S&J

エスアンドジェイ
こちらの製品に関するお問い合わせはこちらから
MENU

S&J

エスアンドジェイ

Webサイトセキュリティ監視サービス

Webサイトの重要性

昨今、Webサイトは一昔前の会社のホームページや製品紹介だけにとどまらず、BtoCやBtoBといったEコマースや急増するモバイルサイトのコアシステムとして利用されています。

その一方でリスト型攻撃と呼ばれる新種の攻撃によって、“正常な”アカウントを利用してWebサイトから個人情報やポイントなどの詐取を行う巧妙な手口が一般的になっています。

Webサイトはその特性から情報が集約され、重要な情報が蓄積されていくものの、API連携によって自社以外のWebサイトと連携し、その境界線は曖昧になっています。

また、インターネットの秘匿性を利用する攻撃者としては“割のよい仕事”ができる可能性が高いため、ターゲットとなりやすいのが現状です。

Webサイトセキュリティ監視の重要性

一方、社内システムを考えてみると、MSSP(マネージメント・セキュリティ・サービス・プロバイダー)によってセキュリティ機器の監視を行うことが一般的になっています。Webサイトの監視は必要ないのでしょうか?Webサイトの監視がされてこなかった理由には以下のようなものがあげられます。

  • WAFやIPSなどセキュリティ製品による防御中心の考え方が主流であった
  • そもそもWebサイトのAPIやアプリケーション上のユーザのふるまいを監視する仕組みがなかった=リスト型攻撃のような攻撃がなかったため、必要でなかった
  • 企業によっては社内システムは情報システム部管理、Webサイトは事業部管理といったように管理が分かれており、セキュリティ対策について意識が希薄であった

Webサイトの重要性とそれを狙う攻撃の高度化に伴い、Webサイトのセキュリティ監視が重要になってきています。そのためにはWebサイトを防御するセキュリティデバイスの監視だけではなく、WebサーバのAPIやアプリケーションの監視も合わせて必要になります。

Webセキュリティデバイス監視
  • Webサイトの防御機器(WAF/IPS)のログやアラートを用いた監視
+
Web関連サーバ監視
  • Webサイトの防御機器では防げない脅威に対する監視

Webサイトセキュリティ監視サービスのメニュー

Webサイトの重要性に応じて、2つのメニュー化を行っています。

最低限の監視を実現させたいWebサイト向けには、Webセキュリティデバイス監視となります。個人情報を多く保有する等で高いレベルの対策が求められるWebサイト向けには、Web関連サーバ監視となります。

Webセキュリティデバイス監視: Webサイトの防御機能(WAF/IPS)を用いた監視
  • <前提条件>
    1. WAF/IPSは遮断モードであること
    2. WAFの機能にリスト型攻撃検知が入っている場合は、それも監視対象とする
  • <監視する脅威と、対象ログ>
    1. アプリケーションに対する主要な攻撃:WAFブロックログ or IPSアラートログ
    2. OS/ミドルウェアに対する攻撃:IPSアラートログ
  • <報告内容>
    1. 攻撃内容や攻撃元の傾向について監視を行い、報告します。
Web関連サーバ監視: 防御機能で防げない脅威に対する監視
  • <選択する脅威の分類と、監視対象ログ>
    1. ① 不正ログイン後の攻撃監視(不正なポイント移動等): アプリログ
      ・監視内容:正規の動作でないものを定義し、不正な挙動がないか監視
    2. ② 内部不正監視(特権利用履歴):DBログ(SQL)
      ・監視内容:1日1回特権利用履歴を集計し、翌日報告
    3. ③ リスト型攻撃監視
      以下に列挙したログのうち、どれか1つを選択。列挙している順番で監視精度が高くなります。
      1.アプリログ(認証):認証失敗数を監視
       ・1分間に閾値を超える失敗がないか監視
      2.アクセスログ(Apache、IIS等):特定URL(ログイン)のアクセス数を監視
       ・1時間に閾値を超える失敗がないか監視
  • <協議事項>
    1. ログに含まれる個人情報のマスキングについては、転送前に行うかは協議とします

Webサイトセキュリティ監視サービス 監視構成イメージ

Webサイトセキュリティ監視サービスの運用フローイメージ