Web関連

WEB制作 システム開発とセキュリティについて

こんにちはサーバーエンジニアの橋本です。

だいぶ暖かくなりましたが、今年の冬は寒い日が続きましたね。

寒い日が続くとよく聞くようになるのがインフルエンザの話題、今ではあまり聞かなくなりましたが、今年も大流行でした。
日頃あまり意識をしていないのですが、一度かかってしまうと、しばらく高熱で思うように動けず、一週間ほどは何もできなくなってしまいます。
以前伺ったクライアント先でも、取引先の担当者がインフルエンザで休んでしまい、業務が止まってしまったという話を聞きました。

インフルエンザの流行は落ち着いたのかもしれませんが、季節の変わり目は風邪が流行ります。
皆さんは何か対策をしていますか?
インフルエンザと違って風邪の予防接種ありませんから、外出時にはマスクをしたり、外出先から戻ってきたらうがい・手洗いをする等、日頃の予防対策が大事ですね。

 

さて、風邪から身を守るのと同じ様に、WEBシステムにおいても外的から守ることが昨今重要になってきています。
その中でWEBシステム(サーバー)から情報を守るものとしてIPSやWAFという言葉をよく耳にするようになりました。
この「IPS」や「WAF」といった言葉、ネットワークエンジニアの人やWEBシステム開発に従事している人であればもう聞きなれた言葉だと思うのですが、そうでない人にとっては頭の上に「?」が浮かぶ言葉なのではないでしょうか。
今回はこの「IPS」や「WAF」とは何か、またそれによって何ができるのかについて説明していきたいと思います。

IPSとは何か

WEBシステム、ネットワークの世界で「IPS」というと、侵入防止システム(Intrusion Prevention System)のことを指します。
(同じ略語が生物学でも存在しますが、細胞とは全く関わりはありません)

wikipediaによると

侵入防止システム(IPS)とは、コンピュータネットワークにおいて、特定のネットワーク及びコンピュータへ不正に侵入されるのを防御するシステムである。

とのことです。
つまり、サーバーへの不正侵入を防いだり、不正侵入された際にアラートを上げてくれるシステムのことです。
サーバーの中に警備員を常駐させるようなイメージでしょうか。

昨今は外部からのサイバー攻撃により個人情報が流出してしまった、他社に機密情報が漏れてしまったというニュースをよく聞くようになったと思います。
対策として一番良いのはサーバー上に機密情報を置かないことなのですが、そうはいっても多くのクライアントを相手にするWEBサービスを展開している以上、全く大事な情報を乗せないということは難しいと思います。
本来であれば、機密情報をサーバーに置いている場合は、情報を守るために多くの警備員(システムエンジニアやネットワークエンジニア)を配備し、警備にあたるのが普通です。しかし、インターネットでビジネス展開している企業のほとんどは月に何百万という人件費(WEBサービスは基本24時間365日稼動しているのでそれぐらい掛かります)を掛けられないというのが実情だと思います。

そこで、代替案として上がってくるのが、この人の代わりに不正侵入を防いでくれるIPSになります。
システムなので実際にエンジニアの人が対応できることに比べて行えることは限られてきます。IPSにできることといえば、不正なアクセスがアクセスを検知した場合に、その該当のアクセス元からアクセスできなくする、もしくはサービス提供を一時停止するといったことだけになるのですが、24時間365日エンジニアを待機させることを考えると圧倒的にコストを抑えることができます。

最近では、IPSの機能も上がってきており(複雑な制御もできるようになってきているようです)、導入コストも下がってきていますので、大事な情報を扱っているサイトを管理されていてセキュリティレベルを上げたいと考えている方は、IPSの導入を検討しても良いと思います。

img_systemsecurity02.jpg

WAFとは何か

では、次にもう一つ昨今よく耳にするようになった「WAF」についての説明です。

ITPROが提供する「Networkキーワード」によると

WAF(web application firewall)とは,Webサーバー上にアプリケーションを作り込んでデータを更新したり最新の状況を表示したりするタイプのサイトを,不正な攻撃から守るための装置やソフトウエアのこと。 こうしたサイトにはオンライン・バンキング・やショッピング・サイトなどがある。

とのことです。

少し分かりにくいかもしれませんが、要はWEB上に公開しているシステムを外部の攻撃から守ってくれるものです。
では「web application」が付かない普通のFirewallと何が違うのでしょうか。それは、WAFが防ぐ攻撃は、ソフトウェアレベルの攻撃に特化したものである、という事になります。

