Webアプリケーションセキュリティとは?

Webアプリケーションのセキュリティは、あらゆるビジネスにとって重要です。一般的なWebアプリケーションの脆弱性とその軽減方法について学ぶ。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • Webアプリケーションセキュリティのコアコンセプトを学ぶ
  • 一般的なWebアプリの脆弱性/悪用事例を調べる
  • 脅威を軽減する一般的な方法を理解する

関連コンテンツ

データ漏えいとは?

中間者攻撃

バッファオーバーフロー

SQLインジェクション

HTTPSを使用する理由とは?

記事のリンクをコピーする

Webアプリケーションセキュリティとは?

Webアプリケーションのセキュリティ

Webアプリケーションセキュリティは、Webベースのビジネスの中心的なコンポーネントです。インターネットのグローバルな性質により、Webプロパティはさまざまな場所、規模、複雑性を持つ攻撃にさらされています。Webアプリケーションのセキュリティは、特にWebサイト、Webアプリケーション、APIなどのWebサービスを取り巻くセキュリティを扱います。

一般的なWebアプリのセキュリティ脆弱性とは?

Webアプリに対する攻撃は、対象を絞ったデータベース操作から大規模なネットワークの中断にまで及びます。一般的に利用される攻撃または「ベクトル」の一般的な方法のいくつかを調べてみましょう。

  • クロスサイトスクリプティング(XSS -XSSは、攻撃者がクライアント側のスクリプトをWebページに挿入して、重要な情報に直接アクセスしたり、ユーザーになりすましたり、ユーザーをだまして重要な情報を開示させたりできる脆弱性です。
  • SQLインジェクション(SQi)-SQiは、攻撃者がデータベースが検索クエリを実行する方法の脆弱性を悪用する方法です。攻撃者はSQiを使用して、不正に情報へのアクセスを取得したり、ユーザー権限を変更したり新たに作成したり、機密データを操作したり破壊したりします。
  • サービス拒否(DoS) および分散型サービス拒否(DDoS)攻撃 -さまざまなベクトルにより、攻撃者は標的となるサーバーまたはその周辺インフラストラクチャをさまざまな種類の攻撃トラフィックによって過負荷にすることができます。サーバーが着信要求を効果的に処理できなくなると、サーバーの動作が遅くなり、最終的に正当なユーザーからの着信要求に対するサービスが拒否されます。
  • メモリ破損-メモリ破損は、メモリ内のロケーションが意図せずに変更されると発生し、ソフトウェアで予期しない挙動が発生する可能性があります。不正な行為者は、コードインジェクションやバッファオーバーフロー攻撃などの搾取を介して、メモリの破損を探り出し、悪用しようとします。
  • バッファオーバーフロー-バッファオーバーフローは、ソフトウェアがバッファと呼ばれるメモリ内の定義されたスペースにデータを書き込むときに発生する異常です。バッファの容量がオーバーフローすると、隣接するメモリロケーションがデータで上書きされます。この挙動を悪用して、悪意のあるコードをメモリに挿入し、標的となるマシンに脆弱性を作成する可能性があります。
  • クロスサイトリクエストフォージェリ(CSRF)クロスサイトリクエストフォージェリでは、被害者をだまして、自身の認証または許可を利用するリクエストを作成させます。ユーザーのアカウント権限を活用することにより、攻撃者はユーザーを装ったリクエストを送信できます。ユーザーのアカウントが侵害/危害を受けると、攻撃者は重要な情報を盗み出し、破壊、または変更できます。管理者や役員などの高い権限を持つアカウントは、一般的に標的にされます。
  • データ漏えい-特定の攻撃ベクトルとは異なり、データ漏えいは、機密情報の開示を指す一般的な用語であり、悪意のある行為または過誤により発生する可能性があります。データ漏えいと見なされる範囲はかなり広く、ごく少数の非常に貴重な記録から、何百万ものユーザーアカウント情報の流出まで含まれます。

脆弱性を軽減するためのベストプラクティスとは?

Webアプリを悪用されないよう保護するための重要な手順には、最新の暗号化の使用、適切な認証の要求、発見された脆弱性に対する継続的なパッチ適用、ソフトウェア開発における適切な環境管理などがあります。実際には、巧妙な攻撃者はかなり堅牢なセキュリティ環境でも脆弱性を見つける可能性があるため、総合的なセキュリティ戦略をとることが推奨されています。

Webアプリケーションのセキュリティは、DDoS、アプリケーション層、およびDNSを攻撃から保護することにより改善できます。

WAF-アプリケーション層攻撃に対する保護

WebアプリケーションファイアウォールまたはWAFは、悪意のある HTTP トラフィックからWebアプリケーションを保護するのに役立ちます。標的とされるサーバーと攻撃者の間にフィルターバリアを配置することにより、WAFはクロスサイト偽造、クロスサイトスクリプティング、SQLインジェクションなどの攻撃から保護することができます。 CloudflareのWAFについての詳細をご確認ください。

DDOS WAFの仕組み

DDoS対策

Webアプリケーションを停止させるためによく使われる手口が、分散型サービス妨害攻撃(DDoS攻撃)です。Cloudflareは、エッジで帯域幅消費型攻撃トラフィックをドロップしたり、エニーキャストネットワークを使用してサービスを失うことなく正当なリクエストを適切にルーティングするなど、さまざまな戦略によってDDoS攻撃を軽減します。Cloudflareが提供する、DDoS攻撃からWebプロパティを保護する方法をご覧ください。

DNS増幅DDoS攻撃のアニメーション

DNSセキュリティ-DNSSEC保護

ドメインネームシステム(DNS)は、インターネットの電話帳であり、Webブラウザなどのインターネットツールが正しいサーバーをルックアップする方法を表します。不正行為者は DNSキャッシュポイズニング中間者攻撃およびその他のDNSルックアップライフサイクルに干渉する方法を利用してこのDNSリクエストプロセスをハイジャックしようとします。DNSがインターネットの電話帳であるとすると、DNSSECはなりすまし不可能な発信者IDです。Cloudflareを使用することでどのようにDNSルックアップを保護できるのかご確認ください。

セールス

Webアプリケーションセキュリティについて

一般的な脅威

VPNリソース

セキュリティ用語集

ラーニングセンターナビゲーション

© 2022 Cloudflare, Inc.プライバシーポリシー利用規約セキュリティの問題を報告信頼性と安全性商標