IT・技術研修ならCTC教育サービス

サイト内検索 企業情報 サイトマップ

研修コース検索

コラム

「Webガバナンス」のススメ

CTC 教育サービス

 [IT研修]注目キーワード   Python  Power Platform  最新技術動向  生成AI  Docker  Kubernetes 

第4回 Webサイト/アプリへの攻撃手段と今すぐ始められる5つの基本対策を解説!ポイントはWebガバナンス (穂苅 智哉) 2025年12月

このコラムでは、「Webガバナンス」をテーマに様々な切り口で、突っ込んだ内容までお届けしてみたいと思います。
今回は、皆さんお持ちのWebサイトやWebアプリケーションのセキュリティ対策です。その中でも大事な考え方として、「Webガバナンス」があります。

脆弱性攻撃が増加!Webセキュリティの現状

「また脆弱性の通知が来ている...」「このシステム、本当に安全なのだろうか?」など、自社のWebサイトやWebアプリケーションを運用されている担当者の方なら、こうした不安を感じたことがあるのではないでしょうか。

IPA(情報処理推進機構)が発表した「情報セキュリティ10大脅威 2025」(※1)では、組織向け脅威の1位が「ランサムウェアによる被害」2位が「サプライチェーンや委託先を狙った攻撃」、そして3位が「システムの脆弱性を突いた攻撃」ということでした。Webアプリケーションのセキュリティ対策は企業にとって喫緊の課題となっています。
(※1)https://www.ipa.go.jp/security/10threats/10threats2025.html

それでは、なぜWebサイトやWebアプリケーションを狙う攻撃は跡を絶たないのでしょうか。

理由の1つは、DXの推進により企業のあらゆる業務がWebアプリケーション化されてきていることです。顧客管理システム、在庫管理システム、社内ポータル、ECサイトなど、これらすべてがインターネットを通じてアクセス可能になることで、利便性が向上する一方、攻撃者にとっても標的が増えている状況です。

Webサイトで言えば、CMSを使っているケースが多いですが、日本語Webサイトの83%がWordPressで構築されているというデータもあります。(※2)。更に、日本の上場企業を見てもCMS、とりわけWordPressの利用が増えていることから、CMSサイトとカスタム開発されたWebアプリケーションを含めると、攻撃対象となるシステムは膨大な数に上ります。
(※2)https://w3techs.com/technologies/segmentation/cl-ja-/content_management

Webアプリケーション開発に置いては、多くのオープンソースライブラリやフレームワークを使った開発が主流です。これらの依存関係や利用する技術で脆弱性が見つかると、アプリケーションすべてに影響が及びます。

知っておくべきWebに関する主要な攻撃手段

まず、セキュリティ対策の第一歩は「敵を知ること」です。ここでは、Webアプリケーションで特に狙われやすい5つの攻撃手法をご紹介します。

1. クロスサイトスクリプティング(XSS)

比較的よく聞く攻撃手法の名前かと思いますが、とても危険なものです。

攻撃者が悪意のあるスクリプトをWebページに埋め込み、訪問者のブラウザ上で実行させる攻撃です。検索フォーム、コメント欄、入力フォーム、ダッシュボードなど、ユーザーが入力できるあらゆる箇所が狙われる可能性があります。

実際の被害例としては、訪問者のCookie情報を盗まれてセッションハイジャックされたり、管理画面へのアクセスを乗っ取られたりするケースがあります。特に会員制サイトやECサイト、業務システムでは、顧客情報や機密情報の漏洩につながる深刻な脅威です。

XSSには主に3つのタイプがあります。「反射型XSS」(リクエストに含まれるスクリプトが即座に実行される)、「格納型XSS」(データベースに保存されたスクリプトが表示時に実行される)、「DOM Based XSS」(クライアント側のJavaScriptの処理に起因する)です。それぞれ異なる対策が必要となります。

