Webサーバー これだけはやっておくセキュリティ対策【ディレクターズ×GIG コラボイベント前編】

2018年12月19日（水）、Workship MAGAZINEの運営会社である株式会社GIGにて、株式会社ディレクターズ様とのコラボイベント『デザイナー・ディレクター向け！これだけは知っておきたいフロントエンド / サーバーサイドの知識』が開催されました。

本イベントでは、フロントエンドやサーバーサイドの基礎知識を押さえておきたいデザイナーやディレクターにとって有意義な講演が行われました。今回はその内容を【前編（サーバーサイドの知識）】と【後編（フロントエンドの知識）】に分けてご紹介します。

後編はこちら▼

Webサーバー これだけはやっておくセキュリティ対策

最初の登壇者は、株式会社ディレクターズ・杉本さんです。

杉本 瑞世（すぎもと みずよ）

株式会社ディレクターズ インフラエンジニア兼ホスティング事業部 事業部長。
インフラエンジニアとして、クライアントの要望に応じて設計、環境・機器選定、仕入れ、価格決め、構築、運用保守までを一貫して行う。 また、2017年より事業部長としてホスティング事業部のエンジニアを統括し、運営方針の決定などにも関わる。

当日のスライドはこちら▼

Webサイトは秒単位で、常に外部から攻撃を受け続けている

昨今、何かとセキュリティに関する話題が多くなっています。

「セキュリティどうなってますか？」「脆弱性はどうなってますか？」といったユーザーからの声は多く、情報セキュリティポリシーの作成を求められることもよくあります。

ところで、こんな表示が出てくるサイトを見たことはないでしょうか。

「攻撃サイトとして報告されている」というアラートが出るサイトは、ウイルスをダウンロードさせられるページがあり、フィッシングサイトとして報告されているサイトです。これはサイト運営者がウイルスを設置したわけではなく、サイトに外部から不正侵入（クラック）され、悪質なファイルを置かれてしまったケースがほとんどです。

このようなアラートを見ると、当然ユーザーはブラウザバックしますよね。もし自分のサイトがクラックされてしまうと、PV数はもちろん、サイト全体が大きなダメージを受けてしまいます。

しかし、「クラックなんてそう頻繁にされるの？」とお思いの方もいらっしゃるでしょう。そこで杉本さんは、サーバーが普段どのような状況にあるのか、サーバーログの例を見せてくれました。

青字の数字は、サーバーへのアクセスのあった時刻を表しています。1秒単位で連続してアクセスされているのがわかります。これは外部から脆弱性を探す行為を受けている証拠です。

これは決して特別なケースではありません。Webに公開されているものは、常に外部から攻撃され続けているのです。

実際に脆弱性が発見されると、悪意のある人によってファイルを勝手に置かれてしまうことがあります。悪質なファイルを置かれてしまったサイトは、サイト内のファイル全ての信用性がなくなってしまうため、サイトを作り直すしかありません。
インターネットに公開するということは、常にクラッキングのリスクを負っているということなのです。

外部からのサーバーへのアクセスを制限する方法

データベースやサーバーシステムには、ユーザーが直接アクセスできないようにしておくべきでしょう。管理者だけがサーバーにアクセスできるようにする必要があります。

外部のユーザーからのアクセスを制限する方法は以下のとおりです。

• データベースをインターネットに接続しないネットワーク設定にする
• ファイアウォールで制限する
• VPNを管理者アクセスに利用する
• パスワードを二要素認証に設定する

パブリック権限が無意味にONになっている場合がありますが、これは非常に危険です。

また、検証段階で公開設定にしてみたものがそのまま公開されてしまっていることもあります。権限設定は公開前にしっかり確認しましょう。

WAFを活用して外部からの攻撃を遮断したいけれど……？

ユーザーにWebサイトを訪問してもらうためには、それをWeb上に公開しなければなりませんが、同時に攻撃に晒されることにもなります。そこで利用したいのがWebAplicationFirewall（WAF）です。WAFは、Webサーバーの前段に設置して通信を解析・検査し、攻撃と思われる通信を遮断してくれます。

しかし、WAFは導入コストがネックになるそうです。

各社各サイトごとにサイト設計やシステム、機能が異なり、必要なアクセスを弾かないようそれぞれ細かく設定するのに手間がかかります。価格も、簡単には手が出ない額だと感じます。

代表的なWAFサービスには、『Scutum』や『SiteGuard』があります。攻撃のパターンが新しくなるのに対応して自動でアップデートしてくれます。

『AWS WAF』『CLOUD ARMOR』など、無料で使えるクラウドWAFも誕生していますが、攻撃パターンに対するアップデートを手動で行う必要があります。

攻撃パターンの自動更新をしてくれるオープンソースのWAFも生まれてきましたが、まだまだ情報が少ないです。サーバーのミドルウェアとの連携も必要になります。

オープンソースのものをいかに使うかが、サーバーサイドエンジニアの腕の見せ所です。ぜひエンジニアを頼ってください。

まずは脆弱性診断をしよう

「やっぱり、サーバーサイドエンジニアでないとできないことばかりでは？」とお思いかもしれませんが、非エンジニアでもできることがあります。それはWebサイトの弱い部分を見つける、脆弱性診断です。

『VADDY』や『SiteLock』といった、脆弱性診断を行ってくれるサービスがあります。
簡単で安価なものから高価で詳細な診断までしてくれるものまで、レベルはさまざま。

簡易な診断で見つかるような脆弱性ほど、攻撃も簡単にされてしまいます。簡易な診断だけでもいいからやっておいて、見つかった脆弱性をすぐに直してもらうのが良いでしょう。

ちなみに私のおすすめの脆弱性診断サービスは『OWASP ZAP』です。

『OWASP ZAP』は、Mac/Windows/Linuxで無料で使える脆弱性診断サービスです。結果も.htmlファイルや.xmlファイルで出力できるので、顧客に見せる場合も簡単です。使い方のドキュメントも充実しているので、非エンジニアでも簡単に扱えます。

▲OWASP ZAPの結果表示例

ただし、脆弱性診断は擬似的にサーバーを攻撃する行為です。行う際には、以下の点に注意が必要です。

• サーバー管理者に事前に許可を取っておくこと
• 管理サイト以外には絶対に行わないこと

まとめ

• どうしても必要な通信以外は公開しないようにする
• WAFの導入を検討する
• 最低限の脆弱性診断をしておく

今回はサーバー管理者から見て、ディレクターやデザイナーに最低限やっておいてほしいことをご紹介しました。参考になれば幸いです！

後編はこちら▼