システム開発とセキュリティ│Web制作会社のセキュリティ関連コラム

Columnコラム

Web制作

WEB制作 システム開発とセキュリティについて

WEB制作 システム開発とセキュリティについて

2015/03/30
このエントリーをはてなブックマークに追加

こんにちはサーバーエンジニアの橋本です。


だいぶ暖かくなりましたが、今年の冬は寒い日が続きましたね。

寒い日が続くとよく聞くようになるのがインフルエンザの話題、今ではあまり聞かなくなりましたが、今年も大流行でした。
日頃あまり意識をしていないのですが、一度かかってしまうと、しばらく高熱で思うように動けず、一週間ほどは何もできなくなってしまいます。
以前伺ったクライアント先でも、取引先の担当者がインフルエンザで休んでしまい、業務が止まってしまったという話を聞きました。

インフルエンザの流行は落ち着いたのかもしれませんが、季節の変わり目は風邪が流行ります。
皆さんは何か対策をしていますか?
インフルエンザと違って風邪の予防接種ありませんから、外出時にはマスクをしたり、外出先から戻ってきたらうがい・手洗いをする等、日頃の予防対策が大事ですね。

img_systemsecurity01.png

さて、風邪から身を守るのと同じ様に、WEBシステムにおいても外的から守ることが昨今重要になってきています。
その中でWEBシステム(サーバー)から情報を守るものとしてIPSやWAFという言葉をよく耳にするようになりました。
この「IPS」や「WAF」といった言葉、ネットワークエンジニアの人やWEBシステム開発に従事している人であればもう聞きなれた言葉だと思うのですが、そうでない人にとっては頭の上に「?」が浮かぶ言葉なのではないでしょうか。
今回はこの「IPS」や「WAF」とは何か、またそれによって何ができるのかについて説明していきたいと思います。

IPSとは何か

WEBシステム、ネットワークの世界で「IPS」というと、侵入防止システム(Intrusion Prevention System)のことを指します。
(同じ略語が生物学でも存在しますが、細胞とは全く関わりはありません)

wikipediaによると

侵入防止システム(IPS)とは、コンピュータネットワークにおいて、特定のネットワーク及びコンピュータへ不正に侵入されるのを防御するシステムである。

とのことです。
つまり、サーバーへの不正侵入を防いだり、不正侵入された際にアラートを上げてくれるシステムのことです。
サーバーの中に警備員を常駐させるようなイメージでしょうか。

昨今は外部からのサイバー攻撃により個人情報が流出してしまった、他社に機密情報が漏れてしまったというニュースをよく聞くようになったと思います。
対策として一番良いのはサーバー上に機密情報を置かないことなのですが、そうはいっても多くのクライアントを相手にするWEBサービスを展開している以上、全く大事な情報を乗せないということは難しいと思います。
本来であれば、機密情報をサーバーに置いている場合は、情報を守るために多くの警備員(システムエンジニアやネットワークエンジニア)を配備し、警備にあたるのが普通です。しかし、インターネットでビジネス展開している企業のほとんどは月に何百万という人件費(WEBサービスは基本24時間365日稼動しているのでそれぐらい掛かります)を掛けられないというのが実情だと思います。

そこで、代替案として上がってくるのが、この人の代わりに不正侵入を防いでくれるIPSになります。
システムなので実際にエンジニアの人が対応できることに比べて行えることは限られてきます。IPSにできることといえば、不正なアクセスがアクセスを検知した場合に、その該当のアクセス元からアクセスできなくする、もしくはサービス提供を一時停止するといったことだけになるのですが、24時間365日エンジニアを待機させることを考えると圧倒的にコストを抑えることができます。

最近では、IPSの機能も上がってきており(複雑な制御もできるようになってきているようです)、導入コストも下がってきていますので、大事な情報を扱っているサイトを管理されていてセキュリティレベルを上げたいと考えている方は、IPSの導入を検討しても良いと思います。

img_systemsecurity02.jpg

WAFとは何か

では、次にもう一つ昨今よく耳にするようになった「WAF」についての説明です。

ITPROが提供する「Networkキーワード」によると


WAF(web application firewall)とは,Webサーバー上にアプリケーションを作り込んでデータを更新したり最新の状況を表示したりするタイプのサイトを,不正な攻撃から守るための装置やソフトウエアのこと。 こうしたサイトにはオンライン・バンキング・やショッピング・サイトなどがある。

とのことです。

少し分かりにくいかもしれませんが、要はWEB上に公開しているシステムを外部の攻撃から守ってくれるものです。
では「web application」が付かない普通のFirewallと何が違うのでしょうか。それは、WAFが防ぐ攻撃は、ソフトウェアレベルの攻撃に特化したものである、という事になります。

通常のFirewallはDos攻撃の遮断や、特定サービスへのアクセスを制限する等、通信上での制御を得意とします。しかし、通信上に問題がなければ、たとえWEBシステムを攻撃をする不正なアクセスであっても、そのまま通してしまうといった弱点があります。
Firewallを門番(警備員)で例えると、明らかに、素行がおかしい人や、武装した集団が押しかけた場合は制止することができますが、凶器をポケットの中に隠し持ち、何食わぬ顔で通る人に対しては、問題に気付くことができずそのまま通してしまうといったところでしょうか。

WAFは、Firewallでは気付くことのできない攻撃を通信上のデータを解析することによって検知することができます。つまり先ほどの門番で説明すると、通る人、一人一人の持ち物検査を行い、ポケットの中に隠し持っているナイフを見つけることができるのです。

インターネットが使われ始めた頃は、このような複雑化した攻撃を意識することは全くなかったと思います。それはあくまでインターネットが個人の趣味で使うものや企業の情報(会社概要やアクセスマップ等)を載せておくものであり、ビジネスで利用しているのはほんの一部の企業だけだったからです。
しかし、多くの企業が自社のサービスをWEBに依存するようになり、WEBシステムが複雑化していくにしたがってそれまでなかった脆弱なポイントが増え、その脆弱性を狙う攻撃が増えてきました。昨今よく聞くようになった、SQLインジェクションや、クロスサイトスクリプティングなどはこれにあたります。
私も仕事上、WEBサーバーのアクセスログを分析することがありますが、以前に比べ、攻撃の痕跡を思われるログが多く見られるようになったと感じています。
特に昨今はサーバー上に個人情報やまだ公開できない企業情報を乗せることが多くなって来ているため今ではこのような攻撃を防ぐためによりいっそうのセキュリティ強化が求められていると考えてよいと思います。

まとめ

いかがでしたでしょうか。
「IPS」も「WAF」も聞きなれない人にとっては、なじみがなく、自分で導入するのはなかなか難しいと感じるかもしれません。
しかし、説明してきたとおり、WEB上でのサービスが複雑化してきている中、WEBサイトを運営していくにあたって、いかに情報を守るかということは必須で考えなければいけないことだと思います。
最近ではこの「IPS」や「WAF」はレンタルサーバーのオプションサービスとして提供されるようになり、申し込むだけで簡単に使うことができるようになってきましたので、少しでも自身が関わっているWEBサービスのセキュリティレベルを上げたいと考えている方はそういったオプションサービスの利用を検討されてはいかがでしょうか。

関連するサービス

ホームページ制作

関連キーワード
text_totop