はじめに

Webサイトをセキュアに運用するためにはサイト自体への対策以外のセキュリティに目を配る必要があります。
サイト自体への対策については、別記事「あなたのサイトは大丈夫？脅威にさらされるWebサイトの脆弱性」にて以前ご紹介していますので、本記事ではWebサイトをセキュアに保つための運用レベルでの対策を紹介したいと思います。

Webサーバに関する対策

OSやソフトウェアの脆弱性情報を持続的に入手する

OSやソフトウェアの脆弱性をついた攻撃を受けると、サーバへのアスセスに認証をかけていても、不正に侵入されてしまう恐れがあります。

ソフトウェアの更新で最新のパッチを適用することが対策として挙げられます。

公開を想定していないファイルを公開用ディレクトリ配下に置かない

公開用のディレクトリに保管されているファイルは基本的に外部から閲覧が可能になります。Webページにファイルへのリンクがない場合でも、直接入力することで閲覧されてしまう可能性があります。

公開を想定していないファイルは、公開用ディレクトリに保管せず別で管理するようにしましょう。

ネットワーク盗聴における対策

機密情報を取り扱うページは、通信の暗号化を行う

通信を暗号化する手法としてSSL/TLSを用いたHTTPS通信があります。

暗号化したい情報をユーザに入力させるページでは、送信先にHTTPSを使用するだけではなく、入力画面にもHTTPSを使用する必要があります。

入力画面がXSSによってページの改ざんが行われている場合、それに気づかず入力、送信してしまうと盗聴の被害に遭ってしまう危険性があるためです。

機密情報における対策

機密情報は暗号化した値で保管する

万一機密情報が漏洩した場合でも直ちに悪用されることがないように、暗号化した値で保管することが必要です。

ハッシュ値から元の文字列に復元することは困難ですが、簡単に推測されるもしくは十分に長くない文字列だと辞書攻撃やブルートフォース攻撃により復元される可能性があります。

よりセキュアな管理方法として、ハッシュ値にソルトを付与してさらにハッシュ値を求めることやストレッチングを行う方法が挙げられます。

機密情報はログに出力しない

そもそも、機密性の高い情報は基本的にログに出力しないことが推奨されます。

ログには開発時や運用時に必要不可欠な情報が多く含まれているので、サーバへ不正に侵入されてしまった場合に狙われる可能性が高いものです。

もし、ログに出力する必要がある場合には、マスキング処理や暗号化を施すことで、万一サーバへ不正に侵入されてしまい機密情報が流出しても直ぐに悪用されることを防ぐことができるため、セキュリティ対策としては必須になります。

終わりに

セキュリティ対策にはキリがないと言えます。

対策を実施しても、日々新たな攻撃や脆弱性が見つかり、いたちごっこ状態になっています。

だからといって対策を少しでも怠ってしまうと攻撃のターゲットにされ内部の機密情報、ユーザの個人情報が不正に取得、利用される危険性があります。

本記事を読んでいただき、改めてWebサイトのセキュリティ対策を見直すきっかけになればと思います。

参考資料:IPA 安全なウェブサイトの作り方

関連サービス：セキュリティ脆弱性診断