デジタル経営を自主トレしよう。 > 2022年

中小ビジネスの情報セキュリティ対策もまずは診断から

お知らせ 2022.05.26

常に求められるセキュリティ対策

 メールでのやり取りや自社のWBサイトを使っている限り、セキュリティ対策を怠ってはいけません。昨年末辺りから、メール添付ファイルによるEmotetの活動再開が確認され、2022年2月ごろから更に活発になっているようです。

IPA 情報処理推進機構 「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて

セキュリティ対策に終わりはない

 セキュリティ対策は、何を、どこまでやったら良いのか、正解がわからないことが多いと思います。そもそもセキュリティ対策に終わりはなく、新しいサイバー攻撃やマルウェアが出てくれば、新たな対策を打たなければなりません。また、情報セキュリティの分野は専門性も高く、意味が理解できずに、諦めてしまうケースも少なくないのではないでしょうか。

 最初から完璧な対策を目指さず、まずは、できることから取り組むことが重要です。

 デジトレ診断もWEBアプリケーションを使ったオンライン診断を提供しています。誰でもアクセスできるWEBサイトやアプリケーションは、それだけリスクに晒されていることになります。ここ数ヶ月間のマルウェア増加の状況を踏まえ、できることに取り組みました。

 今回の対策は新しいツールなどのコストをかけることなく実施できました。みなさんの参考にもなるかと思い、実施した内容を共有していきます。

無償ツールを使った脆弱性診断

 今回、WEBセキュリティ対策の第一歩として、自社のWEBサイトのどういったところにリスクがあり、何の対策が必要なのかを知るため、デジトレ診断を含む当社のサイトの脆弱性診断を試してみました。

脆弱性診断に使ったのは無償で使えるOWASP ZAPというツールです。

OWASP ZAP

脆弱性診断のために行った手順は次の通りです。

  1. 診断用の環境を作成
  2. 脆弱性診断ツールをインストール
  3. 脆弱性診断の実施
  4. レポートの抽出

1.診断用の環境を作成

 脆弱性診断は、公開されているWEBサイト(本番環境)に影響が出ないように、検証環境など別の環境を使用します。今回は、PC上に診断用の環境を構築しました。WordPressを使ってホームページを作っている会社も多いと思いますが、Word PressをPC上に作るツールが存在します。今回はLocalというツールを使いました。

Local

2.脆弱性診断ツールをインストール

 脆弱性診断ツールOWASP ZAPをダウンロードしてインストールします。インストール作業はウィザード画面の指示に従って行えば数分で完了します。インストール後、OWASP ZAPを起動します。

OWASP ZAPの画面

3.脆弱性診断の実施

 OWASP ZAPで検証用のサイトを指定して脆弱性診断(SCAN)を実施します。サイトの容量によっては診断には時間がかかります。今回はスキャンに4時間以上かかりました。

4.診断レポートを抽出

 脆弱性診断の完了後、OWASP ZAPのレポート生成機能から診断レポートを作成します。HTMLファイルで抽出が可能です。今回のレポートでは、リスクのレベル「High」が1件、「Medium」が3件、「Low」が5件という結果となりました。

アラート件数のサマリー

 「High」として検出されたものは「SQLインジェクション」のリスクでした。

タイプ別アラート件数

できることから対策

 WordPressで取り得るSQLインジェクションの対策としては次のような対策があげられています。
参考:安全なウェブサイトの作り方 SQLインジェクション IPA 

  1. 入力値を制限する
  2. 入力値をいったん変数に格納する
  3. エスケープ処理、サニタイジングを行う
  4. .NET LINQ、PL/SQLなどロジックの中にソースコードとしてSQLを記述できる開発言語を選ぶ
  5. 常に最新の環境を保つ
  6. セキュリティソフトWAFを導入する
  7. データベースサーバのログの監視/解析

 1~4の対策は、アプリケーション開発における対策です。当社ではゼロから開発したアプリケーションではなく、サービスを使っているため、自ら対策を打つことはできません。Word Pressのプラグインで提供されているアプリケーションサービスに脆弱性がないことを改めて確認しました。

 5.の対策については、常に更新を確認し、最新へのアップデートを対策済みです。

 6~7の対策として、レンタルサーバの機能としてはWAFが提供されていたため、影響を検証した上でWAFを有効化しました。機能の中にログ監視機能も含まれるため、今後も定期的な確認を実施します。

まとめ

 今回実施した脆弱性診断ツールですべてのリスクを発見できるわけではありません。ただ、1つの診断結果としてどういったリスクがあり、対策が必要なのかヒントを入手することはできました。また、運良くコストをかけずに対策まで実施できました。もちろん、これで終わりではないため、継続してセキュリテイの情報収集をしながら、対策していきたいと思います。