本ウェブサイトでは、JavaScriptおよびスタイルシートを使用しております。
お客さまがご使用のブラウザではスタイルが未適応のため、本来とは異なった表示になっておりますが、情報は問題なくご利用いただけます。
近年、機密情報の入手やWebページの改ざんなど、金銭や営業妨害を主な目的として、企業のWebサイトを狙った悪質な攻撃が急増しています。
これらの攻撃にどう対処していますか?
現在は、ファイアウォール、IDS/IPSでは防ぐことができない攻撃がトレンドになっています。
気づかないうちに、サイトの改ざんや不正操作、情報の盗用などに遭っていた、などということも現実に起こっているのです。
以下のグラフは、IPAへのWebサイト脆弱性の届出件数になります。このグラフを見れば分かるように、2008年末からWebサイトに対する攻撃は急激に増えてきています。
IPAへのWebサイト脆弱性の届出件数
(独立行政法人 情報処理推進機構(IPA) 刊行「ソフトウェア等の脆弱性関連情報に関する届出状況」より抜粋)
参照URL:http://www.ipa.go.jp/security/vuln/report/documents/vuln2009q2.pdf
ひとたび被害に遭うと、企業の社会的信用の失墜、Webサイトの長期的閉鎖による機会損失により、大幅な売り上げ減ということも考えられます。
また、即時の対応として
などが必要となり、これらの緊急対応に要するコストは莫大なものになりかねません。
いずれにせよ、企業は深刻なダメージを受けることになります。
事故被害の詳細は情報処理推進機構(IPA)がレポートとして発表しております。
※「企業における情報セキュリティ事象被害額調査」 報告書
P15〜にSQLインジェクションによる被害額について記載されています。
SQLインジェクションやクロスサイトスクリプティングといったWebアプリケーションの脆弱性を突いた攻撃は、攻撃の手口が更に複雑/巧妙化しています。
これまでは安全であったWebアプリケーションであっても、今この時に、そして将来にわたって安全とは決して言えないのです。
Webサイト開設時のセキュアコーティングのみといった従来の対策ではすでに対策が間に合わないのが現実です。
このようなWebアプリケーション層への攻撃をクリティカルな問題としてとらえた対策が急務です。
新フェーズでの対策のひとつにソースコード改修対策がありますが、複雑/巧妙化した攻撃を防ぐためのソースコード改修は難易度が高く、時間もかかり、継続的な改修作業を欠かすことができないため、膨大なコストを費やします。
そこで、Webアプリケーションが日々さらされているリスクを深刻に受け止めると共に、適切なコストで最適な効果を上げるための防御ツールとして注目されているのがWAFです。
「WAF」とは「Webアプリケーションファイアウォール」のことです。
ファイアウォールはネットワークレベルを防御し、IDS/IPSはOS・Webサーバレベルを防御します。
「WAF」は、Webアプリケーションへの攻撃を防ぐために開発された専用防御ツールなのです。
WAFで防御可能な攻撃(NECシステムテクノロジー「SiteShell」の場合)
