Webサイトの安全確認を3ステップで

Webサイト監視ってどれくらいの力を入れればいいの？

個人事業主としてフリーエンジニアをしている木下です。

一昔前では監視のイメージは「監視？いやぁお金が…。」「監視？なんだか難しそう。」こういった高額のソリューションで運用管理が難しい（複雑）なイメージがありました。

この記事はこんな人におすすめです

Web制作会社、サイト運営者だが、監視システムを構築・運用するノウハウはない。
Webサイトを公開している企業内の担当者としてセキュリティは不安に思っているが対策はしていない。
オープンソースで監視システムを構築しようと思ったが難しくて挫折した、あるいは手間が掛かり過ぎていて監視システムに振り回されがち

最近では有償の製品だけでなく、オープンソースの監視システムもいくつか存在感を増しており、
有償/無償を問わず選べる状況となっています。
しかし、実際の監視システムは「どんな企業にもマッチしている」とは言い難い状況です。
その理由として「費用」と「手間」が挙げられます。

監視システムを監視する人間の手間

有償製品を購入しても、オープンソースで構築し運用していても、意外と「監視システムを運用するための手間」はシステムの担当者に業務の負荷として掛かっていることが多くあります。

監視システムは24時間365日無人でシステムの正常性を確認するために導入し稼働させるシステムといえますが、この監視システムに問題や誤動作が起きてしまうと「24時間365日無人でシステムの正常性を確認する」という目的は達成できません。
そうなると「監視システムの監視」というややこしい状況になってきます。監視システムを正常動作させるために監視するのは人間の役割になることがほとんどです。

オープンソースでシステムを運用するということは、そのオープンソースを構築したり運用したりする人に対して時間とスキルが要求されることになります。監視システムに限らず「オープンソースを使う場合には有償製品では不要な部分が要求される」という傾向があるからです。

では有償製品ではその手間が軽減される、という点は間違いないのですが有償製品はその手間を省ける代償として製品自身にコストが要求されます。利便性という点では有償製品には一日の長があります。概ねオープンソースで掛かる時間やスキルと有償製品の購入に要する費用はトレードオフで語られることが多いですね。

しかし、いま利用しているWebサイトにどれくらいの費用を掛ければ妥当なのか、どれくらいの労力で監視ができていれば妥当なのか、これが掴みにくいことはないでしょうか？

特にセキュリティ関連の監視は障害と違って「脆弱性が発見されることがトリガーとなる」ことから何もしていなくてもインシデントが発生するという特徴があります。自社のWebサイトが安全であることを日々監視するためには、「世の中で発生しているセキュリティインシデントの中でWebサイトがどれくらいの脅威にさらされているか」その危険度から適切な力の掛け具合を導き出すのが一つの指標となります。

では、調査資料を基にWebサイトのセキュリティ監視にどれくらいの力を掛けるか、探ってみましょう。

Webサイトへの脅威は最高レベルではない

ここに興味深い調査資料があります。
ベライゾン社が毎年公開している「2016年度データ漏洩/侵害調査報告書」というレポートです。

2016年データ漏洩/侵害調査報告書（DBIR）
https://www.verizon.jp/news/DBIR2016.html
※要登録
※レポート内の「インシデント分類パターン」の項参照

Web関連の脅威は全体の40%

このベライゾン社の調査資料によれば、セキュリティインシデント全体の内訳として、Web関連の脅威は2015年のインシデントでは全体のおよそ一割弱でしかなかったものが、2016年には大きくその数を増やし、全体の40%に伸びています。

予測ですが、2017年はランサムウェアが大きく取り上げられていました。そのため、来年公表されるこのレポートではランサムウェアのインシデントを含む「クライムウェア」という項目が伸びることが予想されます。

このことから2016年はWebの侵害が流行した、というトレンドを知ることができます。また、毎年同じインシデントが流行するわけでなく、その年によって流行するセキュリティインシデントは変化する、ということも分かります。

しかしWebアプリケーションに限らず2016年いったん流行した攻撃手法や脆弱性情報は世の中に公表されていますので、その攻撃手法を模倣した攻撃は一定数継続して実行される可能性は大いにあります。

