防犯のために自宅の戸締りをするのと同じように、自社サーバーやレンタルサーバーもセキュリティ対策をして、Web サイトやサーバーを守る必要があります。
レンタルサーバーのセキュリティで有名なものは、SSL やファイアウォール、WAF、Web 改ざん検知や不正侵入検知など様々な種類があり、それぞれ異なる方法で不正アクセスなどの対策を取っています。
今回は、なぜ Web サイトやサーバーを守る必要があるのか、なぜ「 WAF 」を導入すべきなのか、WAF の特徴や種類、設定方法まで詳しく解説していきます。
こちらの記事でもセキュリティ対策について解説していますので、本記事とあわせてご覧ください。
知らないと怖いWebセキュリティと、CPIサーバーのWAF設定方法
目次
- サイバー攻撃を防ぐ「 WAF (Web Application Firewall) 」とは
- ビジネスに大打撃...!サイバー攻撃とは
- WAF を導入しないとどうなる?
- WAF の必要性
- WAF の種類と特徴
- IPS・IDS と Firewall は WAF とどう違う?
- WAF で守ることができるサイバー攻撃の一例
- レンタルサーバーで WAF を設定する方法
- レンタルサーバーに WAF を導入してリスクを軽減!
「Webサイトからお問い合わせが来ない…」とお悩みの方必見!
当サイトのノウハウを詰め込んだ『Web集客の無料ガイド』をご提供
サイバー攻撃を防ぐ「 WAF (Web Application Firewall) 」とは
WAF (Web Application Firewall:ウェブアプリケーションファイアウォール) とは、Web アプリケーションに特化した Firewall の一種で、Web サイトにアクセスされる通信をチェックし、Web アプリケーションの脆弱性を突く不正な攻撃を防御するセキュリティシステムのことです。
WAF をサーバーの前に設置することで、不正な通信をブロックし、サーバーまで到達しないようにします。
ビジネスに大打撃...!サイバー攻撃とは
サイバー攻撃とは、サーバーやパソコン、スマートフォンなどのシステムに対して、悪意のある第三者が不正に侵入し、データを抜き取ったり、改ざん、破壊をすることです。金銭的な目的や企業の信用低下による株価操作を狙うなど、サイバー攻撃の理由は様々です。
具体的な攻撃の例としては、
- サーバー内のデータ漏洩
- Web サイトの改ざん、情報漏洩
- 迷惑メール送信や他サーバーを攻撃するための踏み台として利用
- サーバーやサービスの停止
などがあります。
もし攻撃されてしまった場合は、被害状況調査や二次被害への対策、お客さまへの謝罪と補償、脆弱性を除去したシステムの再構築などが必要になってきます。それだけでなく、お客さまの大切な個人情報や企業情報(企業資産)を流出させてしまったとなると、社会的信用喪失や売上の減少、損害賠償などの金銭補填、株価の下落などが重なり、事業を続けることが難しく倒産してしまうことも。
WAF を導入しないとどうなる?
WAF を実装していない状態は、Web アプリケーションを守るためのセキュリティ対策がされておらず無防備であるため、攻撃者に弱点を見破られ次第攻撃を受ける可能性があります。サイバー攻撃の代表例である「 SQL インジェクション」や「クロスサイトスクリプティング ( XSS ) 」は、Web アプリケーションの脆弱性を突かれた攻撃です。
SQL インジェクションとは、データベースを操作するのに利用する言語「 SQL 」を利用して、データベースを不正操作する攻撃です。セキュリティ対策がされていない EC サイトや WordPress で作成した Web サイト内のフォームなどに、不正な SQL 文を入力し検索することで、通常ならアクセスすることができないはずのデータ(個人情報などを含む)が抜き取られたり、情報の改ざんや破壊される被害につながってしまいます。
クロスサイトスクリプティング ( XSS ) とは、脆弱性がある掲示板などの Web アプリケーションを掲載している Web サイトの脆弱性を利用した攻撃のことです。Web サイト内に悪意のあるスクリプト付きのリンクを埋め込み、誤ってクリックしてしまうと個人情報を盗み取られてしまいます。
WAF の必要性
サイバー攻撃は脆弱性を狙うため、脆弱性さえ無くすことができれば攻撃を受けないのでは?と思われますが、脆弱性と一口に言っても様々な要因があるため、すべてを無くすことは難しいのが現実です。
「私たちの会社は大丈夫」「中小零細企業だから狙われることはない」などと対策をしていないと、企業にとって多大な打撃を受けることになりかねません。むしろ、大企業はセキュリティ対策が強固であることが多いため、対策の甘い中小企業が狙われやすくなっているのも事実です。
被害に遭い多大な損失を被る前に WAF を導入し、サイバー攻撃から会社の資産を守りましょう。
WAF の種類と特徴
WAF にはアプライアンス型、ホスト型、クラウド型がといった種類があります。それぞれの特徴について見ていきましょう。
アプライアンス型(ゲートウェイ型)
アプライアンス型(ゲートウェイ型)とは、別途ハードウェアを用意し、Web アプリケーションの手前に設置して監視するものです。自社サーバーへの負荷がかからないため、Web サイトなどへの影響はほとんどありません。また、システムの構築やハードウェアの購入など初期費用がかかりますが、Web サイトの規模に合わせて自由に拡張できるところが魅力です。
ホスト型(ソフトウェア型)
ホスト型(ソフトウェア型)とは、既存のレンタルサーバーの環境に専用の WAF ソフトウェアをインストールするタイプです。Web サーバー1台ごとにソフトウェアをインストールする必要があるので、そこまで規模が大きくない Web サイトに向いています。また、共用サーバーの場合、ソフトウェア型の導入が難しいことが多く、使用できないレンタルサーバーもあるので、事前に確認をしましょう。
レンタルサーバー CPI では、共用サーバー・専用サーバー共にホスト型の WAF を提供しています。
クラウド型
クラウド型とは、インターネット経由で WAF を導入するタイプです。クラウドの環境で WAF を利用するため、専用のハードウェア設置・購入や運用は必要がないため、クラウド型の WAF のニーズが高まっています。
IPS・IDS と Firewall は WAF とどう違う?