通常のFirewallはDos攻撃の遮断や、特定サービスへのアクセスを制限する等、通信上での制御を得意とします。しかし、通信上に問題がなければ、たとえWEBシステムを攻撃をする不正なアクセスであっても、そのまま通してしまうといった弱点があります。
Firewallを門番(警備員)で例えると、明らかに、素行がおかしい人や、武装した集団が押しかけた場合は制止することができますが、凶器をポケットの中に隠し持ち、何食わぬ顔で通る人に対しては、問題に気付くことができずそのまま通してしまうといったところでしょうか。

WAFは、Firewallでは気付くことのできない攻撃を通信上のデータを解析することによって検知することができます。つまり先ほどの門番で説明すると、通る人、一人一人の持ち物検査を行い、ポケットの中に隠し持っているナイフを見つけることができるのです。

インターネットが使われ始めた頃は、このような複雑化した攻撃を意識することは全くなかったと思います。それはあくまでインターネットが個人の趣味で使うものや企業の情報(会社概要やアクセスマップ等)を載せておくものであり、ビジネスで利用しているのはほんの一部の企業だけだったからです。
しかし、多くの企業が自社のサービスをWEBに依存するようになり、WEBシステムが複雑化していくにしたがってそれまでなかった脆弱なポイントが増え、その脆弱性を狙う攻撃が増えてきました。昨今よく聞くようになった、SQLインジェクションや、クロスサイトスクリプティングなどはこれにあたります。
私も仕事上、WEBサーバーのアクセスログを分析することがありますが、以前に比べ、攻撃の痕跡を思われるログが多く見られるようになったと感じています。
特に昨今はサーバー上に個人情報やまだ公開できない企業情報を乗せることが多くなって来ているため今ではこのような攻撃を防ぐためによりいっそうのセキュリティ強化が求められていると考えてよいと思います。

まとめ

いかがでしたでしょうか。
「IPS」も「WAF」も聞きなれない人にとっては、なじみがなく、自分で導入するのはなかなか難しいと感じるかもしれません。
しかし、説明してきたとおり、WEB上でのサービスが複雑化してきている中、WEBサイトを運営していくにあたって、いかに情報を守るかということは必須で考えなければいけないことだと思います。
最近ではこの「IPS」や「WAF」はレンタルサーバーのオプションサービスとして提供されるようになり、申し込むだけで簡単に使うことができるようになってきましたので、少しでも自身が関わっているWEBサービスのセキュリティレベルを上げたいと考えている方はそういったオプションサービスの利用を検討されてはいかがでしょうか。

関連するサービス

ホームページ制作

整理術を磨いて仕事の処理速度をアップ?!佐藤可士和から学ぶ仕事の取り組み方前のページ

スマホ広告を出す前に押さえておきたい3つのポイント次のページ

ピックアップ記事

  1. 新しい販売形態であるDtoCについて考えてみる
  2. 大手企業も注目するMaaS(Mobility as a Service)とは何か…
  3. AIに求められているものは、実は意外な物だった
  4. 新型コロナウイルスで日本の働き方改革が起こる

関連記事

  1. Web関連

    デジタルビジネス、ちゃんと説明できますか?

    「デジタルビジネス」という言葉を最近よく聞きませんか?今後のビジネスの…

  2. AI関連

    業務効率化のために準備すべきこと

    最近、書籍やインターネットで業務効率化について取り上げられることが増え…

  3. Web関連

    スマートフォンサイトの表示速度を上げるには?

    スマートフォンサイトで「ページの表示速度が遅い」、「挙動がおかしい」な…

  4. Web関連

    「Doodle」知ってる?超身近なハイクオリティデザイン!

    みなさんは「Doodle」という単語をご存知ですか?知らない方が多いの…

  5. SNS関連

    WebサービスInstagram(インスタグラム)の恐るべき経済効果!

    しまむらパトロール(しまパト)という言葉をご存知ですか?私がこの言…

  6. Web関連

    心に響く!採用サイトのキャッチコピー

    こんにちは!ここ最近花粉の所為かくしゃみ鼻水が辛い角田さんです。今年…

おすすめ記事

最近の記事

  1. デジタル化が旅行・観光業を救う!?ウィズコロナ・アフターコロ…
  2. 人が対応するのが正しいの?DX(デジタルトランスフォーメーシ…
  3. 人間拡張って聞いたことがありますか?デジタル化が背中を押して…
  4. テレワークだけでは足りない?デジタルシフトなど、アフターコロ…
  5. 【初心者向け】ここに注目!スマートフォン用バナーを作成しよう…

アーカイブ

  1. Web関連

    苦情対応はWebサイトでもできる!クレームを活かす対応方法!
  2. Web関連

    アンノウンマーケティングで顧客行動をマーケティング利用する
  3. AIさくらさん

    【人工知能(AI)×社内システム】社内マニュアル代わりに大活躍するAIさくらさん…
  4. AI関連

    SDGsについて
  5. Web関連

    ブログ・コラムを毎日更新するWebライティングの5つの秘訣
PAGE TOP