Webアプリケーションセキュリティとは?

Webアプリケーションのセキュリティは、あらゆるビジネスにとって重要です。一般的なWebアプリケーションの脆弱性とその軽減方法について学ぶ。

Share facebook icon linkedin icon twitter icon email icon

Webアプリケーションのセキュリティ

学習目的

この記事を読み終えると、以下のことができます。

  • Webアプリケーションセキュリティのコアコンセプトを学ぶ
  • 一般的なWebアプリの脆弱性/悪用事例を調べる
  • 脅威を軽減する一般的な方法を理解する

Webアプリケーションセキュリティとは?

Webアプリケーションのセキュリティ

Webアプリケーションセキュリティは、Webベースのビジネスの中心的なコンポーネントです。インターネットのグローバルな性質により、Webプロパティはさまざまな場所、規模、複雑性を持つ攻撃にさらされています。Webアプリケーションのセキュリティは、特にWebサイト、Webアプリケーション、APIなどのWebサービスを取り巻くセキュリティを扱います。

一般的なWebアプリのセキュリティ脆弱性とは?

Webアプリに対する攻撃は、対象を絞ったデータベース操作から大規模なネットワークの中断にまで及びます。一般的に利用される攻撃または「ベクトル」の一般的な方法のいくつかを調べてみましょう。

  • クロスサイトスクリプティング(XSS -XSSは、攻撃者がクライアント側のスクリプトをWebページに挿入して、重要な情報に直接アクセスしたり、ユーザーになりすましたり、ユーザーをだまして重要な情報を開示させたりできる脆弱性です。
  • SQLインジェクション(SQi)-SQiは、攻撃者がデータベースが検索クエリを実行する方法の脆弱性を悪用する方法です。攻撃者はSQiを使用して、不正に情報へのアクセスを取得したり、ユーザー権限を変更したり新たに作成したり、機密データを操作したり破壊したりします。
  • サービス拒否(DoS) および分散型サービス拒否(DDoS)攻撃 -さまざまなベクトルにより、攻撃者は標的となるサーバーまたはその周辺インフラストラクチャをさまざまな種類の攻撃トラフィックによって過負荷にすることができます。サーバーが着信要求を効果的に処理できなくなると、サーバーの動作が遅くなり、最終的に正当なユーザーからの着信要求に対するサービスが拒否されます。
  • メモリ破損-メモリ破損は、メモリ内のロケーションが意図せずに変更されると発生し、ソフトウェアで予期しない挙動が発生する可能性があります。不正な行為者は、コードインジェクションやバッファオーバーフロー攻撃などの搾取を介して、メモリの破損を探り出し、悪用しようとします。
  • バッファオーバーフロー-バッファオーバーフローは、ソフトウェアがバッファと呼ばれるメモリ内の定義されたスペースにデータを書き込むときに発生する異常です。バッファの容量がオーバーフローすると、隣接するメモリロケーションがデータで上書きされます。この挙動を悪用して、悪意のあるコードをメモリに挿入し、標的となるマシンに脆弱性を作成する可能性があります。
  • クロスサイトリクエストフォージェリ(CSRF)クロスサイトリクエストフォージェリでは、被害者をだまして、自身の認証または許可を利用するリクエストを作成させます。ユーザーのアカウント権限を活用することにより、攻撃者はユーザーを装ったリクエストを送信できます。ユーザーのアカウントが侵害/危害を受けると、攻撃者は重要な情報を盗み出し、破壊、または変更できます。管理者や役員などの高い権限を持つアカウントは、一般的に標的にされます。
  • データ漏えい-特定の攻撃ベクトルとは異なり、データ漏えいは、機密情報の開示を指す一般的な用語であり、悪意のある行為または過誤により発生する可能性があります。データ漏えいと見なされる範囲はかなり広く、ごく少数の非常に貴重な記録から、何百万ものユーザーアカウント情報の流出まで含まれます。

脆弱性を軽減するためのベストプラクティスとは?

Webアプリを悪用から保護するための重要な手順には、最新の暗号化の使用、適切な認証の要求、発見された脆弱性への継続的なパッチ適用、およびソフトウェア開発における適切な環境管理が含まれます。現実には、巧妙な攻撃者はかなり堅牢なセキュリティ環境でも脆弱性を見つけることができる可能性があるため、全体的なセキュリティ戦略が推奨されます。

Webアプリケーションのセキュリティは、DDoS、アプリケーション層、およびDNS攻撃からの保護により改善できます

WAF-アプリケーション層攻撃に対する保護

WebアプリケーションファイアウォールまたはWAFは、悪意のある HTTP トラフィックからWebアプリケーションを保護するのに役立ちます。標的とされるサーバーと攻撃者の間にフィルターバリアを配置することにより、WAFはクロスサイト偽造、クロスサイトスクリプティング、SQLインジェクションなどの攻撃から保護することができます。 CloudflareのWAFについての詳細をご確認ください。

DDOS WAFの仕組み

DDoS対策

Webアプリケーションを中断するためによく使用される方法は、分散型サービス拒否攻撃(DDoS攻撃)です。Cloudflareは、エッジで帯域幅消費型攻撃トラフィックをドロップしたり、Anycast Networkを使用して正当なリクエストをサービスを失うことなく適切にルーティングするなど、さまざまな戦略によってDDoS攻撃を軽減します。Cloudflareが提供する、DDoS攻撃からWebプロパティを保護する方法をご覧ください。

DNS増幅DDoS攻撃のアニメーション

DNSセキュリティ-DNSSEC保護

ドメインネームシステム、DNSはインターネットの電話帳であり、Webブラウザなどのインターネットツールが正しいサーバーを検索する方法を表します。悪意のある行為者は DNSキャッシュポイズニング中間者攻撃およびその他のDNSルックアップライフサイクルに干渉する方法を利用してを通してこのDNSリクエストプロセスをハイジャックしようとします。DNSがインターネットの電話帳であるとすると、DNSSECはなりすまし不可能な発信者IDです。Cloudflareを使用することでどのようにDNSルックアップを保護できるのかご確認ください。