サーバーを守るためのセキュリティの種類は様々で、IPS や IDS 、Firewall(ファイアウォール)などもセキュリティシステムです。
それぞれが異なる目的と守備範囲を持っているので、これらのセキュリティシステムを組み合わせることで、より強固なセキュリティ対策を行うことができます。具体的にどのような違いがあるのかをみていきましょう。
Firewall は、送信先や送信元の IP アドレスやポート番号などの情報をもとに、通信を許可するかどうかを判断して、内部のネットワークに不正アクセスが入らないよう防御してくれます。
一方、IDS( Intrusion Detection System / 侵入探知システム)とは、システムやネットワークに対して外部から不正なアクセスがあったり、その兆候が確認できた場合に管理者への通知を行います。通知だけではなく、通信のブロックで不正アクセスを防御してくれるのが IPS( Intrusion Prevention System / 侵入防止システム)です。
WAF は Firewall や IPS・IDS で防ぐことができなかった攻撃を防御します。どれもセキュリティシステムとして不可欠で、これらを導入することでサーバーをさまざまな攻撃から守ることができます。
WAF で守ることができるサイバー攻撃の代表例
- SQL インジェクション
不正なプログラムを注入し、データベースの情報の抜き取り、漏洩などをすることです。
- クロスサイトスクリプティング( XSS )
脆弱性がある掲示板などの Web アプリケーションを掲載している Web サイトを踏み台にして、悪意のあるスクリプトを埋め込み、個人情報を盗み取ることです。
- ディレクトリトラバーサル
Web サーバー上にあるファイル名などのプログラムに対して、不正な文字列を入力することで、通常は見れないはずのファイルを盗み取ることです。
- OS コマンドインジェクション
サーバーを構築する OS に脆弱性があった場合、OS への不正なコマンド(命令文)の処理を実行させ、情報漏洩やサイト改ざん、ウイルス感染の危険性があります。
など、WAF を導入することで上記のような Web アプリケーションの脆弱性を狙った攻撃を遮断することができます。(クラウド型の WAF には「 DoS / DDoS 攻撃」にも有効な製品があるようです)。
レンタルサーバーで WAF を設定する方法
CPI のレンタルサーバーを利用する場合、共用サーバーでは標準で、専用サーバーでは有料「オプションで導入することができます。ユーザー側や管理者が設定する必要はなく、導入方法もサーバーにインストールするだけなので、ネットワークの構成を変更する必要もなく簡単に導入ができます。
またシグネチャ(署名)は自動で更新されていくので管理が不要です。常に最新の状態で悪意のあるアクセスを防ぐことができます。
こちらの記事も合わせてご覧ください。
【 Web 】レンタルサーバーの主なセキュリティ対策機能を6つ解説
CPI で WAF の ON/OFF を切り替える方法
CPI の WAF の設定もとても簡単です。CPI のサーバーコントロールパネルの制作ツールから、[ WEB ]>[ WAF ]を選び、WAF の設定状況の「有効」か「無効」を選ぶだけです。
マルチドメインごとに ON と OFF を切り替えることができます。
CPI で WAF のログをダウンロードする方法
過去のログをダウンロードしたい場合は、まず FTP アカウントの設定から FTP アカウントを作成。アカウントのログインディレクトリは「 / 」または「 /log 」にします。
FTP アカウントの作成が済んだら、FTP ソフトにアクセスし、「 /log 」ディレクトリ以下の「 waf-detect.log 」が当日分のログになります。また「 waf_detect.log.yyyymm 」は1カ月分のログファイルになっています。
3カ月前までの WAF が保管されているのでログをダウンロードすることができます。それ以前のログは自動的に削除されるので必要な月のログがある場合は、あらかじめダウンロードして保存するようにしましょう。
レンタルサーバーに WAF を導入してリスクを軽減!
いつ自分の身に降りかかるか分からないサイバー攻撃や、なぜサイバー攻撃への対策が必要なのか、セキュリティツール「 WAF 」の必要性についてご紹介しました。悪意のある第三者からの攻撃を受けてしまうと、イメージダウンや金銭的ダメージを回復させるためには長い時間がかかります。そのようなことを未然に防ぐためにも、WAF を導入してセキュリティ対策をしっかりと行いましょう。
レンタルサーバー CPI の共用サーバーならば WAF は標準で装備されており、専用サーバーでもオプションで簡単に導入できます。運用についても、ユーザー側で面倒な手間はかかりません。