Webサイトセキュリティ（Webサーバセキュリティ）

マスコミなどでも時々、悪意を持った攻撃を受けてWebサーバがダウンしたといったニュースが流れます。Webサーバのセキュリティは、機密性の保持、通信経路の盗聴防止やアクセス制御、認証方式の強化などが大切な項目になります。セキュリティ対策は一過性のものではなく、継続的に実施することが最も重要です。

Webサーバセキュリティ対策は6つのステップで実施

1. セキュリティ要求の洗い出し
2. 脆弱性の洗い出し
3. セキュリティ脅威の洗い出しと評価
4. セキュリティ方針の決定
5. セキュリティ対策の実施
6. セキュリティ対策の更新

Webサイトのセキュリティを守るWebアプリケーションファイアウォール（以下、WAF）。しかし、最近のWebサイトセキュリティ製品は、ファイアウォール機能以外にも複数の役割を担った、統合型が増えています。現在入手できるWAF製品には、アプライアンスとソフトウェアの2つの製品タイプがあります。

アプライアンスの特長

• Webサーバの動作環境（プラットホーム）に依存しない
• Webサーバの台数に依存しない
• ネットワーク構成の変更が必要になる

ソフトウェアの特長

• Webサーバの動作環境（プラットホーム）に依存する
• Webサーバごとに導入する必要がある
• ネットワーク構成を見直す必要がない
• WebサーバがHTTPS通信を処理するため、WAF側で対応しなくてもHTTPS通信を検査できる

経済性を考えると、ソフトウェアタイプが有利に見えるが

少しでも導入コストを下げたいと考えると、ソフトウェアタイプが有利になります。しかし、WAFの導入対象となっているWebサーバの台数が多い場合には、必ずしも、ソフトウェアタイプが安く上がるとはいえません。

また、保守・管理面から見れば、アプライアンスタイプの方が手間はかからないが、アプライアンスタイプの製品は、対応するトラフィック量によって製品モデルが異なるので、短期間でトラフィック量が増加すると、モデル変更が必要になります。

まずは、脆弱性診断を

WAFを導入する前に、自社のWebアプリケーションの現状を正しく把握しておく必要があります。Webアプリケーションの基本設定自体にセキュリティ上の欠陥がある場合、たとえWAFを導入しても攻撃を防ぐことはできません。すぐに推測できる簡単な単語をパスワードとして登録しているケースでは、パスワードを見破られてしまえば、そのHTTP通信自体はWAFにとって正常な通信と判定されてしまうことになります。

そこで、Webアプリケーションに潜むあらゆる脆弱性を検出し、対処方法を考えた上で、製品選択を行うというのがベストな道筋になります。