セキュリティとストレージのリーディングカンパニー|バラクーダ > ブログ > Web Application Firewall > HTTPSを有効にするだけではWebアプリケーションのセキュリティ保護はできない

HTTPSを有効にするだけではWebアプリケーションのセキュリティ保護はできない
TUSHAR RICHABADAS

2016年11月10日

ここ数年、個人情報に対する不安が増し、ハッキング攻撃が多発した結果、HTTPSを導入する企業が急増しています。HTTPSが急速に普及した背景には、アプリケーションの安全性をユーザに提示したいというニーズと、PCI-DSSなどの標準へのコンプライアンスニーズが存在します。さらに、GoogleがHTTPSサイトの検索順位を優遇することを発表し、簡単に使用できるツールが手に入るようになったことも、HTTPSの普及が加速した要因になっています。

このようなHTTPS普及の加速は、インターネットセキュリティにとっては強力なプラス要因です。ユーザ名とパスワードが暗号化されるので、Webトラフィックのスニッフィングで転送データを傍受できなくなり、ユーザがサイトで実行する処理も外に漏れません。ユーザはサイトの証明書の有効性をチェックできますし、セキュリティの問題があるサイトに接続しようとすると警告メッセージが表示されます。ところが、HTTPSに飛びついた企業の中には、HTTPSを誤解しているケースもあります。このようなWebサイトが、ここ数週間で明らかになっています。

有名なセキュリティエキスパートであるトロイ・ハント(Troy Hunt)氏は自身のブログで、機密性の高いユーザデータが流出しているオンラインショップ2店を指摘しています。そのうちの1店は、Webサイトで特殊な「機能」を使用していました。支払時にメールアドレスを送信すると、ログインしていない状態でも、顧客アカウントの配送先情報がWebサイトに表示されたままになるのです。つまり、Webサイトに任意のメールアドレスを送信し、それがWebサイト上に存在する場合には、顧客の配送先情報(携帯電話の番号など)が表示されてしまいます。

以上の内容をショップに通知すると、以下のような返答が来ました。

SSLで暗号化されたデータはインターセプトできない」という部分は、ほぼ正しいといえます。ただしこれが正しいのは、ユーザとサーバ間の接続を盗聴している場合に限定されます。このサイトでは、Webブラウザで直接接続し、有効なメールアドレスを入力するだけで、個人情報を簡単に取得できてしまうのです。実際、誰でもメールアドレスを簡単に見つけられますし、必要な情報を手に入れることができます。

このような「機能」は、個人情報にとって大きな脅威です。「ハッキング」しなくても、ユーザデータがいとも簡単に手に入ってしまうのですから。さらに恐ろしいのは、「HTTPSを導入するだけでサイトとユーザを保護できる」という間違った思い込みです。HTTPSで可能なのは、トラフィックの暗号化による盗聴防止のみであり、このようなタイプの設定ミスへの対策を講じることはできません。Webサイトに便利な機能を追加する場合は、個人情報に及ぼす影響/認証機能とのバランスを考える必要があります。

このようなWebサイトは、ユーザの個人情報だけでなく、ビジネスに影響を及ぼしかねません。たとえば、ライバル会社が自社のメールアドレスのリストを自動照合し、ユーザデータをスクレ−ピングして宣伝キャンペーンに利用することも可能です。さらに、何の対策も行わずこのままの状態で放置すれば、個人情報保護法違反に問われる可能性もあるでしょう。

HTTPSは、今日のインターネットでWebサイトやアプリケーションを運用する企業が満たすべき要件です。ユーザの個人情報とデータ窃取が重視されるようになり、さまざまな攻撃を簡単に防御できユーザを保護できる機能が登場しています。ところが、あらゆる攻撃に対抗できる万能策はありません。Webアプリケーションの運用者とユーザは、Webセキュリティ原則に従って万全な保護対策を講じる必要があります。

バラクーダネットワークスは、Webアプリケーションを簡単にセキュリティ保護できる方法を提案しています。Barracuda Web Application Firewallがあれば、Webアプリケーションを簡単に保護し、安心して運用できます。WebアプリケーションをBarracuda Web Application Firewallで保護すれば、HTTPSフロントエンドを簡単にセットアップでき、完全なアプリケーションセキュリティが実現します。Barracuda Web Application Firewallの完全なセキュリティ保護機能は、あらゆるWeb攻撃(DDoSやWebスクレイピングなど)に対抗できます。また、物理アプライアンス、仮想アプライアンス、Azure、AWS、vCloud Airをはじめ、複数の導入オプションが用意されています。お客様の環境で30日間無料でお試しいただけます。

今年の初め、バラクーダネットワークスはBarracuda Vulnerability Managerを発表しました。これはWebサイトやアプリケーションに存在する脆弱性を評価するツールであり、Barracuda Web Application Firewallと簡単に統合できます。このツールは、バラクーダネットワークスのお客様と認定リセラーを対象に、期間限定で無償で提供されます。今すぐ、Barracuda Cloud Controlでお試しいただけます。


タッシャー・リチャバダス(Tushar Richabadas)は、Barracuda Web Application Firewallチームのプロダクトマネージャであり、インドオフィスで働いています。タッシャーにつながりたい方は、LinkedInからどうぞ。

※本内容はBarracuda Product Blog 2016年9月28日Simply turning on HTTPS does not secure your web applicationを翻訳したものです。


コラム(バラクーダブログ)一覧へ

お問い合わせ

CONTACT