Web関連の攻撃は「攻撃が容易な脆弱性を突いた攻撃」が大半を占めています。つまり、脆弱性をリアルタイムに監視し把握することで新たに発見されるセキュリティホールを速やかに塞ぐことが要求されます。

以下、セキュリティ上の脅威となるインシデントの中から上位5位と今年流行したクライムウェアについて内容をご紹介いたします。

第1位：WEBアプリケーション攻撃

Webアプリケーションの攻撃は、有名なXSS（クロスサイトスクリプティング）やSQLインジェクションのような脆弱性を利用して悪意のあるコードを実行させるような攻撃や、CMSの脆弱性を狙ってサイトの乗っ取りや不正改ざんといったWebサイトにまつわる攻撃全般を指しています。

この調査では自身運営するWebサイト以外にも盗まれた認証情報で正常稼働しているWebアプリケーション（サイト）に不正なログインを実行され情報を搾取されたり不正利用されたりといったWebサイトを介した脅威全般が1位に含まれています。

この対策はWebアプリケーションが動作するOSやWebサーバーソフトウェアのセキュリティアップデート適用、加えてコンテンツに脆弱性が内包されていないか、これらを迅速に把握できることが重要になってきます。

第2位：POSへの侵入

POSはスーパーやコンビニのレジで動作する「販売管理システム」のようなものです。2015年には第1位でした。

仕事にITが関わっているかどうかに依らず誰しもが利用しています。昨今のレジでは電子マネーやクレジットカードなど多様な支払い方式を選べますので、より金銭に直結したPOSシステムがウィルスやクラッカーから標的にされている、という傾向があります。

近年はWindowsをOSとしたPOSレジやタブレットPOSシステムが普及しており、セキュリティアップデートやマルウェア対策はよりシビアになっていますが、POSシステム自体は本部のサーバーありきのPOS端末なので、組織内で全体を俯瞰できるシステム部門による体系だったアップデートが重要になってきます。またPOSシステムは納入業者との協力した運用管理も必要になるでしょう。

第3位＆第4位：人的ミス＆内部者および特権保持者による不正使用

第3位と第4位はヒューマンエラーに関するインシデントといえます。

設定ファイルの記述をミスしてしまいセキュリティの脆弱性が存在する状態で公開してしまったり、セキュリティアップデートを失敗したことで脆弱性がそのまま放置されてしまったり、といった人間が起こすミス全般が人的ミスです。

内部者および特権保持者による不正使用は何年かに一回は話題になる「内部の権限を有する社員や委託先からの情報漏洩」がイメージしやすいかと思います。つまり、アクセス権限を有しているユーザーが本来機密情報であるはずのデータを持ち出してしまい情報漏洩事故に発展してしまうケースです。

アクセス権限を付与しなければ本来遂行してもらうべき業務が滞りますので、他のセキュリティ対策と異なり”アクセスさせない”というアプローチを取れないところが大きなポイントとなってきます。このため内部者＆特権保持者による不正利用に対抗するためには、監視による抑制が重要となってくる種類のセキュリティとなります。

普段から内部者のログイン情報やデータ取り扱い履歴、特権の使用履歴などをログや監視システムで逐次情報収集し、内部権限者が不正を行わない、ないし「監視されていると意識させることで不正を思いとどまらせる」という組織的な施策が必要になってきます。

第5位：サイバースパイ活動

サイバースパイ活動は防御を固めている組織（国や企業、団体）であっても、標的を絞って攻撃を実行し、高度な技術を用いた攻撃で情報の搾取を実施する、という活動を指しています。

ハッカー集団と表現される集団が標的を定めたサイバー攻撃を実施している報がニュースなどで流れることがありますが、こういった直接的にサイバー攻撃されることで情報の搾取を狙われる脅威がサイバースパイ活動となります。

