近年、多くのサービスベンダーからスマートフォンアプリの提供も増えてきていますが、サービス利用開始やスマートフォン以外からのWebサービスへのアクセス等、「Webブラウザ」を利用する機会は多いと思います。
　セキュアなWebブラウジングを実現するにはどのようにしたらよいのか、インターネットの使いみちとして利用の多い「Webブラウザ」に対するセキュリティ対策と、Webアプリケーションを提供する企業としてのセキュリティ施策をテーマに今回はまとめていきます。

情報セキュリティ10大脅威(2021)から見るWEBアプリケーション対策の必要性

IPA（独立行政法人情報処理推進機構）が毎年発表している「情報セキュリティ10大脅威」では、今年(2021年)もインターネットを利用した脅威が半数を占める結果となっています。

順位	個人	組織
1位	スマホ決済の不正利用	ランサムウェアによる被害
2位	フィッシングによる個人情報等の詐取	標的型攻撃による機密情報の窃取
3位	ネット上の誹謗・中傷・デマ	テレワーク等のニューノーマルな働き方を狙った攻撃
4位	メールやSMS等を使った脅迫・詐欺の手口による金銭要求	サプライチェーンの弱点を悪用した攻撃
5位	クレジットカード情報の不正利用	ビジネスメール詐欺による金銭被害
6位	インターネットバンキングの不正利用	内部不正による情報漏えい
7位	インターネット上のサービスからの個人情報の窃取	予期せぬIT基盤の障害に伴う業務停止
8位	偽警告によるインターネット詐欺	インターネット上のサービスへの不正ログイン
9位	不正アプリによるスマートフォン利用者への被害	不注意による情報漏えい等の被害
10位	インターネット上のサービスへの不正ログイン	脆弱性対策情報の公開に伴う悪用増加

インターネットを介してWebブラウザが多く利用されることを考えると、Webブラウザに対するセキュリティ対策は必要と考えます。

Webブラウザの脅威（実例）

Webブラウザのセキュリティ脅威として避けるのが困難なものに、以下の２点が挙げられるでしょう。

• 違法サイトの閲覧

ウィルスに感染する経路の１つが違法サイトの閲覧です。
違法サイトと知らず閲覧した際に誤ってウィルスをダウンロードしてしまい、デバイスを乗っ取られる可能性があります。違法サイトにアクセスしないことが当然の対策となりますが、近年の違法サイトは判別が難しいのが現状です。
Webブラウザのセーフブラウジング機能を利用すること、アンチウィルスソフトを導入することが対策になります。

• ゼロデイ攻撃

「ゼロデイ攻撃（zero-day attack）」とは、アプリケーション内に潜む未検知の脆弱性、もしくは脆弱性の修正プログラムが適用されていない状態を突いた攻撃です。
シェア率の高いWebブラウザ「Google Chrome」も2021年6月に4件、2021年7月に8件の脆弱性の存在を発表しています。セキュリティのリスクを軽減するためにWebブラウザの定期的なバージョン確認と更新作業が必要となります。※修正プログラムが提供された日を1日目として、修正プログラム未適用で脆弱性が存在する状態を「ゼロデイ（0日目）」と表現したことが由来。

Webブラウザでのセキュリティ対策

Webブラウザのセキュリティにかかる具体的な対策や設定を以下に挙げてみました。管理されているデバイスがどのような設定になっているのか確認してみてはいかがでしょうか。

• セーフブラウジング(シークレットモードやプライベートモード)でWebブラウザを利用する。
• プライバシー保護を目的としたWebブラウザの拡張機能を利用する。拡張機能の管理を行う。
• ブラウザを閉じる際に、キャッシュや履歴を自動でクリアする。
• パスワード等の自動入力を無効にする。
• 定期的にバージョン確認と更新を行う。

参考：「Google Chrome」での対策（一部）
　・Chrome でセーフ ブラウジングを使用する
　・Google Chrome を更新する

補足になりますが、Webブラウザとしてメジャーなのが「Internet Explorer」(IE)と思われますが、現在は「Microsoft Edge」(Edge)がWindows標準となっており、MicrosoftでもIEからEdgeへの移行を推奨しています。
IEのサポートは2022年6月15日に終了することを公表していますので、IEへの更新プログラム提供が他Webブラウザに比べて遅れる、またサポート終了後は更新が行われなくなります。そのため、IEはゼロデイ攻撃の対象になることが予想されますので、IEの継続利用はセキュリティリスクが高いといえます。
Internet Explorer 11 はサービスを終了

企業としてのセキュリティ対策

いままで取り上げてきたセキュリティ対策は、インターネットを利用するユーザー向けになります。一方、企業としてはユーザーへセキュアなWebブラウジングを提供することが重要です。
セキュアなWebブラウジングを提供するための施策として、以下ご案内させていただきます。

• Webアプリケーション診断の実施

まずは現状の把握として、WEBアプリケーションのセキュリティ状況を把握することが重要となります。
Webアプリケーション診断の詳細については以下のブログ記事・サービスページを引用させていただきます。
　関連ブログ　：Webアプリケーション診断とは
　サービス紹介：セキュリティ脆弱性診断

• WAF（Webアプリケーションファイアウォール）の導入

Webアプリケーションの構築段階におけるセキュア設計、セキュアプログラミングを行うことはもちろんですが、依存関係モジュールの脆弱性の確認や巧妙化していく不正アクセスの脅威を考えますと、「WAF」（Webアプリケーションファイアウォール）の導入も１つの手段といえます。
「WAF」を導入することにより、悪意のある不正アクセスからWebアプリケーションを守ることができ、結果、ユーザーの個人情報の漏えいやWebサイト改ざん等を未然に防ぐことが可能になります。
クラウド型WAFの導入はハードルが低いので、これからWebセキュリティ対策を行う企業には有力な選択肢となります。ぜひご検討ください。
　サービス紹介：secuWAF