Webサイトの安全性を確保するために、企業が取り得る手段とは何か。暗号アルゴリズムや攻撃の動向といった技術的な背景を踏まえて、具体策を探る。
インターネットは私たちのビジネスや生活に深く浸透し、多数のサービスが提供されている。クライアントPCやスマートフォン向けのアプリケーションも、インターネット接続を前提とすることが当たり前となった。
一方でインターネットの主要な要素であるWebは、サイバー犯罪者に狙われやすい面も持ち合わせている。インターネットの標準的なプロトコルであるHTTPは、現在のサイバー犯罪を考慮して設計されているわけではなく、なりすましや盗聴を防ぐ仕組みを持たない。インターネットを舞台とした犯罪が繰り返されているのは、その証左だ。
Webサイトの安全性を確保する代表的な手段としては、通信の安全性を確保する暗号化技術「SSL」「TLS」の採用によるHTTPS化が挙げられる。ただしそこで利用されているアルゴリズムによっては、安全性を十分に確保できない可能性がある。一方でWebアプリケーションの脆弱(ぜいじゃく)性を突く攻撃が頻繁に発生している現状を踏まえると、その対策にも目を向ける必要がある。
安全なWebサイトやWebサービスを運用し続けるために、企業は何をすればよいのだろうか。本稿では、2017年1月に東京・市ヶ谷で開催されたセミナー「SSL技術セミナー 〜SSLの仕組みを元に、効果の裏付けとトラブルの原因・対策を理解〜」の内容を基に、Webセキュリティの最新動向やサイバー攻撃の具体例、企業が取るべき対策などについて説明する。
提供:合同会社シマンテック・ウェブサイトセキュリティ
アイティメディア営業企画/制作:TechTargetジャパン編集部