安全なサイト運用のためのリスク要因と防衛策のポイント

Webサイトへの不正アクセスによるサイト改ざんや情報漏えいが後を絶たない。企業Webサイトのセキュリティを高めるためには、セキュリティを阻害する「外部要因」と「内部要因」の双方を正しく把握し、包括的に対策を行うことが求められる。シマンテック・ウェブサイトセキュリティの山崎潤一氏は、サイバー攻撃や脆弱性の脅威といったリスクについて、攻撃の最新事情とそれに対する同社のソリューションを解説するとともに、重要情報のやり取りに欠かせないSSLサーバ証明書の適切な管理の重要性について訴えた。

Webサイトのセキュリティ対策は重要な経営課題

合同会社シマンテック・ウェブサイトセキュリティ（講演当時）
Trust Services
プロダクトマーケティング部
山崎 潤一氏

Webサイトは企業の顔であり、情報セキュリティに関する事件によってサイトが閉鎖に追い込まれれば、売上低下といった直接的被害のほか、企業ブランドの毀損や信頼性の低下といったさまざまな被害に遭う可能性がある。

日本ネットワークセキュリティ協会（JNSA）や情報処理推進機構（IPA）の調査によると、情報流出やサイト改ざんなどにより企業が被る直接的被害は、損害賠償額が平均で約7,500万円、サイト再構築などにかかる費用は5,000万円から1億円に達するとされている。また、ブランド毀損によって、平均で売上が5％から40％ダウンするともいわれる。まさに、企業のビジネスの根幹を揺るがしかねない数字だ。

企業の顔である一方、24時間稼働し続け、常にリスクにさらされているWebサイトのセキュリティを守ることは、重要な経営課題の1つである。

外部要因と内部要因という2種類のリスク

では、Webサイトのリスク要因にはどのようなものがあるだろうか。大きくは、サイバー攻撃をはじめとする「外部要因」と、ヒューマンエラーをはじめとする「内部要因」に分けられる。

• 外部要因

  外部要因には、まず外部からの攻撃である「サイバー攻撃」が挙げられる。これは、情報漏えいやマルウェア混入、サイト改ざんなどである。

  もう1つは、「脆弱性の脅威」だ。SSLサーバ証明書の安全性の低下や、修正プログラム（パッチ）の適応、継続的な最新情報収集などの課題である。

• 内部要因

  一方、内部要因は「ヒューマンエラー」など企業内で発生するものだ。これは、パッチ適応ミスや、サーバー設定のミス、SSLサーバ証明書の更新漏れなどが該当する。サーバ証明書の更新切れは、サイト来訪者がサイトを閲覧することができず、離脱要因になるので注意が必要だ。

  2つ目は、「IT資産のリスク可視化」である。たとえば、大手企業では、さまざまな部署で自己署名証明書が発行され、どこにあるかわからない、いつの間にか期限が切れてしまうといった問題がある。

Webサイトのリスク分析

攻撃の8割がWebアプリの脆弱性を狙ったもの

こうしたWebサイトのリスク要因はどのように排除すればいいのか。山崎氏は、それぞれのリスク要因に対するソリューションの考え方について詳しく説明する。

まずは、外部要因に対する考え方だ。Webサイトの攻撃に関するシマンテックのレポート「2014年インターネットセキュリティ脅威レポート19号」によると、同社のスキャン対象のWebサイトのなかで、何らかの脆弱性が発見された割合は、2012年（53％）から2013年（77％）までの1年間で24ポイント増加している。

また、Webサイトに対する攻撃も増えており、1日にブロックされたWebサイトへの攻撃は、2013年は56万8,700件と、対前年比で23％増加し、企業サイトのリスク要因が高まっている。

具体的な攻撃の種類はどのようなものか。セキュリティ専門企業のラックの発表によれば、攻撃の8割がSQLインジェクションやクロスサイトスクリプティング（XSS）といった、Webアプリケーションの脆弱性を狙った攻撃だという。また、最近ではOpenSSLの脆弱性（Heartbleed）などに代表される、ミドルウェアの脆弱性をついた攻撃も増加している。

