大手サイトはセキュリティ対策におおわらわ
例の教育関係企業の個人情報漏洩問題の後、大手企業が運営するWebサイトは対策に大忙しだ。
我々のようなWebサイトを構築する稼業の側からすれば多くの業者が絡んで複雑怪奇なプロジェクトになっていることが多い。
例えばインフラのネットワーク、サーバー、サーバー管理、それにWebアプリ、外部サービスのアクセス解析やタグ関係等々だ、ユーザー企業がプロジェクトの中心なのだが、うまくまとまらないことも多い。
もちろんネットワークではIPS等のセキュリティ機材を導入するのは最近の常識だ。
さらにセキュリティー関係では最近WAFが盛り上がっている。
今までにサーバーにインストールするタイプとクラウド型と両方に関わったが、いずれも大きな企業だった。
その際は導入費用よりも運用費用が高価だったので、こりゃ大企業しか導入は難しいなと感じたものだ。
↑ 今回セミナーに出てきたサイトガードという純国産のWAF、ゲートウェイタイプとサーバーに仕込むタイプがある、過去にはサーバーに仕込むタイプもクラウドタイプも関わったが扱い方が簡単になりつつあるのが最近の傾向、画像はメーカーサイトより拝借
セキュリティー関係は責任の所在が難しい
実はWebに限らずソフトウェアは瑕疵以外ではその責任を回避していることが多い。
Webのソフトウェアに関しても同様な状況だ。ただ昨今はセキュリティに関してこういった状況が変わりつつあると感じていた。
特にセキュリティにおいて情報漏洩があった場合にはソフトウェアを作る側にも責任があるという事例の説明があった。
全く難しい時代になったものだ。
少し安くなってきたWAF
今までの経験ではパッチ当てやバージョンアップの際のテスト工数予算が確保できないという場合が多かった。大きなシステムになればなるほど多大な工数が掛かるのだ。
という事で今回のセミナーのセールストークは、そんな時はWAFでしょという事だった。
個人のWebサイトでも考慮が必要な時代
これが知らぬうちにこうなってしまうのだからタチが悪い。
特に個人で契約しているレンタルサーバー+WordPressという組み合わせはセキュリティー意識も低く狙われやすいだろうと思う。
なんせ全てをサーバー業者まかせにしてしまっている場合が多いだろう。
他人に迷惑を掛けないため、そして自分のリスクを減らすためにこれから考慮しなければならない事だろうと思う。
レンタルサーバーもWAF内臓しているところが多い
現在管理人がWordPressを運用しているレンタルサーバーは上記のようにさくらインターネットなのだが、実はWAF(サイトガード)が内蔵されている。
これは前から知っていたのだが今回のセミナー参加を機会に少し調べてみた。
そして前提条件や注意事項の記述もある。サイト運営者向けの最大限のリスクが書いてある。
正直言ってこれだけ書いてあると(動作に影響出るかも?)導入には躊躇してしまうというのが正直なところ。
しかし今まで使用したWAFはいずれもサイトには全く影響が出なかったので大丈夫だろうとは思う(共にPHP、作り込みサイトとECサイト)。
前提条件
- シグネチャ検査・セッション管理などの検査を実施しており、攻撃にあたると判断したアクセスを遮断いたします。
- 遮断した接続を自動で復旧させることはできません。
- ウイルスは検知できません。
- 海外等、特定するアクセスのみを遮断することはできません。
注意事項
- WAF機能を 「利用する」 に設定したドメインは、ドメイン設定で削除できません。
- ドメインを削除する場合、「利用しない」に変更してから削除してください。
- 本機能を有効にすることにより、ソフトウェアの動作やインストールに影響が出る場合があります。
- mod_rewriteを利用すると挙動が変わる恐れがあります。
- CGI、PHPプログラムの動作に影響が出る恐れがあります。
- CGI、PHPプログラムのインストール時に影響が出る恐れがあるため、その場合はインストール前にWAFを無効にしてください。
- 監視対象となるプロトコルは、HTTPとHTTPS(共有SSL、SNI SSLが対象。ただしCookieの引き継ぎは不可)です。
- 独自SSLを設定したドメインへのHTTPSリクエストについては対象外となります。
↑ さくらインターネットのWAF利用での注意書き、提供するほうとしては最大限の注意書き、利用する方としては怖い注意書き、まぁしょうがない事だろう
