個人情報の漏洩と改ざんは、最近ニュースでよく聞くようになってきましたが、あまり頻繁に情報漏洩があるので、慣れて麻痺してきているように思えます。弊社は今年5月にPマークの更新審査を受けると2005年に認定されてから9度目の更新になります。これを機に、今一度セキュリティについて見直したいと思います。
まず、WEBに対する攻撃の原因となる代表は、SQLインジェクション攻撃とクロスサイトスクリプティングです。
◆SQLインジェクション攻撃
不正な「SQL」の命令を攻撃対象のウェブサイトに注入する(インジェクションする)攻撃。
◆クロスサイトスクリプティング
相手のウェブサイトに罠(リンクのURLに悪意あるスクリプトを仕込むなど)をしかけ、訪問者がその罠にかかる(リンクをクリックするなど)のを待つ攻撃。
対策として下記の方法があります。
1.SSL証明書
Webサイトと、Webサイトを閲覧しているユーザーとのデータ通信を暗号化し、送受信させる仕組みのことをSSL(Secure Sockets Layer)と言います。
2.WAFの導入
不正なアクセスからホームページを守る機能です。WAFはWeb Application Firewallの略で、ウェブサイトをアプリケーションレベルで防御するファイアーウォールのことです。
WAFは攻撃者がウェブサイトへアクセスしたあとに、「不正と認識されるような動きがないか」アプリケーションレベルで検知し、あやしい場合は攻撃者からの要求を防ぐことができるのです。
3.アクセス制限
フォルダごとのユーザー認証の設定およびアクセス拒否を行うIPアドレスの指定を行うことができます。
4.SiteLock(脆弱性診断サービスでチェック)
Webサイトに潜む脆弱性、不正改ざん、マルウェアといったセキュリティの脅威に対抗するWebセキュリティサービスです。
★ただし、根本的な解決ではないようです。
詳しくは、下記サイトで確認してください。
IPA(情報処理推進機構)
https://www.ipa.go.jp/security/vuln/websecurity-HTML-1_1.html