Webセキュリティとは？種類と対策

より多くのユーザーがインターネットへのアクセスを必要とする中、組織はWebベースの脅威からデータとインターネット・ネットワーク・リソースを保護しなければなりません。「Webセキュリティ」は、ユーザーが悪意のあるWebサイトからマルウェアやその他の脅威をネットワークに持ち込むのを防ぐために、戦略、インフラ、トレーニング、モニタリングを活用します。Webセキュリティは事業継続に不可欠な要素です。高度なWebセキュリティは、ユーザーとブラウザーの間にプロキシを提供することで、多くのWebベースの攻撃をブロックし、APTやマルウェアがインターネット環境に到達できないようにします。

フィッシングメール、悪意のあるWebサイト、認証情報の盗難、ソーシャルエンジニアリング、内部脅威、Webサイトの脆弱性、マルウェアなどは、管理者がWebセキュリティを中心としたサイバーセキュリティ戦略を構築する際に直面する課題のほんの一部に過ぎません。組織を標的とする脅威が多数存在するだけでなく、これらの脅威は最新のサイバーセキュリティ保護を回避するために常に進化しています。このような課題が存在するため、いくら優れたサイバーセキュリティ・インフラを構築しても、リスクを完全に排除することはできません。だからこそ、管理者はサイバーセキュリティを何重にも構築しなければなりません。

従来、管理者は企業を悩ませる多くのサイバーセキュリティの課題を克服するために、オンプレミスのインフラを導入していました。このインフラには、常時監視、パッチ適用、メンテナンス、アップデートが必要でした。このオーバーヘッドを軽減するため、管理者はデータセンターでインフラをホストするクラウドコンピューティングに注目し、メンテナンスのオーバーヘッドを削減しました。クラウドには多くのメリットがありますが、特にサイバーセキュリティに関しては、新たなデメリットもいくつか生じています。

クラウドのメリットはリスクに見合うものであることが多いですが、管理者は新たな課題を認識し、適切なツールを導入して情報流出を避けるべきです。例えば、クラウド上で仮想マシンを作成してWebアプリケーションやデータベースをホストすることは、オンプレミスでホストするよりもはるかにコスト効率が優れています。クラウドホスティングのインフラは、オンプレミスに設置するコストを削減し、ハードウェアやネットワーク機器はすべてプロバイダーが保守管理します。

このようなメリットがある一方で、いくつかのデメリットもあります。管理者がクラウドリソースの設定や管理方法に精通していない場合、クラウドコンピューティングはリスクを増大させる可能性があります。クラウドの設定ミスは、脆弱性の主な要因です。管理者はまた、コンプライアンスを維持し、クラウドで進行中の攻撃を検出するために、モニタリングおよびロギングソリューションを適切に設定する必要があります。

Web上の脅威を食い止めるのはフルタイムの仕事です。野放しにされている脅威の数は日々増え続けています。また、新たなゼロデイ脅威も野放しになっており、これらの脅威は適切な保護が施されていない現在のインフラを悪用する可能性があります。

