TEKI-PAKI コラム

第一回:SaaS型セキュリティという考え方

貴社のウェブサイトは今、本当に安全ですか？社内に不審なファイルはありませんか？

ソフトバンクBBがSaaSサービスTEKI-PAKIでgred（グレッド）セキュリティサービス（以下 gred）の提供を開始しました。gredは、ウェブサイトの安全対策と、マルウェアの迅速な対応を可能にする「SaaS型のセキュリティサービス」です。

従来、セキュリティに関しては、自社でソリューションを購入、セットアップ、運用・管理、更新が当たり前でした。しかし、次々と発生する、インターネット上の新たな攻撃は、発生頻度が増加し、攻撃手法も多様化しています。そのため、企業が自社でセキュリティ対策を運用・管理し、充分な効果を得ることが難しくなってきているのが現状です。その原因はいったい何でしょう？

ウェブ改ざんの目的が変化

昨年から今年にかけて、ウェブの改ざん被害が激増しました。管理者や利用者が気づかないように、ウェブサイトの一部を改ざんし、閲覧したユーザを不正なウェブサイトに誘導し、コンピュータウイルスや情報漏えい被害を引き起こすというものです。従来のウェブ改ざんは、ページのコンテンツそのものをアダルト画像や反社会的なメッセージに書き換えたりするため、誰が見ても、すぐにわかるものでした。目的も自分自身の技術力や知識を誇示することでした。しかし、昨年から行われている改ざんは、ウェブサイト全体を書き換えるのではなく、コンテンツの一部に一行だけ不正なスクリプトを加えるというものです。そのため、ページを開いただけでは、何の変化もないように見えてしまいます。閲覧したユーザは、自分自身も気づかないうちに、ウイルス感染や情報漏えいの被害に遭遇するというものでした。

また、この攻撃では、SQLインジェクションというウェブサーバの脆弱性が悪用されています。SQLインジェクションは既知の脆弱性です。2005年頃から、この脆弱性を悪用した不正侵入や改ざんは報告されています。この脆弱性が悪用されると、ウェブサーバに不正に侵入され、コンテンツの書き換えや、データベースから情報を盗むようなことも可能になります

対策が追いつかない！

NRIセキュアテクノロジーズ株式会社が調査した結果（調査期間2007年4月1日～2008年3月31日：http://www.nri-secure.co.jp/news/2008/0728_report.html）によれば、41%のウェブサイトでは、個人情報をはじめとする重要情報に、不正なアクセスを可能にする問題が確認されています。また、そのうちの、22%ではSQLインジェクションの問題が確認されています。

しかし、まったく対策が施されていないケースは少なく、対策後に追加された箇所における「対策漏れ」が原因になっているようです

ウェブサイトを活用した情報発信は以前にも増して活発に行われています。特に企業の場合には、オンライン経由でのビジネス展開もあり、魅力ある情報発信を目指して、様々な工夫や技術が開発され、まさに日進月歩の世界です。その反面、担当者は運用管理やコンテンツの更新に追われ、セキュリティ面の優先度は、どうしても、低くなってしまいます。

今、安全であることが重要

しかし、このような脅威によって、企業が受ける被害は、信用失墜やビジネス機会の喪失、法的責任にまで発展する可能性があります。過去に問題のないウェブサイトであったとしても、“今”正常なウェブサイトであるということが非常に重要です。

gredセキュリティサービスは、SQLインジェクション等に起因する、ウェブサイト改ざんの早期発見と対策に絶大な効果を発揮します。

gredセキュリティサービスが提供する「ウェブ解析機能」は、ウェブの改ざんを発見するだけでなく、さまざまなメリットをお客様にご提供します。

(1) 別途機器やソフトウェアの購入・インストールなどの運用管理は一切必要ありません。
(2) 自社のウェブサイトの情報（解析対象となるドメインとURL）を登録するだけで利用可能です。
(3) SaaS型ですのでメンテナンスは一切不要です。
(4) 問題検知時には、該当ページを安全なページに即座に切り替えます。
(5) 自社サイトの安全性をアピールする、gred証明書を提供。

gredセキュリティサービスを活用し、自社のウェブサイトの安全な運営と、セキュリティ対策におけるコスト削減を図ってください。次回は、gredセキュリティサービスが提供する、「ファイル解析機能」のご紹介をします。