企業のウェブセキュリティ対策

セキュリティ対策について基礎知識を得る

ウェブに関するセキュリティ対策について学ぶ必要があったので、ひとまず図書館ですぐ借りられた本をまとめておく。

あなたのセキュリティ対応間違っています

あなたの知らないセキュリティの非常識

借りてから気づいたが、若干古い本だった。ざっくり把握する程度にする。

虚弱性情報は1次情報にあたること

自分が使用している、あるいは導入しているシステムのバージョンを把握しておくことはもちろん、虚弱性情報は必ず1次情報にあたる。2次情報の場合、重要な情報(発生条件など)が省略されていたりすることがある。

SQLインジェクション

データベースと連携したウェブアプリケーションの多くは、利用者からの入力情報を基にSQL文(データベースへの命令文)を組み立てています。ここで、SQL文の組み立て方法に問題がある場合、攻撃によってデータベースの不正利用をまねく可能性があります。

https://www.ipa.go.jp/security/vuln/websecurity-HTML-1_1.html

古典的な技術だが、現在も被害が多い。データベースの改ざんやデータの漏洩などにつながる。

WAF(ウェブアプリケーションファイアウォール)

Webサイトの中で特に狙われやすい「Webアプリケーションの脆弱性」を防御することで、サイバー攻撃からWebサイトを守ります。

https://cweb.canon.jp/it-sec/solution/siteguard/

読み方は「わふ」。ファイアウォールがOSやネットワークの防御を担当する一方で、ウェブアプリケーションはノーガードになって狙われやすい。

WAFはウェブアプリケーションを守るシステムで、アクセスの動きを見極めることで攻撃を防ぐ。クラウド型が最も低価格で導入しやすい。ただし既存のシステムとバッティングする可能性がある。

セキュリティ対策の考え方

1. ネットワークの分離

まずは守りたいデータは何なのかを定義する。「〜な攻撃を防ぎたい」といった、攻撃起点ではなく「〜を守りたい」といった防御起点での考え方にする。そうすることで優先度が定まり、対策のとり方も柔軟になる。

その上で最もシンプルな方法として、守りたいデータをネットワークから分離させる。端的に分離させるわけではなく、セキュリティレベルのゾーニングや権限設定などでアクセスできる者を限定する。

2. 不審なメールの共有

外部から入ってくる攻撃手段の主はメール。怪しいメールは社内で共有し、これが危険であるということを認識させる。また、怪しいと思ったメールはすぐに共有できるといった雰囲気作りも重要。

3. 侵入された場合

会社のトップが会議に早期に参加する。基本スタンスは個人情報の漏洩等がなくても「公開」する。責任を担当者に押し付けず、組織全体の問題として対応する。

便利なウェブサービス

セキュリティ最新情報(国内)

https://jvn.jp/

公開メールアドレスをドメイン指定で検索できる。記述があるページも分かる。

https://hunter.io/

ウイルスをアップロードすると、内容について教えてくれる(アップしたファイルは他社に見られる可能性があるので、機密情報はもちろん禁止)

https://www.virustotal.com/gui/home/upload

このサイトの主
投稿を作成しました 115

関連投稿

検索語を上に入力し、 Enter キーを押して検索します。キャンセルするには ESC を押してください。

トップに戻る