今や、企業の看板ともいえるWebサイトを介したセキュリティ事故が多発している。特に、問題となっているのがWebアプリケーションの脆弱性を標的とするサイバー攻撃だ。攻撃により、Webサイトの改ざん、サービス運用停止などの被害を受けるだけでなく、Webサーバーが攻撃者の踏み台にされれば、結果的に加害者となるケースすら起こり得る。こうした問題に焦点を当てるべく、レンタルサーバー「Zenlogicホスティング」で知られるファーストサーバは、3月19日に、Webサイトを取り巻く脅威と、その対策を解説するセミナーを大阪で開催した。

セミナーの様子。なお本セミナーは、5月に東京での開催も予定されている

セミナーでは、多くのレンタルサーバーに搭載されているWAF(Web Application Firewall)「SiteGuardシリーズ」の開発元であるジェイピー・セキュアの齊藤氏も参加し、WAFの概要・必要性とレンタルサーバーにおけるセキュリティについて解説した。

プログラムのトップに登場したジェイピー・セキュアの取締役 CTOの齊藤和男氏は、初めにWebサイトを介したセキュリティ事故が多発している現状を説明し、「管理者は、直接的な損害だけでなく、企業としての信用失墜など間接的な被害の影響も考慮して対策を講じなければならないと警鐘を鳴らした。

ジェイピー・セキュア 取締役 CTO 齊藤和男氏

最近、問題となったWebサイトを標的としたサイバー攻撃の動向を見ると、不正なSQL文を含めたリクエストを送信する「SQLインジェクション」、リスト型攻撃による「不正ログイン」、bashの脆弱性(通称: ShellShock)などがある。特に、SQLインジェクションは、「Webサイト経由の情報流出における割合が高く、不正ログイン、情報漏洩、データベースの改ざん、サーバーの乗っ取りといった被害を受ける。踏み台として悪用されると、加害者にすらなりかねない」と齊藤氏はその深刻さを指摘する。実際、SQLインジェクションが原因で、オンラインショップから個人情報が流出した事故では、ショップ側が開発会社を相手取って損害賠償を請求。裁判では開発会社に責任を問う判決がでた。

「SQLインジェクション」や「XSS(クロスサイト・スクリプティング)」など、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護するためのソリューションが「WAF」(Web Application Firewall)だ。

ジェイピー・セキュアが提供する純国産ソフトWAFの「SiteGuard」シリーズは、高い防御性能と柔軟な運用性の両立が高く評価されている。複数Webを1台のWAFで保護する「ゲートウエイ型」と特定サーバーを保護する「ホスト型」をラインアップする。

防御機能では、世界初のトラステッド・シグネチャ(高品質・高性能なチューニング済み定義ファイル)を標準搭載し、多重防御機能と併用することで、高水準の攻撃防御を実現。その機能は、第三者による防御性能検証でも最高評価を受けている。また、導入後すぐに使用できるようシンプル設定と直感的なWebベースの管理インタフェースを備える。

WordPressのセキュリティ対策

次いで齊藤氏は、世界で圧倒的な人気を誇るブログ作成ツール「WordPress」のセキュリティ対策について触れた。WordPressはオープンソースのCMS(Content Management System)で、ホスティング環境で数多く利用されている。「それだけに、WordPressで作成されたウェブサイトはサイバー攻撃の標的になりやすい」わけだ。

WordPressのセキュリティ対策には、最新バージョンの利用、管理画面にアクセスできるIPアドレスの制限、ログインの保護・強化、SQLインジェクションやXSSを防御できる機能の併用が効果的だ。

ジェイピー・セキュアでは、WordPressにインストールするだけで、すぐに利用できる日本語セキュリティプラグイン「SiteGuard WP Plugin」を無償提供している。

「Webサーバーには、WordPress本体やプラグインのSQLインジェクション、XSSなどの脆弱性が数多く存在している。これらの脆弱性を悪用した攻撃には、WAFによるWordPressの保護が不可欠」とし、クラウド型ホスティング「Zenlogicホスティング」と「SiteGuard Lite」+「SiteGuard WP Plugin」でより確実なWebサイトの保護が実現できると強調して、講演を締めくくった。