サイバースパイ活動はいわゆる直接的な攻撃を受けることになりますので、ファイアウォールによる防御に加えて、IDS/IPSといった侵入検知・侵入防御のシステムを用意し組織全体を防御すると同時に、サイバー攻撃に付け入るスキを与えないようなユーザー教育も重要になってきます。

第8位：クライムウェア

クライムウェアは2016年の順位こそ低いものの、近年影響力を持っているインシデントの一つです。

ここではマルウェアと呼称されるコンピュータウィルスの中でも、サイバー犯罪に利用される（犯罪を目的とした）マルウェアを「クライムウェア」という呼称で区分けしています。

つい最近でも全世界で大規模なランサムウェア「WannaCrypt」の流行がニュースを賑わせていましたね。このため翌年のレポートにおけるプライオリティとしては前出セキュリティインシデントよりもクライムウェアのほうが順位は高くなる可能性が高いといえます。

クライムウェアに限らずマルウェア全般に言えることですが、対策するためには迅速なセキュリティアップデートとウィルス対策ソフトウェアの定義ファイルのアップデートが重要になってきます。加えて、端末を利用するユーザーが不審なファイルを手動で開かないようにする、といった啓蒙活動も重要になってきます。

ここまでの脅威の内容を見て「これは大変だ、対策をしっかりとやらなければ」と考えるのは自然です。ですが、どれも最高レベルのセキュリティ対策で備えることは限りある予算では不可能です。

セキュリティ対策は完璧を目指せば青天井となってしまいますので、自社にマッチした規模の対策が必要となりますが、2016年に流行したWebサイトへの攻撃が2017年も継続するとは限りません。

むしろWannaCryptに代表されるランサムウェア・クライムウェアへの対策に注力しなければならないことが予想されます。毎年変化するセキュリティインシデントを把握して自社に適した対策を実施しなければならないと言えます。

つまり、攻撃手法の流行によって優先されるべき脅威への対策は移ろいやすく、より費用と工数を掛けるべき対策も局面によって変化していくということです。まったくやらなくてよいわけではないが、それなりには対策を講じておきたいところです。

SiteLockのようなお手頃な価格のシンプルな対策から始めるのはコストパフォーマンスの観点からも妥当と考えることができます。

ちょうどいいWebサイト監視は？

Webサイトを公開しているサーバーは24時間365日稼働している上に、常時インターネット上から無制限にアクセスを受ける存在です。

他のサーバーと違って24時間365日インターネット上からのアクセスを受け付ける性質があれば攻撃者から見て24時間365日稼働しているのだから攻撃に時間を掛けることができる分、他のサーバーより攻撃しやすいという一面もあります。他のシステムより迅速に脆弱性を把握しなければいけないのはこのためです。

そこでこのような悩みが出てきます。
「費用はそれほど掛けられないけど、オープンソースで構築して運用するマンパワーはない。どうしよう？」

こうして、「Webサイトを監視する妥当なレベルはどれくらいのものなのか？」という疑問が湧いてきます。できれば安価なほうがいいですし、できれば楽な方がいいのは誰しもが思うところです。その一つの答えとなるのがSaaSで提供されているSiteLockです。

詳しくはSiteLockの機能紹介ページを見ていただければ分かりますが、SiteLockは脆弱性やマルウェアの危険性を診断するソリューションです。このため診断した結果を情報として欲する人間に報告する機能を有します。
その診断はWebサイトが安全に稼働し続けるために必要となる診断項目が提供されています。

巷の（有償無償を問わず）高機能な監視製品と比べればリアルタイム性には欠けますが、セキュリティにポイントを絞った一つの監視を提供してくれます。脆弱性やマルウェアに監視項目を絞ると性能監視と違ってリアルタイム性はそれほど必要なく「脆弱性が顕在化した時点で速やかに人間が知ることができる」ことが重要になってきます。

「今まで監視なんてやってなかった…」という層が監視を始めるには安価ですし設定も比較的容易なため「いままでやってなかったけどセキュリティは心配だから監視しよう」、あるいは「Webサイトの監視をホントはやりたくないけどやらなきゃいけない」という人ならSiteLockは価値が高いソリューションに見えます。