Webアプリケーションに対する攻撃が大半を占める（ラック、「侵入傾向分析レポート Vol.19」より）

こうした攻撃の増加は、攻撃を自動化するツールが出回ったことが大きい。だれでも容易に攻撃が仕掛けられるようになり、2013年後半から急激に増加している。

Webアプリケーションやミドルウェアの脆弱性をついた攻撃を防ぐには、開発者が脆弱性を理解し、開発の上流工程で対策を行うべきだ。そうでなければ、脆弱性のあるアプリが世の中に発表され、結果としてデータ流出やサイト改ざんなどの攻撃を招くことになる。

セキュリティリスクを排除する3つのソリューション

こうしたリスクに対してシマンテックが提供するソリューションが、「マルウェアスキャン」「脆弱性アセスメント」「セキュリティ診断サービス」の3つだ。

1. マルウェアスキャン機能

   専用のロボット（クローラー）がサイトを毎日スキャンし、サイトが改ざんされていないか、脆弱性がないかなどをチェックし、問題があれば通知してくれる。

   Googleなどの検索エンジンでは、検索ロボットがクローリングして検索インデックスを作成する際に、サイトがマルウェアに感染していないかを確認している。これは、検索ユーザーの安全性を保つもので、閲覧者に対してマルウェアを配布しているようなサイトは、ブラックリストに掲載されて、検索結果に表示されなくなってしまう。また、ChromeなどのWebブラウザ側でアラートが表示され、アクセスがブロックされる。シマンテックのSSLサーバ証明書で標準提供される機能だ。

   自社サイトがブラックリストに載ると、仮に問題が解決しても、取り下げられるまでの申請期間に最長で6週間くらい要する場合もある。その間、ユーザーからのアクセスが遮断されるというのは、企業にとって大きなビジネスの損失につながるため、こうしたスキャンサービスで問題を把握することは有効な対策となる（山崎氏）

2. 脆弱性アセスメント機能

   ツールを使ったSaaS型の診断サービスで、企業サイトを外部から1週間に1度ずつ検索し、セキュリティホールを発見したときには通知を行う。特に、ミドルウェアの脆弱性は一度ふさいだら終わりではなく、日々、新たな脆弱性が発見されている。

   このアセスメントサービスは、ミドルウェアも含め、「Webアプリ」「データベース」「メール」「ネットワーク」「リモートアクセス」などの項目を継続的にスキャンし、PDF形式でレポートを提示してくれるため、問題の早期発見と対処が可能となる。シマンテックのEV SSL証明書およびグローバルサーバID(SSLサーバ証明書)で標準提供される機能だ。

3. セキュリティ診断サービス

   ログインが必要な会員サイトなど、自動ツールでは診断に限界があるサイトなどを手動で診断する、SSLサーバ証明書とは独立したサービスとして提供される。契約した企業のサイトに診断員が疑似的に攻撃を仕掛け、セキュリティホールがないかを調べる。

   脆弱性アセスメントを補完する対策として、たとえば、年に一度は受けることや、サービスイン前に受けるといった活用法が有効だ（山崎氏）

開発段階で100％脆弱性を解消するのは困難

次に、企業の一般的なWebサイト（アプリ）構築のフローに即して、脆弱性対策がどのように行われているかを見てみる。前述でも、開発工程でセキュリティリスクを排除すべきだと述べたが、以下のような「要件定義」「設計」「実装」「テスト」「運用」というフローの各工程でセキュリティ対策を行うことが望ましい。

Webサイトの脆弱性の実情

しかし、実際の開発現場では、設計や実装段階で、セキュアコーディングと呼ばれる「脆弱性が組み込まれないように高度な開発を行うスキル」を有した開発者が不足しているという実情がある。また、多くのプロジェクトでは、開発スケジュールがタイトで、テスト段階で脆弱性診断をしても、スケジュール上、脆弱性を解消しきれないという問題がある。