ここでは、Webセキュリティが阻止する脅威の一部をご紹介します。

• SQLインジェクション： オンラインフォームからの不正なSQLステートメントは、データを修正したり、テーブルを削除したりする可能性があり、深刻なケースでは、攻撃者が標的のデータベースサーバー上で特権を昇格させる可能性があります。
• クロスサイトスクリプティング（XSS）： Webページがユーザーによる入力を検証しない場合、悪意のあるコードがユーザーに反映されます。これらのスクリプトは、ユーザーのCookieやセッション情報を盗んだり、ユーザーの代わりにアクションを実行したりするなど、無数の悪意のあるアクションを実行する可能性があります。
• リモートファイルインクルード： 動的な外部スクリプトやリソースを使用するWebアプリケーションは、パスが検証されずにユーザー入力から生成された場合、リモートファイルインクルードに対して脆弱です。これらのバックドアシェルは通常、標的のウェブサイトにマルウェアをダウンロードします。
• パスワード侵害： 認証情報の盗難やパスワードの総当たり攻撃はWeb上では一般的であり、管理者は監視や侵入検知を使用して、プライベート・ネットワーク・リソースへの不正アクセスを阻止する必要があります。二要素認証は、認証情報が盗まれた後の不正アクセスも阻止します。
• データ侵害： 攻撃者が機密情報を第三者に送信するような侵害が発生すると、組織はデータ侵害に見舞われます。機密情報の意図的な漏洩や人為的ミスによる内部脅威が、データ侵害の最も一般的な原因です。
• コードインジェクション： ユーザーが生成した入力はすべて検証されるべきです。そうしなければ、攻撃者がリモートサーバー上の脆弱性を高めるアクションを実行する可能性のある悪意のあるコードを送信する可能性があります。
• マルウェアのインストール： マルウェアがローカルネットワークにインストールされると、データの流出、ランサムウェアの暗号化、恐喝など、甚大な被害を引き起こす可能性があります。
• フィッシング：ほとんどの攻撃はフィッシングメールから始まるため、Webセキュリティには、悪意のあるメールメッセージが従業員の受信トレイに届かないようにフィルタリングする戦略が含まれていなければなりません。
• 分散型サービス妨害（DDoS）：攻撃者はトラフィックの洪水を利用して、サービスを数日間中断させ、収益や事業継続に影響を与えます。

Webセキュリティ戦略を模索する際、組織にはいくつかの選択肢があります。ほとんどの戦略は、一般的なWebの脅威からユーザーとインフラを保護するために、複数のソリューションを組み合わせて使用しています。各技術は、それぞれのメリットとデメリットを持つ独自のベンダーリストを持っています。管理者は、選択したソリューションがフォールスポジティブとフォールスネガティブが少なく、組織を攻撃から守るために必要な機能を備えていることを確認するために、ソリューションを調査する必要があります。また、よくある設定ミスの脆弱性を避けるために、選択したWebセキュリティを適切に設定しなければなりません。

Webセキュリティの一般的な技術やツールを以下にご紹介します。

• Webアプリケーションファイアウォール（WAF）： 優れたWAFは、高度なDDoS攻撃を阻止し、ユーザーがオンラインフォームを使って情報を送信する際の悪質なコードインジェクションをブロックします。Webベースの攻撃を阻止する唯一の方法であるべきではありませんが、戦略を大幅に強化し、攻撃を軽減することができます。
• 脆弱性スキャナー： すべてのソフトウェアは、本番環境に導入する前に侵入テストを実施する必要がありますが、本番環境のソフトウェアであっても、常に脆弱性を監視しなければなりません。脆弱性スキャナーは、攻撃者の基本的な行動を実行し、ソフトウェアの脆弱性を見つけます。攻撃者よりも先に脆弱性を発見できれば、深刻なデータ侵害の原因となる前に問題を修正することができます。また、優れたスキャニングツールは、企業インフラの設定ミスも探し出します。
• パスワードクラッキングツール： 一般的なオンラインツールを使ってパスワードを解読しない限り、ユーザーが脆弱なパスワードを作成しているかどうかはわかりません。データベースに保存されているハッシュ化されたパスワードであれ、ネットワーク認証情報であれ、ユーザーのパスワードに対してテストを実行することで、パスワードの長さや複雑さに関するポリシーやベストプラクティスに従っていないかどうかを判断することができます。
• ファジングツール： ファジングツールはスキャナーに似ていますが、開発中のコードをリアルタイムで評価するために使うことができます。ファザーは、テスト中、ステージングにデプロイされた後、そして最終的にプロダクションにデプロイされた時にコードを検索します。単純なスキャナーとは異なり、ファザーは潜在的な問題についての洞察を提供し、開発者や運用担当者が問題を修正するのに役立ちます。
• ブラックボックステストツール： 攻撃者はソフトウェアの脆弱性を見つけるためにいくつかの方法を使います。ブラックボックステストツールは、脆弱性を特定するために現実世界の脅威をエミュレートします。これらのツールは、デプロイされたソフトウェアに対して悪意のあるアクションを実行して潜在的な脆弱性を特定し、一般的なエクスプロイトを使用して開発者が問題を修正するのを支援します。「ブラックボックステスト」という名称は、脆弱性を発見するために使用されるブラックハットハッカーの手法を表しています。
• ホワイトボックステストツール： 開発者がアプリケーションをコーディングするとき、コーディングミスが一般的な脆弱性を引き起こします。ホワイトボックステストツールは、作成されたコードを分析し、よくある間違いを避けるための洞察を開発者に提供します。ホワイトボックステストは、コードがコンパイルされ、ステージング環境と本番環境にデプロイされる前に脆弱性が阻止されるようにソフトウェア開発を監督する方法だと考えてください。

