては、ぜひ導入を検討すべき製品といえます。

マックスマウスからのお知らせ

クラウド型WAFの導入支援サービスを提供いたします

マックスマウスはデジサート クラウド型WAFの再販パートナーとして、同製品の提供を行っております。 また、WebサーバーホスティングやSSL/EV-SSL証明書など、Webサイトに必要なインフラ/環境を、制作サービスと一緒にワンストップで提供しております。ご興味のある方は是非お問い合わせください。

Web制作・マーケティング担当者向けのお役立ち情報をメールマガジンでお届け!

WebサイトやSNSでの情報発信の安定化・効率化、CMS導入・運用、脆弱性対策、Flashコンテンツ置き換え、Webプロモーションなどなど、Web制作・マーケティング関係者向けの課題解決に役立つ、便利なサービス情報や活用法などをご案内します。

いますぐご登録ください!