Akamai Diversity

Akamai Japan ブログ

Webサービス提供側と利用側のセキュリティ

インターネットの発達およびそれに関わる技術の進歩により、インターネットを活用したサービスが増え、便利な一方でセキュリティインシデントも後を絶ちません。ニュースなどで一般に公開されているセキュリティインシデントは「氷山の一角だ」なんて事もよく耳にされるかと思います。

今回はWebセキュリティに関して、攻撃をする側の視点を交えてサービスを提供する側と利用する側のセキュリティについて考えてみたいと思います。
まずはWebにおける攻撃対象となり得る領域(Attack Surface)と攻撃をする側はどんなことをしているのか簡単に触れていきます。

Webにおける攻撃対象となり得る領域(Attack Surface)

単純にWebに対する攻撃と言っても、様々な種類の手法がありそれぞれの手法で悪用する箇所は異なります。Webサービスでは大きく以下の4つが攻撃対象となり得る領域になります。
1) Webサーバー
2) アプリケーションロジック
3) データベース
4) ブラウザ (クライアント)

WebApplication_workflow_v3.png

図1. WebApplication実行の流れと攻撃対象となり得る領域

攻撃をする際のフェーズ

攻撃側にとっては情報収集をして実際に攻撃をするという中で、大きく以下のフェーズを実行します。
1) Reconnaissance(偵察)
  - ターゲットについての情報収集をするための探査を行う準備フェーズ
2) Mapping
  - サーバー、サービスの検出および識別をするためのフェーズ
3) Discovery
  - 具体的な脆弱性を特定するためのScanningフェーズ
4) Exploitation
  - 1) - 3) のフェーズで収集した情報を基に実際に攻撃をするフェーズ

このようにターゲットのパブリックな情報から具体的に稼働しているソフトウェア、アプリケーションの構成などから脆弱性を特定し、最終的に攻撃が実行される傾向にあります。

セキュリティ対策の考え方

Webサービスの攻撃側面と攻撃側の視点を踏まえ、Webサービス提供側と利用側の双方の観点で具体的にセキュリティ対策の方法について考えていきます。

Webサービス提供側のセキュリティ
インターネットのセキュリティにおいて「これをやっておけば100%安心だ」と言えるものはありません。そのため、いかに攻撃されるリスクを小さくするかというのがポイントです。では、どのようにしたらリスクを小さくできるかという点では攻撃する側のROIを下げる(ROIを下げて諦めさせる)というのもひとつの考え方です。
例えば、Akamaiでご提供しているセキュリティソリューションでは「攻撃をする際のフェーズ」でご説明した各フェーズにおいて、対策および緩和させることが可能です。
まず、Akamaiのソリューションが導入されたサイトには80/443ポートの通信しか許可しません。この時点である程度の偵察/Mapping行為を緩和することが可能です。80/443ポートへの偵察/Mapping行為については、アプリケーションの構成や隠れた機能の把握がなされる場合が多く、全ページへスクレピングするようなアクセスが多い傾向にあります。こういった行為に対してはRate Controlと呼ばれる機能により遮断することが可能です。Discoveryフェーズについては具体的な脆弱性を特定するためのScan行為が多く、実攻撃と似たようなリクエストが送られる傾向にあります。そのためWAF機能により検知/遮断が可能です。ExploitationフェーズにおいてもWAF機能で検知/遮断が可能です。

※Rate Control: セキュリティソリューションで提供している機能のひとつで、閾値を超える量のリクエストを遮断

how_to_decrease_ROI.png
図2. 攻撃者のROIを下げる

Webサービス利用側のセキュリティ
例として、交通安全について考えてみます。交通安全の施策として信号や横断歩道が配備され、各ルールが定められているかと思います。しかし、どんなに設備やルールがしっかりしていても、それを利用する側が不注意や違反による危険な運転をしてしまっては交通安全は実現しません。Webサービスにおいても同じことが言え、利用者が少し気を使うことでセキュリティ性を向上させることができます。例えば以下のようなことを日々意識するだけでも変わってきます。

1) ログインを伴うサイトではhttpsであることとエラーがないことを確認する
2) ログインを伴うサイトとそうでないサイトでブラウザを使い分ける
3) 特定のサービスにログイン中に他のサイトを見ない
4) サービスの利用が終わったら意図的にログアウトをする

これらの対策は特に「Webにおける攻撃対象となり得る領域」でご説明したブラウザ (クライアント)を対象とした攻撃に効果的です。

さいごに

本稿ではWebサービスの攻撃側面と攻撃側の視点から見えるひとつのセキュリティ対策の方法についてご紹介いたしました。セキュリティは交通安全の実現と同じでサービス提供側と利用側の双方の努力により実現していく必要があります。利用側のセキュリティは皆様に寄り添っていただく必要がありますが、提供側のセキュリティはAkamaiでご協力できる部分になります。本稿が皆様のセキュリティ対策を考える上での一助となれたら幸いです。

Leave a comment