普段から気になっていた個人Webのセキュリティ

    2015/11/02

2015/05/27

Webサイト一般に関するセキュリティのセミナーへ参加してきた。

大手サイトはセキュリティ対策におおわらわ

例の教育関係企業の個人情報漏洩問題の後、大手企業が運営するWebサイトは対策に大忙しだ。

我々のようなWebサイトを構築する稼業の側からすれば多くの業者が絡んで複雑怪奇なプロジェクトになっていることが多い。
例えばインフラのネットワーク、サーバー、サーバー管理、それにWebアプリ、外部サービスのアクセス解析やタグ関係等々だ。もちろんユーザー企業がプロジェクトの中心なのだが、うまくまとまらないことも多い。

もちろんネットワークではIPS等のセキュリティ機材を導入するのは最近の常識だ。
さらにセキュリティー関係では最近WAFが盛り上がっている。
今までにサーバーにインストールするタイプとクラウド型と両方に関わったが、いずれも大きな企業だった。その際は導入費用よりも運用費用が高価だったので、こりゃ大企業しか導入は難しいなと感じたものだ。

こういう状況でもWebサイトのセキュリティを保つのはトップからの命令なのだ。

↑ 今回セミナーに出てきたサイトガードという純国産のWAF、ゲートウェイタイプとサーバーに仕込むタイプがある、過去にはサーバーに仕込むタイプもクラウドタイプも関わったが扱い方が簡単になりつつあるのが最近の傾向、画像はメーカーサイトより拝借

セキュリティー関係は責任の所在が難しい

実はWebに限らずソフトウェアは瑕疵以外ではその責任を回避していることが多い。
Webのソフトウェアに関しても同様な状況だ。ただ昨今はセキュリティに関してこういった状況が変わりつつあると感じていた。

それが今日のセミナーではやはり、と言うコメントがされていたのは興味深い。
特にセキュリティにおいて情報漏洩があった場合にはソフトウェアを作る側にも責任があるという事例の説明があった。

全く難しい時代になったものだ。


少し安くなってきたWAF

今回感じたのはWAFの価格が少し安くなってきたということだ。
それに設定と運用が難しかったWAFの敷居が下がってきたということも印象として残った。
ソフトウェア側で対応しなければならない部分も多いが、実はここに大きな落とし穴がある。
様々な事情でパッチ当てやバージョンアップができない場合が多いのだ。
今までの経験ではパッチ当てやバージョンアップの際のテスト工数予算が確保できないという場合が多かった。大きなシステムになればなるほど多大な工数が掛かるのだ。

という事で今回のセミナーのセールストークは、そんな時はWAFでしょという事だった。
確かにこれは一理あると思った。

個人のWebサイトでも考慮が必要な時代

個人のサイト、つまり自分でサーバーを借りて運用しているような場合もリスクに備える必要がありそうだ。
新聞沙汰にになった事件を見ると、踏み台にされ他者に迷惑を掛けたり、犯罪の片棒を担いだりしてしまう場合も多い。これが知らぬうちにこうなってしまうのだからタチが悪い。
特にCMSについては注意喚起されていたのが印象的だ。
CMSと言えば日本では圧倒的にWordpressが主流だ。管理人の別サイトもサーバーを借りて独自ドメインでWordpressで構築している。
こういったサイトを乗っ取られ変なスクリプトを埋め込まれてばら撒かれてしまうというような事を防止する必要がありそうだ。
特に個人で契約しているレンタルサーバー+WordPressという組み合わせはセキュリティー意識も低く狙われやすいだろうと思う。なんせ全てをサーバー業者まかせにしてしまっている場合が多いだろう。
他人に迷惑を掛けないため、そして自分のリスクを減らすためにこれから考慮しなければならない事だろうと思う。


レンタルサーバーもWAF内臓しているところが多い

現在管理人がWordPressを運用しているレンタルサーバーは上記のようにさくらインターネットなのだが、実はWAF(サイトガード)が内蔵されている。
これは前から知っていたのだが今回のセミナー参加を機会に少し調べてみた。

↑ さくらインターネットのレンタルサーバーの設定画面の例、ここにWAFとしてサイトガードを使用していると記述がある、使用するにはボタンを2クリックでOK、非常に簡単に設定できる、さくらインターネットのサイトより拝借



そして前提条件や注意事項の記述もある。サイト運営者向けの最大限のリスクが書いてある。
正直言ってこれだけ書いてあると(動作に影響出るかも?)導入には躊躇してしまうというのが正直なところ。
しかし今まで使用したWAFはいずれもサイトには全く影響が出なかったので大丈夫だろうとは思う(共にPHP、作り込みサイトとECサイト)。

前提条件

  • シグネチャ検査・セッション管理などの検査を実施しており、攻撃にあたると判断したアクセスを遮断いたします。
  • 遮断した接続を自動で復旧させることはできません。
  • ウイルスは検知できません。
  • 海外等、特定するアクセスのみを遮断することはできません。

注意事項

  • WAF機能を 「利用する」 に設定したドメインは、ドメイン設定で削除できません。
  • ドメインを削除する場合、「利用しない」に変更してから削除してください。
  • 本機能を有効にすることにより、ソフトウェアの動作やインストールに影響が出る場合があります。
  • mod_rewriteを利用すると挙動が変わる恐れがあります。
  • CGI、PHPプログラムの動作に影響が出る恐れがあります。
  • CGI、PHPプログラムのインストール時に影響が出る恐れがあるため、その場合はインストール前にWAFを無効にしてください。
  • 監視対象となるプロトコルは、HTTPとHTTPS(共有SSL、SNI SSLが対象。ただしCookieの引き継ぎは不可)です。
  • 独自SSLを設定したドメインへのHTTPSリクエストについては対象外となります。


↑ さくらインターネットのWAF利用での注意書き、提供するほうとしては最大限の注意書き、利用する方としては怖い注意書き、まぁしょうがない事だろう

どこかでサイトガードを一度設定してみようと思う。
今回はこのへんで
では

ポチっと応援お願いします
ブログランキング・にほんブログ村へ
にほんブログ村

Copyright(C) 2015 OssanIT All Rights Reserved

関連カテゴリー

関連するカテゴリーはこちら、是非チェックしてみて下さい。

おすすめコンテンツ

気に入っていただけたら是非シェアお願いします!

  • このエントリーをはてなブックマークに追加
  • Pocket

コメントはお気軽にどうぞ

メールアドレスは公開されません。
*が付いている欄は必須項目です。

内容に問題なければ、下記の「OK!」ボタンを押してください。