• 株式会社KDDIウェブコミュニケーションズ
  • CPIエバンジェリスト
  • 阿部 正幸

大量リクエスト、実は不正アクセスかも? 自社サイトを効率よく守る方法とは

今回のソリューション:【Incapsura/インカプスラ】

近年、外部からの攻撃によりWebサイトが乗っ取られ、個人情報等が流出する事件が後をたたない。大企業の事例が注目されがちだが、アクセス数の少ないWebサイトもWWW公開直後から攻撃の対象だ。

セキュリティソフトを導入している方はログを確認いただくと、毎日大量の不正なトラフィックが検出されるはずだ。不正なBotやログインなどのアクセス形跡があれば、それはつまり…

株式会社KDDIウェブコミュニケーションズのホスティングブランドCPIでエバンジェリストとして様々な講演活動などを行う阿部 正幸さんは、Webサイトのセキュリティについての一般的な意識の低さに警鐘を鳴らす。

もはや身近な危険と言えるハッキングに対する対策として、阿部さんがお勧めするサービスのひとつが、クラウド型WAF(Webアプリケーションファイアウォール)サービスの「Imperva Incapsula」(以下Incapsula、インカプスラ)だ。

どんなWebサイトも、公開直後から不正アクセスの対象に!

Webサイトは、公開直後から狙われています。多くの人は知らないことだと思いますが、公開したその直後から、セキュリティホールがないかBotなどのツールで自動的に監視されています。

例えば弊社の「CPIスタッフブログ」のある週のアクセスですと、トータル24万リクエストあるうちの、人からのアクセスが18%で、残りの82%がBotからのアクセスでした。これはどういうことかというと、アクセスのほとんどがセキュリティに穴がないか、調査をしているツールだということです。

▼トータル24万リクエストのうち、なんと82%がBotからのアクセス

WWW公開直後から、これらのツールによりサイトは常に監視され、乗っ取られる危険に晒されています。たとえアクセス数の少ないサイトでも、目的のサイトを落とすための踏み台として利用されることもあります。「うちはアクセス数がないからいいや」と考えセキュリティ対策を怠ると、損害を被ることになるかもしれません。

セキュリティ対策を怠ると、損害賠償に発展する可能性も…

どんなサイトであれ乗っ取られる可能性はあります。東証一部企業など、有名なサイトが被害にあった事例は日本にもたくさんあります。

昨年は不正アクセスにより個人情報が流出し、システム開発を請け負った会社が損害賠償請求を求められる事例が発生しました。これまでにない事例に、業界には衝撃が走りました。セキュリティ対策を怠ることで、訴えられる可能性があるということです。

このような危険に対して私たちができることとして、「侵入経路を防ぐ」、「監視する」、「バックアップを取得する」の3点がとても重要です。何かあってからでは遅いので、事前にできることはしておくべきです。

「侵入経路を防ぐ」ということにフォーカスをあてると、XSS(クロスサイトスクリプティング)対策、CSRF(クロスサイトリクエストフォージェリ)対策、SQLインジェクション対策など、様々なことに注意する必要があります。

さらにこれらの対策は、攻撃手法が年々進化するため常にソースコードの診断や、プログラムのアップデートを行わなくてはなりません。もちろんプログラムのアップデートは必要ですが、すぐにアップデータができるかというとそうでもありません。

そこで今回紹介する「Incapsula」のようなクラウド型のWAFが昨今、注目を浴びています。

▼Webサイトを守るために、注目されているクラウド型WAF「Incapsula」

サイトを守ってパフォーマンスも最適化するIncapsula

Incapsulaの主な機能はWAFとCDNです。WAFは先ほどのSQLインジェクション攻撃や、DOS/DDoSアタックといった悪意のある攻撃を上位サーバーではじき、正常なアクセスだけを自社サイトに到達させてくれます。

もう1つのCDN(コンテンツ・デリバリー・ネットワーク)は、世界中に張り巡らされたキャッシュサーバーを通して、コンテンツにアクセスするユーザーに最も近いサーバーから効率的に配信を行う仕組みです。さらに、ロードバランシングやフェイルオーバーの機能も備えています。

大枠でいうと、セキュリティを担保し、パフォーマンスも最適化する。いい感じにブロックしてくれて、いい感じにキャッシュしてくれるというサービスです。

▼Webサイトを守りながら、パフォーマンスも上げることが可能

Incapsulaとの出会いは、パフォーマンスを上げるCDNとして

私は前職でプログラマーとしてWeb制作をしていましたが、もっと大きなプロジェクトに関わってみたい、自分でサービスやプロダクトを企画してみたいと思い、KDDIウェブコミュニケーションズに転職しました。

商品企画、販促などを担当し、現在はそれらを包括した弊社レンタルサーバー「CPI」のエバンジェリストとして活動しています。CPIスタッフブログの編集長や、様々なセミナーでの登壇活動を行っています。

Incapsulaと出会ったきっかけは、2年ほど前にCDNが流行ったことです。個人的に様々なサービスを比較検討する中で知りました。

当時はまだIncapsulaのようなCDNとWAFがセットになったサービスは珍しいものでした。WAF機能がメインのIncapsulaですが、コントロールパネルが使いやすく、そしてキャッシュ機能も十分な性能を発揮していると思いました。

実際に負荷テストを実施してみた結果、静的ファイルで秒間928リクエストのトラフィックをさばくことができました。1ヶ月で換算すると大体24億PVほどです。

動的生成しているCPIスタッフブログの場合でも秒間175リクエスト、月単位で言うと4億PVまでのトラフィックをさばくことが出来る計算となります。CDNとして高い実力があることが、テストによって分かりました。

WAFとしても優れたIncapsulaでサイトをリアルタイム監視

Incapsulaを使っていくうちに、WAFとしても優れていることがわかってきました。CPIスタッフブログにも毎日様々な攻撃があります。

Incapsulaは自社で研究機関を持ち、最新の攻撃手法を、攻撃検知するエンジンに常にアップデートを行っています。日々進化する攻撃に対して一度Incapsulaを導入することで、昔ながらの攻撃から、最新の攻撃までを防ぎます。

現在、弊社ではエンタープライズ版をCPIのサービスサイトにも導入しています。 今Incapsulaの管理画面を見ると、ほんの3分ほど前にも不正アクセスがあったことがわかります。チリから来ていますね…

これはおそらく、不正ログインしようとして手動で様々なアカウントIDとパスワードを試しています。「test」「info」「admin」といったIDが入力されています…こういったことがIncapsulaを使うと簡単にわかります。

▼Incapsulaを使うと、リアルタイムでアクセスを詳細に解析できる

Webサイトを運営されている方はログをきちんと見てください。以前に弊社のメールサーバーのログを解析したところ、1日に27万件もアタックがきていました。

不正にログインし、サイト内にフィッシングサイトへ誘導するスクリプトを埋め込んだり、ウイルスを送信するためのメールを配信したりしようとしています。まずはこのような事実を認識するべきだと思います。

自分たちのWebサイトは自分たちで守る!

IncapsulaはWAFとして申し分ない機能を持っている上に、UIも非常に優れています。日々の攻撃されている件数などが綺麗なグラフになるので、直感的に分かりやすく報告書などにも利用可能です。

価格についても、国内の大手のサービスと比較すると大体半額ほどで利用できます。無料プランもありますので、まずはどれくらいの不正アクセスが来ているかを見るだけでも良いかと思います。

よくわからないアクセスが来ていたり、個人情報を扱っていたりするような場合は、選択肢の1つとして是非Incapsulaを検討していただければと思います。(了)

;