さらに、最近はミドルウェアなどに新たな脆弱性が発見されることも多く、事実上、テスト段階で100％脆弱性を解消することが非常に困難になっている。

IPAのレポートによれば、脆弱性が発見されたWebサイトのうち、脆弱性の修正に3か月以上の日数を要したサイトは全体の約3分の1に上るという。その理由として、予算取得や開発者確保の難しさが挙げられる。

そうした状況を受け、定期的に脆弱性診断サービスを受けることや、WAF（Web Application Firewall：Webアプリケーションに特化した攻撃対策ソリューション）を導入して、運用フェーズで攻撃を検知、遮断する対策を行うお客様もいる（山崎氏）

山崎氏によれば、特にクラウド型のWAFの導入が有効だという。WAFは、Webアプリケーションプログラムへの入力内容など、挙動を詳しく監視することによって、不正なアクセス要求や情報漏えいにつながる攻撃などを遮断するセキュリティ製品だ。クラウド型サービスとして提供される点が一番大きなメリットで、DNSの書き換えのみで既存のWebサイトをほとんど改修せずに導入可能であり、侵入検知ルールはシマンテックのセンター側で自動更新されるため、導入企業の運用負担は少ない。

前述した通り、攻撃の8割がWebアプリを狙った攻撃であるため、限られた予算を効果的に投資するためにも、WAFの導入を検討している企業は多い。クラウド型のWAFは、初期の導入コストと運用コストを押さえられるため、従来のアプライアンス型よりも導入のハードルが低い点が特長だ（山崎氏）

常時SSL化のトレンド

一方、購入に際しての個人情報などの入力フォームだけでなく、トップページ以下すべてのページをSSLで暗号化する「常時SSL」に取り組むサイトも多い。SSLサーバ証明書は、Webサイトを支えるインフラに不可欠の技術となりつつある。そこで顕在化してきたリスクが、SSLサーバ証明書の危殆化（暗号化の安全性が脅かされた状態）のリスクだ。

現在、公開鍵暗号方式の主流であるRSA暗号の将来的な危殆化に備え、ECC（楕円曲線暗号）と呼ばれる暗号化アルゴリズムを用いたサーバ証明書の利用が有効だ。これが、シマンテックの「ECC対応SSLサーバ証明書」である。

シマンテックのSSLサーバ証明書は、RSAかECCかを選べるようになっている。ECCの利点は、現行のRSA方式よりも強固な安全性を持ちながら鍵長が短くて済む点で、CPU占有率の削減、レスポンスタイムの向上といったメリットが期待される（山崎氏）

内部要因に備えるSSLサーバ証明書の管理体制

セキュリティリスクの内部要因については、どのように考え、対処すべきだろうか。

内部のリスク要因には、SSLサーバ証明書の更新漏れなどの「ヒューマンエラー」と「IT資産のリスク可視化」が挙げられる。たとえば、サーバ証明書の更新漏れによって有効期限が切れると、再申請して証明書が発行されるまで時間が必要だ。

この間、サイト来訪者がサイトを閲覧することができないというリスクに対処するのが、「マネージドPKI for SSL」というサービスだ。これは、導入先企業の管理者に対し、年に1度の認証を行った上で保有ライセンス分の証明書発行権限を委譲するというサービスで、証明書発行の一元管理や証明書発行のスピード化が期待できる。多くの証明書を要する大企業向けに事務手続きを軽減するソリューションとなる。

そして、「IT資産のリスク可視化」に備えるソリューションが、「CIC」（Certificate Intelligence Center）だ。これは企業ネットワーク内にある、シマンテックのSSLサーバ証明書以外も含むすべてのサーバ証明書を可視化し、一元管理するもので、更にシマンテックのSSLサーバ証明書については、更新作業を自動化、スケジュール化する機能にも対応している。

この他、企業のさまざまな部署で自己署名証明書が発行されているため、「どこにあるか把握しきれない。いつの間にか期限が切れてしまう」といった課題もある。こうした課題に対し山崎氏は、自己署名証明書を一元管理する「プライベートSSL」や、「マネージドPKI for SSL」の利用者に対し、24時間365日のサポートを提供する「ゴールドサポート」などのサービスを紹介し、講演を締めくくった。