Webセキュリティの小部屋

Twitter のフォローはこちらから Facebook ページはこちら Google+ページはこちら RSSフィードのご登録はこちらから
公開日:2014年8月30日

IPA が「ウェブサイト改ざんの脅威と対策」という有用な資料を公開

はじめに

IPA が「ウェブサイト改ざんの脅威と対策」という有用な資料を公開しました。

この資料は以下の点において非常に有用だと思います。

  • Web サイトのセキュリティには経営層の関与が重要だと強調している
  • Web サイト関係者の役割を4つに分類している
  • Web サイト改ざんの手口を具体的に示している
  • 上記を踏まえ、対策方法とチェックリストを提示している

今まで Web サイトの改ざんの事件が起きる度に注意喚起が行われてきました。しかし、具体的にどのような対策を取ればよいかというと、セキュリティパッチを適用して環境を最新の状態にする、ウィルス対策ソフトを導入しシグネチャを最新の状態に保つという程度のことしか言われてきませんでした。

しかし、この資料は経営層を含めて「組織」として、Web サイト改ざんの脅威に対して具体的にどのように対処したらよいのかを提示しているので、Web サイト関係者にはぜひ目を通してもらいたい内容になっています。

資料のポイント

この資料は22ページしかないので、全部目を通してもらう方が早いのですが、その中でもポイントとなる部分をピックアップしたいと思います。

まず、特筆すべきは、Web サイト改ざんの脅威には「組織が一丸となって」対策することが重要で、特に経営層の関与の重要性が示されていることです。予算と体制ができないとセキュリティ対策は行えないですからね。

Web サイトの関係者を以下の4つに分類しているのも分かりやすいです。

  • 経営者層(セキュリティ統括責任者)
  • システム管理者
  • ウェブアプリケーション開発者
  • ウェブサイト運営者

そして、Web サイト改ざんの脅威を下図のように A~D の4つに分類されていることで、具体的な対策が立てやすくなっています。

pic01

その後、各脅威に対して対策方法が示されています。

具体的な対策をまとめるには無理があるので資料を参照していただくとして、この対策方法の記載のよいところは、役割と脅威に対して具体的に提示しているところです。

難点としては、「二要素認証やワンタイムパスワードを使う」とか「WAF を導入する」とか難しいことをさっくり書いてあるところでしょうか。それ難しいし大変だしコストばっちりかかるじゃん、なんてこともあったりします。

フォローしておくと、個別の対策の中で IPA テクニカルウォッチの資料にリンクが貼られているので役に立つと思います。

また、システムライフサイクルの中の各工程での、Web サイトの関係者の役割も示されているので参考になると思います。

付録のチェックリストはぜひ活用したいですね。

より具体的な対策

IPA の資料は公的なものであり具体的な製品に踏み込むことは少ないので、このサイトで公開している具体的な対策の記事の紹介もしておきたいと思います。

ウィルス対策ソフトとして、Linux で無料で使用できる Clam AntiVirus のインストール方法の記事です。

WAF(Web Application Firewall) としては、Linux では無料で使用できる ModSecurity が有名ですが、Windows Server にも無料で使用できる WAF として WebKnight というものがあります。

ModSecurity と WebKnight の Tips は下記ページに掲載してあるので、必要に応じて参照してください。

ファイルの改ざん検知は、Linux では無料で使用できる AIDE という製品があります。なお、残念ながら Windows には無料で使用できるファイル改ざん検知ツールはないようです。

おわりに

IPA の資料を基に、Web サイト改ざんの脅威の対策を見てきましたが、いかがだったでしょうか。

Web サイト改ざんはすでに他人事ではなく、自分の Web サイトも例外なく攻撃対象になっていることを認識して対策を行っていく必要があります。

このサイトは WordPress を使用していますが、常に最新のバージョンにアップデートしていますし、プラグインも同様にアップデートしています。また、Linux のパッケージを定期的に全てアップデートして運用しています。もちろん、ウィルス対策ソフトや改ざん検知ツールも導入済みです。

Web サイトの公開はメリットがあるから行うのであって、そのメリットを損なうようなことがないようにセキュリティ対策もしっかりとしていきたいですね。


スポンサーリンク




カテゴリー:ブログ

Twitter でも、いろんな情報を発信しています。



コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA