防犯のために自宅の戸締りをするのと同じように、自社サーバーやレンタルサーバーもセキュリティ対策をして、Webサイトやサーバーを守る必要があります。
レンタルサーバーのセキュリティで有名なものは、SSLやファイアウォール、WAF、Web改ざん検知や不正侵入検知など様々な種類があり、それぞれ異なる方法で不正アクセスなどの対策を取っています。
今回は、なぜWebサイトやサーバーを守る必要があるのか、なぜ「WAF」を導入すべきなのか、WAFの特徴や種類、設定方法まで詳しく解説していきます。
目次
- サイバー攻撃を防ぐ「WAF」とは
- ビジネスに大打撃...!サイバー攻撃とは
- WAFを導入しないとどうなる?
- WAFの必要性
- WAFの種類と特徴
- IPS・IDSとFirewallはWAFとどう違う?
- WAFで守ることができるサイバー攻撃の一例
- レンタルサーバーでWAFを設定する方法
- レンタルサーバーにWAFを導入してリスクを軽減!
「Webサイトからお問い合わせが来ない…」とお悩みの方必見!
当サイトのノウハウを詰め込んだ『Web集客の無料ガイド』をご提供
サイバー攻撃を防ぐ「WAF」とは
WAF(Web Application Firewall)とは、Webアプリケーションに特化したFirewallの一種で、Webサイトにアクセスされる通信をチェックし、Webアプリケーションの脆弱性を突く不正な攻撃を防御するセキュリティシステムのことです。
WAFをサーバーの前に設置することで、不正な通信をブロックし、サーバーまで到達しないようにします。
ビジネスに大打撃...!サイバー攻撃とは
サイバー攻撃とは、サーバーやパソコン、スマートフォンなどのシステムに対して、悪意のある第三者が不正に侵入し、データを抜き取ったり、改ざん、破壊をすることで、金銭的な目的や企業の信用低下による株価操作を狙うなど理由も様々です。
具体的な攻撃の例としては、
- サーバー内のデータ漏洩
- Webサイトの改ざん、情報漏洩
- 迷惑メール送信や他サーバーを攻撃するための踏み台として利用
- サーバーやサービスの停止
などがあります。
もし攻撃されてしまった場合は、被害状況調査や二次被害への対策、お客さまへの謝罪と補償、脆弱性を除去したシステムの再構築などが必要になってきます。それだけでなく、お客さまの大切な個人情報や企業情報(企業資産)を流出させてしまったとなると、社会的信用喪失や売上の減少、損害賠償などの金銭補填、株価の下落などが重なり、事業を続けることが難しく倒産してしまうことも。
WAFを導入しないとどうなる?
WAFを実装していない状態は、Webアプリケーションを守るためのセキュリティ対策がされておらず無防備であるため、攻撃者に弱点を見破られ次第攻撃を受ける可能性があります。サイバー攻撃の代表例である「SQLインジェクション」や「クロスサイトスクリプティング(XSS)」は、Webアプリケーションの脆弱性を突かれた攻撃です。
SQLインジェクションとは、データベースの操作するのに利用する言語「SQL」を利用して、データベースを不正操作する攻撃です。セキュリティ対策がされていないECサイトやWordPressで作成したWebサイト内のフォームなどに、不正なSQL文を入力し検索することで、通常ならアクセスすることができないはずのデータ(個人情報などを含む)が抜き取られたり、情報の改ざんや破壊される被害につながってしまいます。
クロスサイトスクリプティング(XSS)とは、脆弱性がある掲示板などのWebアプリケーションを掲載しているWebサイトの脆弱性を利用した攻撃のことです。Webサイト内に悪意のあるスクリプト付きのリンクを埋め込み、誤ってクリックしてしまうと個人情報を盗み取られてしまいます。
WAFの必要性
サイバー攻撃は脆弱性を狙うため、脆弱性さえ無くすことができれば攻撃を受けないのでは?と思われますが、脆弱性と一口に言っても様々の要因があるため、すべてを無くすことは難しいのが現実です。
「私たちの会社は大丈夫」「中小零細企業だから狙われることはない」などと対策をしていないと、企業にとって多大な打撃を受けることになりかねません。むしろ、大企業はセキュリティ対策が強固であることが多いため、対策の甘い中小企業が狙われやすくなっているのも事実です。
被害に遭い多大な損失を被る前にWAFを導入し、サイバー攻撃から会社の資産を守りましょう。
WAFの種類と特徴
WAFにはアプライアンス型、ホスト型、クラウド型がといった種類があります。それぞれの特徴について見ていきましょう。
アプライアンス型(ゲートウェイ型)
アプライアンス型(ゲートウェイ型)とは、別途ハードウェアを用意し、Webアプリケーションの手前に設置して監視するものです。自社サーバーへの負荷がかからないため、Webサイトなどへの影響はほとんどありません。また、システムの構築やハードウェアの購入など初期費用がかかりますが、Webサイトの規模に合わせて自由に拡張できるところが魅力です。
ホスト型(ソフトウェア型)
ホスト型(ソフトウェア型)とは、既存のレンタルサーバーの環境に専用のWAFソフトウェアをインストールするタイプです。Webサーバー1台ごとにソフトウェアをインストール必要があるので、そこまで規模が大きくないWebサイトに向いています。また、共用サーバーの場合、ソフトウェア型の導入が難しいことが多く、使用できないレンタルサーバーもあるので、事前に確認をしましょう。
レンタルサーバーCPIでは、共用サーバー・専用サーバー共にホスト型のWAFを提供しています。
クラウド型
クラウド型とは、インターネット経由でWAFを導入するタイプです。クラウドの環境でWAFを利用するため、専用のハードウェア設置・購入や運用は必要がないため、クラウド型のWAFのニーズが高まっています。
IPS・IDSとFirewallはWAFとどう違う?
