今日の相互接続された世界では、WWWサイトを保護することは、ある意味、企業のビジネスや商業上の評判を保護し、良好なユーザー体験を維持することと同じです。例えば、B2C、B2B、イントラネット、エクストラネットは日常的なビジネス用語となりました。その結果、ウェブサイトはビジネス拡大のための絶対的な支配力を持つ手段となるか、あるいは静的な広告板となるかのどちらかです。
ウェブサイトは、企業にとってもうひとつの「名刺」であると同時に、ビジネス上のつながりの入り口でもあります。ウェブサイトを通じて、ユーザーは会社の製品や情報を見つけることができ、パートナーは共有リソースにアクセスすることができます。eBayやAmazonのような企業にとって、「ウェブサイト」は彼らのビジネスです。もしウェブサイトに問題があれば、企業のビジネスが悪化するだけでなく、ユーザーからの信頼を不用意に低下させ、一部のユーザーを失うことになります。
同時に、ウェブサイトの最大の強みは最大の弱点でもあります。このアクセスのしやすさにより、ウェブサイトはサイバー犯罪者やハッカー、さらには過激派のターゲットになりやすいのです。どのような動機で、あるいはどのような手法で攻撃されたとしても、ウェブサイトが攻撃されるということは、収益の損失、ビジネス上の評判の低下、機密データの流出など、いくつかのことを意味します。
例えば、ウェブサイトへの攻撃に関する事例が広く報道されています:
Webアプリケーション・セキュリティの課題
ウェブサイトは情報へのアクセスや商品の購入に利便性をもたらすだけでなく、WWWウェブに基づいた内部アーキテクチャを持つインターネット企業も増えています。従来の方法からウェブベースのアプリケーションへの移行は、機密情報の盗難のリスクを高めます。
Web サイトとアプリケーションのセキュリティを確保することの難しさは、その透過的なアーキテクチャと動的な アプリケーションにあります。ウェブセキュリティは、ウェブサーバとの間で特定のトラフィックを許可またはブロックするセキュリティポリシ ーを定義するだけで、比較的簡単です。しかし、ウェブサイトの構成要素は、多数の URL、パラメータ、クッキーなど、非常に多様です。これらの異なるエントリに対して異なるポリシーを手動で作成することは、本質的に非現実的です。さらに、Web サイトは頻繁に変更され、新しい URL やパラメータが追加されるため、セキュリティ管理者がポリシーを更新することはより困難になります。
その一方で、実際に稼働しているウェブサイトのアプリケーションを継続的にテストする過程で、ウェブサイトの保護、研究開発、アプリケーションの更新、コードの修正と更新、対面での市場からのプレッシャーなどの困難をさらに悪化させるソフトウェアの脆弱性が数多く見つかっています。
すでに複雑な環境であることに加え、ほとんどのウェブサイトがマルチサーバー、分散型アーキテクチャであるという事実が、これらの重要な要素の保護をさらに困難にしています。
オンライン資産の保護
Webリソースの保護には、サイトのアーキテクチャやWebベースのアプリケーションを含めた全体的な防御アプローチが必要です。フォーティネットでは、連携して機能する3つのアプローチを推奨しています:
l 安全なコード記述の習慣とコードレビュー:良性で安全なウェブアプリケーション開発環境と、Open Web Application Security Initiative や他の組織のウェブ開発標準に準拠することで、ユーザはより安全で信頼できるアプリケーションを作成することができます。
ウェブアプリケーションの脆弱性評価/侵入テストの実施: ウェブアプリケーションは、脆弱性評価ツールを手動または自動で適用して、脆弱性を評価する必要があります。その後、重要なアプリケーションの侵入テストを実施する必要があります。
Web アプリケーション・ファイアウォールの導入:Web アプリケーション・ファイアウォールの役割は、アプリケーショ ン層の攻撃を検知してブロックすることです。従来のネットワーク・セキュリティ・ソリューションは、ネットワークおよびネットワーク・ポート・レベルで脅威や攻撃を検知・防御するように設計されていますが、アプリケーション・レベルではそうではないため、専用のファイアウォールが必要です。既存のファイアウォール・レベルに WAF を導入することで、Web ベースのアプリケーションを保護するだけでなく、組織化されたネットワークのセキュリティも向上します。
今日、機能を拡張したWAFは数多く存在します。 フォーティネットのFortiWebアプライアンスは、WAFとXMLファイアウォールの機能を単一のアプライアンスに統合し、脆弱性スキャン、アプリケーション アクセラレーション、サーバー ロード バランシングのモジュール設定を追加しています。FortiWebの双方向トラフィック解析は、異常検知エンジンに基づく動作機能を組み込んだアクティブおよびパッシブ セキュリティ モジュールを統合し、ネットワーク アーキテクチャやアプリケーションの変更を妨げることなく、Webアプリケーション レイヤーの幅広い脅威を防御します。FotiWebの双方向トラフィック解析は、アクティブおよびパッシブセキュリティモジュールと、異常検知エンジンに基づく組み込みの振る舞い機能を統合し、ネットワークアーキテクチャやアプリケーションの変更を妨げることなく、Webアプリケーション層の幅広い脅威を防御します。
インテリジェントITはますます日常生活の一部となり、企業データベースに蓄積されるユーザー情報や機密データの量は増加の一途をたどっています。同時に、ネットワークの脅威は、ますます洗練され成熟した方法と手法で進化しており、プロアクティブなセキュリティ防御を講じることは、どの企業にとってもデータを保護するための第一歩です。セキュアなウェブアプリケーション環境の構築、定期的な脆弱性テストの実施、高度なWAFソリューションの導入は、いずれも徹底的な防御に不可欠です。