Webセキュリティは、あらゆる攻撃を防御するものではありませんが、内部インフラがインターネットに接続する場合に組織が直面する一般的な脅威の多くをカバーします。Webセキュリティは、現在環境内にインストールされているサイバーセキュリティを強化する追加レイヤーだと考えてください。

Webセキュリティが阻止する脅威には、次のようなものがあります。

• マルウェア： Webセキュリティは、アンチウイルスソフトウェアやその他のアンチマルウェアインフラストラクチャを使用して、ローカルマシンやその他のネットワークデバイスにマルウェアがインストールされるのを阻止します。
• 情報窃盗： 効率的なWebセキュリティにより、不正アクセスからデータを保護し、機密情報をローカルネットワークリソースから攻撃者が管理するサーバーに流出させるような脅威を排除します。
• フィッシング：ほとんどのデータ侵害は、悪意のあるフィッシングメールのメッセージから始まります。Webセキュリティは、このようなメッセージがユーザーの受信トレイに届かないようにフィルタリングする必要があります。
• セッションハイジャック： 悪意のあるWebページから盗まれたCookieからユーザーを保護することは、Webフィルタリングと保護の一要素であり、これらの悪意のあるページがユーザーセッションに対してアクションを起こす前に、ユーザーがウェブサイトにアクセスすることをブロックします。
• 悪意のあるリダイレクト： オープンURLリダイレクトをもつウェブサイトは、フィッシング攻撃で利用され、ユーザーを騙して認証情報やその他の機密情報を入力させることがありますが、Webセキュリティは、既知の攻撃サイトへのリダイレクトをブロックすることで、このような攻撃を阻止します。
• スパム: ストレージスペースは高価であり、スパムメッセージはこれらのネットワークリソースを不必要に消費します。Webセキュリティは、これらのメッセージがユーザーの受信トレイに届くのをブロックし、スパムやフィッシングの可能性のあるメールを阻止します。
• APT： 高度なマルウェアを封じ込め、駆除するには、高度なセキュリティが必要です。そのため、Webセキュリティインフラは、悪意のある活動を監視・検知し、データが流出する前に早期に阻止する必要があります。
• シャドーIT：許可されていないデバイスがネットワークに接続することは許されません。優れたWebセキュリティ戦略は、これらのデバイスを検出し、機密データやリソースへのアクセスをブロックします。

Proofpointの高度なWebセキュリティは、野放しにされた数多くの攻撃からIT環境全体を保護するために必要な多くの機能を提供します。また、ネットワーク環境に侵入し、完全に根絶することが困難な高度な持続的脅威を阻止します。このような脅威は、多くの場合バックドアを残して他のマルウェアをダウンロードさせるため、管理者が完全に削除されたと考えていても、攻撃者はデータにアクセスできます。

IT 環境を監視し、環境のあらゆる側面を可視化することも、Proofpointの Web セキュリティ製品が企業組織へ提供する機能の 1 つです。環境がいつ攻撃を受けているかを把握し、すべてのネットワークリソースを継続的に監視して、攻撃の可能性がある不審な動作を検出します。

ProofpointのWebセキュリティプロキシがあれば、ユーザーのインターネット閲覧は、組織をデータ損失のリスクにさらす可能性のある多くのウェブベースの攻撃から安全に保護されます。当社のクラウドベースの管理、監視、サンドボックスにより、情報漏洩対策（DLP）をお客様に提供し、コンプライアンスを維持すると同時に、ユーザーがインターネットにアクセスできるようにすることで、研究や生産性の向上を図ることができます。