サーバーを守るためのセキュリティの種類は様々で、IPSやIDS、Firewall(ファイアウォール)などもセキュリティシステムです。
それぞれが異なる目的と守備範囲を持っているので、これらのセキュリティシステムを組み合わせることで、より強固なセキュリティ対策を行うことができます。具体的にどのような違いがあるのかをみていきましょう。
Firewallは、送信先や送信元のIPアドレスやポート番号などの情報をもとに、通信を許可するかどうかを判断して、内部のネットワークに不正アクセスが入らないよう防御してくれます。
一方、IDS(Intrusion Detection System / 侵入探知システム)とは、システムやネットワークに対して外部から不正なアクセスがあったり、その兆候が確認できた場合に管理者への通知を行います。通知だけではなく、通信のブロックで不正アクセスを防御してくれるのがIPS(Intrusion Prevention System / 侵入防止システム)です。
WAFはFirewallやIPS・IDSで防ぐことができなかった攻撃を防御します。どれもセキュリティシステムとして不可欠で、これらを導入することでサーバーをさまざまな攻撃から守ることができます。
WAFで守ることができるサイバー攻撃の代表例
- SQLインジェクション
不正なプログラムを注入し、データベースの情報の抜き取り、漏洩などをすることです。
- クロスサイトスクリプティング(XSS)
脆弱性がある掲示板などのWebアプリケーションを掲載しているWebサイトを踏み台にして、悪意のあるスクリプトを埋め込み、個人情報を盗み取ることです。
- ディレクトリトラバーサル
Webサーバー上にあるファイル名などのプログラムに対して、不正な文字列を入力することで、通常は見れないはずのファイルを盗み取ることです。
- OSコマンドインジェクション
サーバーを構築するOSに脆弱性があった場合、OSへの不正なコマンド(命令文)の処理を実行させ、情報漏洩やサイト改ざん、ウイルス感染の危険性があります。
など、WAFを導入することで上記のようなWebアプリケーションの脆弱性を狙った攻撃を遮断することができます。(クラウド型のWAFには「DoS/DDoS攻撃」にも有効な製品があるようです)。
レンタルサーバーでWAFを設定する方法
CPIのレンタルサーバーを利用する場合、共用サーバーでは標準で、専用サーバーでは有料「オプションで導入することができます。ユーザー側や管理者が設定する必要はなく、導入方法もサーバーにインストールするだけなので、ネットワークの構成を変更する必要もなく簡単に導入ができます。
またシグネチャ(署名)は自動で更新されていくので管理が不要です。常に最新の状態で悪意のあるアクセスを防ぐことができます。
CPIでWAFをON/OFFする方法
CPIのWAFの設定もとても簡単です。CPIのサーバーコントロールパネルの制作ツールから、[WEB]>[WAF]を選び、WAF の設定状況の「有効」か「無効」を選ぶだけです。
マルチドメインごとにONとOFFを切り替えることができます。
CPIでWAFのログをダウンロードする方法
過去のログをダウンロードしたい場合は、まずFTPアカウントの設定からFTP アカウントを作成。アカウントのログインディレクトリは「/」または「/log」にします。
FTPアカウントの作成が済んだら、FTPソフトにアクセスし、「/log」ディレクトリ以下の「waf-detect.log」が当日分のログになります。また「waf_detect.log.yyyymm」は1カ月分のログファイルになっています。
3カ月前までのWAFが保管されているのでログをダウンロードすることができます。それ以前のログは自動的に削除されるので必要な月のログがある場合は、あらかじめダウンロードして保存するようにしましょう。
レンタルサーバーにWAFを導入してリスクを軽減!
いつ自分の身に降りかかるか分からないサイバー攻撃や、なぜサイバー攻撃への対策が必要なのか、セキュリティツール「WAF」の必要性についてご紹介しました。悪意のある第三者からの攻撃攻撃を受けてしまうと、イメージダウンや金銭的ダメージを回復させるためには長い時間がかかります。そのようなことを未然に防ぐためにも、WAFを導入してセキュリティ対策をしっかりと行いましょう。
レンタルサーバー CPIの共用サーバーならばWAFは標準で装備されており、専用サーバーでもオプションで簡単導入ができます。導入の仕方も簡単で運用もユーザー側で面倒な手間もかかりません。
