Web関連

WEB制作 システム開発とセキュリティについて

0

こんにちはサーバーエンジニアの橋本です。

だいぶ暖かくなりましたが、今年の冬は寒い日が続きましたね。

寒い日が続くとよく聞くようになるのがインフルエンザの話題、今ではあまり聞かなくなりましたが、今年も大流行でした。
日頃あまり意識をしていないのですが、一度かかってしまうと、しばらく高熱で思うように動けず、一週間ほどは何もできなくなってしまいます。
以前伺ったクライアント先でも、取引先の担当者がインフルエンザで休んでしまい、業務が止まってしまったという話を聞きました。

インフルエンザの流行は落ち着いたのかもしれませんが、季節の変わり目は風邪が流行ります。
皆さんは何か対策をしていますか?
インフルエンザと違って風邪の予防接種ありませんから、外出時にはマスクをしたり、外出先から戻ってきたらうがい・手洗いをする等、日頃の予防対策が大事ですね。

 

さて、風邪から身を守るのと同じ様に、WEBシステムにおいても外的から守ることが昨今重要になってきています。
その中でWEBシステム(サーバー)から情報を守るものとしてIPSやWAFという言葉をよく耳にするようになりました。
この「IPS」や「WAF」といった言葉、ネットワークエンジニアの人やWEBシステム開発に従事している人であればもう聞きなれた言葉だと思うのですが、そうでない人にとっては頭の上に「?」が浮かぶ言葉なのではないでしょうか。
今回はこの「IPS」や「WAF」とは何か、またそれによって何ができるのかについて説明していきたいと思います。

IPSとは何か

WEBシステム、ネットワークの世界で「IPS」というと、侵入防止システム(Intrusion Prevention System)のことを指します。
(同じ略語が生物学でも存在しますが、細胞とは全く関わりはありません)

wikipediaによると

侵入防止システム(IPS)とは、コンピュータネットワークにおいて、特定のネットワーク及びコンピュータへ不正に侵入されるのを防御するシステムである。

とのことです。
つまり、サーバーへの不正侵入を防いだり、不正侵入された際にアラートを上げてくれるシステムのことです。
サーバーの中に警備員を常駐させるようなイメージでしょうか。

昨今は外部からのサイバー攻撃により個人情報が流出してしまった、他社に機密情報が漏れてしまったというニュースをよく聞くようになったと思います。
対策として一番良いのはサーバー上に機密情報を置かないことなのですが、そうはいっても多くのクライアントを相手にするWEBサービスを展開している以上、全く大事な情報を乗せないということは難しいと思います。
本来であれば、機密情報をサーバーに置いている場合は、情報を守るために多くの警備員(システムエンジニアやネットワークエンジニア)を配備し、警備にあたるのが普通です。しかし、インターネットでビジネス展開している企業のほとんどは月に何百万という人件費(WEBサービスは基本24時間365日稼動しているのでそれぐらい掛かります)を掛けられないというのが実情だと思います。

そこで、代替案として上がってくるのが、この人の代わりに不正侵入を防いでくれるIPSになります。
システムなので実際にエンジニアの人が対応できることに比べて行えることは限られてきます。IPSにできることといえば、不正なアクセスがアクセスを検知した場合に、その該当のアクセス元からアクセスできなくする、もしくはサービス提供を一時停止するといったことだけになるのですが、24時間365日エンジニアを待機させることを考えると圧倒的にコストを抑えることができます。

最近では、IPSの機能も上がってきており(複雑な制御もできるようになってきているようです)、導入コストも下がってきていますので、大事な情報を扱っているサイトを管理されていてセキュリティレベルを上げたいと考えている方は、IPSの導入を検討しても良いと思います。

img_systemsecurity02.jpg

WAFとは何か

では、次にもう一つ昨今よく耳にするようになった「WAF」についての説明です。

ITPROが提供する「Networkキーワード」によると

WAF(web application firewall)とは,Webサーバー上にアプリケーションを作り込んでデータを更新したり最新の状況を表示したりするタイプのサイトを,不正な攻撃から守るための装置やソフトウエアのこと。 こうしたサイトにはオンライン・バンキング・やショッピング・サイトなどがある。

とのことです。

少し分かりにくいかもしれませんが、要はWEB上に公開しているシステムを外部の攻撃から守ってくれるものです。
では「web application」が付かない普通のFirewallと何が違うのでしょうか。それは、WAFが防ぐ攻撃は、ソフトウェアレベルの攻撃に特化したものである、という事になります。

