セキュリティ対策について基礎知識を得る
ウェブに関するセキュリティ対策について学ぶ必要があったので、ひとまず図書館ですぐ借りられた本をまとめておく。
借りてから気づいたが、若干古い本だった。ざっくり把握する程度にする。
虚弱性情報は1次情報にあたること
自分が使用している、あるいは導入しているシステムのバージョンを把握しておくことはもちろん、虚弱性情報は必ず1次情報にあたる。2次情報の場合、重要な情報(発生条件など)が省略されていたりすることがある。
SQLインジェクション
データベースと連携したウェブアプリケーションの多くは、利用者からの入力情報を基にSQL文(データベースへの命令文)を組み立てています。ここで、SQL文の組み立て方法に問題がある場合、攻撃によってデータベースの不正利用をまねく可能性があります。
https://www.ipa.go.jp/security/vuln/websecurity-HTML-1_1.html
古典的な技術だが、現在も被害が多い。データベースの改ざんやデータの漏洩などにつながる。
WAF(ウェブアプリケーションファイアウォール)
Webサイトの中で特に狙われやすい「Webアプリケーションの脆弱性」を防御することで、サイバー攻撃からWebサイトを守ります。
https://cweb.canon.jp/it-sec/solution/siteguard/
読み方は「わふ」。ファイアウォールがOSやネットワークの防御を担当する一方で、ウェブアプリケーションはノーガードになって狙われやすい。
WAFはウェブアプリケーションを守るシステムで、アクセスの動きを見極めることで攻撃を防ぐ。クラウド型が最も低価格で導入しやすい。ただし既存のシステムとバッティングする可能性がある。
セキュリティ対策の考え方
1. ネットワークの分離
まずは守りたいデータは何なのかを定義する。「〜な攻撃を防ぎたい」といった、攻撃起点ではなく「〜を守りたい」といった防御起点での考え方にする。そうすることで優先度が定まり、対策のとり方も柔軟になる。
その上で最もシンプルな方法として、守りたいデータをネットワークから分離させる。端的に分離させるわけではなく、セキュリティレベルのゾーニングや権限設定などでアクセスできる者を限定する。
2. 不審なメールの共有
外部から入ってくる攻撃手段の主はメール。怪しいメールは社内で共有し、これが危険であるということを認識させる。また、怪しいと思ったメールはすぐに共有できるといった雰囲気作りも重要。
3. 侵入された場合
会社のトップが会議に早期に参加する。基本スタンスは個人情報の漏洩等がなくても「公開」する。責任を担当者に押し付けず、組織全体の問題として対応する。
便利なウェブサービス
セキュリティ最新情報(国内)
公開メールアドレスをドメイン指定で検索できる。記述があるページも分かる。
ウイルスをアップロードすると、内容について教えてくれる(アップしたファイルは他社に見られる可能性があるので、機密情報はもちろん禁止)