Webシステムのセキュリティー対策【図解】

はじめに

Webシステムのセキュリティー対策は、システムの各層において多岐にわたる方法と技術が必要です。
以下に代表的なセキュリティー対策の５種類を紹介します。

1. ネットワークセキュリティ

こちらは下図で言うオレンジ色の矢印部分のセキュリティ対策です。

• ファイアウォール: 外部からの不正なアクセスを防ぐために、ネットワークの境界でトラフィックを制御する。
• 侵入検知システム（IDS）/侵入防止システム（IPS）: ネットワーク内の不審な活動を検出し、場合によっては自動的に防止する。

上の２点の防御で主にレンタルサーバーあるいはクラウド自体にかけるセキュリティです。
ファイアーウォールは通信に必要なポートを制限してリスクを削減します。
侵入検知システムは、アクセスのパターンから過去の不正アクセスのパターンに近いと検知すると通信を遮断したりします。

2. アプリケーションセキュリティ

こちらは下図で言うオレンジ色の枠部分のセキュリティ対策です。

• ウェブアプリケーションファイアウォール（WAF）: アプリケーション層での攻撃（例：SQLインジェクション、クロスサイトスクリプティング）を防ぐ。

こちらは先ほどのファイアウォールを通過した後のWebアプリケーションにかけるセキュリティです。
Webアプリケーションの入口において通信を解析し、Webアプリケーションの脆弱性を突いた攻撃を検知・防御してWebサイトを守ります。

3. データセキュリティ

こちらはクラインとからサーバー間のインターネット通信のやり取りを暗号化するセキュリティーです。
ひと昔のhttp:で始まるサイトは情報が丸裸で送られていました。これを暗号化することでhttps:となりサーバーとやり取りする内容が暗号化され盗まれにくくなります。

• データ暗号化: 保存データや通信データを暗号化する。例：TLS/SSLを使用してHTTPSを実装する。

以下はウェブアプリケーション自体の作りの対策となります。

4. 認証と認可

• 強力なパスワードポリシー: ユーザーに強力なパスワードを設定させ、定期的に変更を促す。
• 多要素認証（MFA）: パスワードに加え、二要素認証（2FA）や生体認証など複数の認証方法を組み合わせる。

5. セッション管理

• セッションタイムアウト: 一定時間使用されないセッションを自動的に終了する。
• セッショントークンの保護: セッショントークンを盗まれないように、Secure属性やHTTPOnly属性を設定する。

まとめ

Webアプリケーションのセキュリティー対策は、インターネットの通信部分からサーバーの入口、アプリケーションの入口など様々な場所で何段階にもなって対策が存在します。

セキュリティ対策はどれか一つやればOKとはいかず、全部やったとしても完璧ということもありません。

できる対策はなるべくすることに加えセキュリティ教育も効果があります。最悪起きてしまった時のことを考えると早期に見つけて対策することがカギとなりますので、ログの監視と起きた時の対策フローの作成は被害を最小限に抑える意味で重要です。