通常のFirewallはDos攻撃の遮断や、特定サービスへのアクセスを制限する等、通信上での制御を得意とします。しかし、通信上に問題がなければ、たとえWEBシステムを攻撃をする不正なアクセスであっても、そのまま通してしまうといった弱点があります。
Firewallを門番(警備員)で例えると、明らかに、素行がおかしい人や、武装した集団が押しかけた場合は制止することができますが、凶器をポケットの中に隠し持ち、何食わぬ顔で通る人に対しては、問題に気付くことができずそのまま通してしまうといったところでしょうか。

WAFは、Firewallでは気付くことのできない攻撃を通信上のデータを解析することによって検知することができます。つまり先ほどの門番で説明すると、通る人、一人一人の持ち物検査を行い、ポケットの中に隠し持っているナイフを見つけることができるのです。

インターネットが使われ始めた頃は、このような複雑化した攻撃を意識することは全くなかったと思います。それはあくまでインターネットが個人の趣味で使うものや企業の情報(会社概要やアクセスマップ等)を載せておくものであり、ビジネスで利用しているのはほんの一部の企業だけだったからです。
しかし、多くの企業が自社のサービスをWEBに依存するようになり、WEBシステムが複雑化していくにしたがってそれまでなかった脆弱なポイントが増え、その脆弱性を狙う攻撃が増えてきました。昨今よく聞くようになった、SQLインジェクションや、クロスサイトスクリプティングなどはこれにあたります。
私も仕事上、WEBサーバーのアクセスログを分析することがありますが、以前に比べ、攻撃の痕跡を思われるログが多く見られるようになったと感じています。
特に昨今はサーバー上に個人情報やまだ公開できない企業情報を乗せることが多くなって来ているため今ではこのような攻撃を防ぐためによりいっそうのセキュリティ強化が求められていると考えてよいと思います。

まとめ

いかがでしたでしょうか。
「IPS」も「WAF」も聞きなれない人にとっては、なじみがなく、自分で導入するのはなかなか難しいと感じるかもしれません。
しかし、説明してきたとおり、WEB上でのサービスが複雑化してきている中、WEBサイトを運営していくにあたって、いかに情報を守るかということは必須で考えなければいけないことだと思います。
最近ではこの「IPS」や「WAF」はレンタルサーバーのオプションサービスとして提供されるようになり、申し込むだけで簡単に使うことができるようになってきましたので、少しでも自身が関わっているWEBサービスのセキュリティレベルを上げたいと考えている方はそういったオプションサービスの利用を検討されてはいかがでしょうか。

関連するサービス

ホームページ制作

0

整理術を磨いて仕事の処理速度をアップ?!佐藤可士和から学ぶ仕事の取り組み方前のページ

スマホ広告を出す前に押さえておきたい3つのポイント次のページ

ピックアップ記事

  1. 新型コロナウイルスで日本の働き方改革が起こる
  2. 大手企業も注目するMaaS(Mobility as a Service)とは何か…
  3. 新しい販売形態であるDtoCについて考えてみる
  4. AIに求められているものは、実は意外な物だった

関連記事

  1. Web関連

    恋愛から学ぶ3つの法則!? つながるコンテンツマーケティング。 届けようその気持ち!!

    実は、コンテンツマーケティングは恋愛と類似する点が幾つかあると…

  2. Web関連

    【Web制作会社が考える】いまでは良い思い出・・・ってい言いたいIE6

    すこしは楽になりました。ブラウザ対応htmlコーディングを行う中で…

  3. Web関連

    ISO10002取得!苦情対応で学んだこと

    こんにちは!ISO取得チームの山谷です!先日ティファナはBSIグル…

  4. Web関連

    レスポンシブとは少し違う、アダプティブWebデザイン

    この記事を読んでいる方は「レスポンシブWebデザイン」というワードを耳…

  5. Web関連

    拡張現実=ARの今を追ってみた!!

    『AR』という言葉を聞いてどんなものであるか、皆さんイメージできますか…

  6. Web関連

    ネット上だけではない?あなたの会社はセキュリティ対策できていますか?

    昨今ネット上でのセキュリティ対策やパスワード管理などの重要性が取りざた…

おすすめ記事

最近の記事

  1. 人間拡張×AIで非接触なデジタル化を推進する
  2. ヘルスケアはAI先生にみてもらう時代
  3. withコロナは非接触技術で生活しよう!
  4. デジタル接客+AIで非接触を推進する
  5. 遠隔診療や遠隔医療普及のポイントはAIと5G

アーカイブ

  1. サービス・新技術

    今後広まるキャッシュレス決済のメリット
  2. Web関連

    レスポンシブとは少し違う、アダプティブWebデザイン
  3. Web関連

    あれ、ここのデザイン変わった?見るタイミングで変化するWebサイト!
  4. RPA関連

    量販店の業務もRPAで自動化 日々の定形作業から小粒業務まで
  5. Web関連

    ヤフオク初心者が、ECサイトとは違う気になる点をピックアップしてみた
PAGE TOP