アカマイ・テクノロジーズは同社の有する世界規模のCDN(Contents Delivery Network)プラットフォームをベースにしたユニークなセキュリティ対策を実現している。インターネットのエッジサーバーが盾となり、DDoS攻撃やリスト型攻撃からWebサイトを守るというものだ。(日経コミュニケーション)

 企業の情報セキュリティ対策と言えば、これまでは内部情報の流出防止に重点が置かれることが多かった。しかし昨今のサイバー攻撃は Webサイトのような企業とインターネットの接点を介して、企業活動に損害を与えようと試みる。攻撃者の主な目的は大きく3つある。

(1)内部情報を盗み出そうとするもの:Webシステムの背後にある企業の機密情報や顧客の個人情報を盗み出そうとするもの。攻撃手法にはデータベースへのアクセスを試みるSQLインジェクション、2014年に猛威を振るったリスト型攻撃、Webシステムを構成するソフトウエアの脆弱性を狙った攻撃─などがある。

(2)Webサイトの改ざん:Web所有者の面子をつぶすような主義主張の書き込み、Web閲覧者のパソコンにマルウエアを仕掛けて情報を盗み出す、Webサイトそのものを攻撃用の踏み台にする─などの被害が報告されている。

(3)サイトの運営を妨害するもの:ショッピングサイトやライブイベントなど高い経済的価値があるWebサイトに対し、運営を妨害することにより損害を発生させようとするもの。攻撃対象のWebサーバーに処理容量を大きく上回る処理要求を投げつけ、過負荷状態にするDDoS攻撃が代表例である。

 図1に一般企業の公開Webシステムの構成と典型的なWeb攻撃の様子を示した。Webサイトから情報を盗み出そうとする攻撃、あるいはサイトの中身を書き換えようとする攻撃では、消費者に提供している情報入力フォーム(商品選択の各種パラメーターやコメント入力など)が利用されることが多い。そこへデータベース操作コマンド(SQL)やスクリプトと呼ばれる簡易なプログラムが入力され実行されることで、情報漏洩やサイト改ざんが発生してしまう。

図1●一般的な企業の公開Webサーバーに対する攻撃例
図1●一般的な企業の公開Webサーバーに対する攻撃例
対策としてIPSやWAFの設置例が増えている。
[画像のクリックで拡大表示]

 情報入力フォームがないWebサイトであっても、システムを構成するソフトウエア(OSや通信用ミドルウェア、コンテンツ管理システムなど)の脆弱性が明らかになると、それらを狙った攻撃(ゼロデイ攻撃)が急増する。対策としては脆弱性対策を施したソフトウエアにバージョンアップすること。ただ現実には早期の実行が難しい場合もある。そのときはWAF(Webアプリケーションファイアウォール)が有効となる。