2. SQLインジェクション

こちらも有名な攻撃手法の名前です。

データベースに不正なSQL文を注入し、情報の窃取や改ざんを行う攻撃です。Webアプリケーションの検索機能、ログインフォーム、フィルター機能など、データベースとやり取りするあらゆる箇所が標的になります。

この攻撃が成功すると、データベース内のすべての情報(顧客情報、取引履歴、認証情報など)が流出する危険性があります。さらに、データの改ざんや削除、場合によってはサーバー全体の乗っ取りにつながることもあります。

2025年も、CMSやWebアプリケーションフレームワークの脆弱性を突いたSQLインジェクション攻撃が継続的に報告されています。特にレガシーシステムや、適切なプリペアドステートメントを使用していないアプリケーションは高リスクです。

3. クロスサイトリクエストフォージェリ(CSRF)

ユーザーの意図しない操作を強制的に実行させる攻撃です。例えば、管理者が悪意のあるリンクをクリックすることで、知らないうちにパスワード変更、権限変更、データ削除などが実行されてしまいます。

特に管理画面や重要な操作を行うページでCSRF対策が不十分な場合、大きな被害につながります。金融機関のサイトでは不正送金、ECサイトでは不正購入、業務システムでは権限の不正変更などが実際に発生しています。

近年のWebアプリケーションでは、トークンベースの認証(JWT等)が普及していますが、その実装が不適切な場合、CSRF攻撃に対して脆弱になる可能性があります。

4. ファイルアップロードの脆弱性

画像アップロード機能や文書管理機能などを悪用し、実行可能なファイル(PHPファイル、JSPファイル、実行形式ファイル等)をサーバーにアップロードする攻撃です。成功すると、攻撃者はサーバー上で任意のコードを実行できるようになり、完全にシステムを乗っ取られる可能性があります。

プロフィール画像のアップロード、資料の添付機能、商品画像の登録機能など、ファイルアップロードが可能な箇所すべてが潜在的な攻撃ポイントとなります。拡張子のチェックだけでは不十分で、ファイルの内容自体を検証する必要があります。

また、アップロードされたファイルのパスが予測可能な場合、直接URLでアクセスされて実行される危険性もあります。ファイルの保存場所やアクセス制御も重要な対策ポイントです。

5. 認証・認可の不備

パスワードの総当たり攻撃(ブルートフォースアタック)、脆弱なパスワードリセット機能の悪用、セッション管理の不備、不適切なアクセス制御など、認証・認可に関する脆弱性は多岐にわたります。

2025年も、Webアプリケーションへのブルートフォース攻撃は継続的に観測されており、特に「admin」「administrator」「test」などの一般的なユーザー名や、「password」「123456」といった脆弱なパスワードを使用しているシステムは格好の標的となっています。

また、APIの認証・認可の不備も深刻な問題です。適切な権限チェックが行われていない場合、本来アクセスできないはずのデータにアクセスされたり、操作を実行されたりする可能性があります。

今すぐ始められる5つの基本対策

攻撃手法を理解したところで、次は具体的な対策です。すべてを一度に実施するのは難しくても、できることから始めることが重要です。

1. システムとライブラリの定期更新

最も基本的ながら、最も重要な対策です。Webアプリケーションのフレームワーク、CMS、使用しているライブラリやミドルウェアの更新通知が来たら、可能な限り早く対応しましょう。ただし、本番環境での更新前には必ずステージング環境でテストを行い、互換性の問題がないか確認することをお勧めします。

更新のタイミングとしては、セキュリティアップデートは公開後24~48時間以内、マイナーアップデートは1週間以内、メジャーアップデートは会社のポリシー次第ですが何年も放置しない、を目安とすると良いでしょう。

特にオープンソースのライブラリやフレームワークを使用している場合、GitHub Dependabotなどの脆弱性監視ツールを活用し、依存関係の脆弱性を早期に検知する体制を整えることが重要です。

2. 不要な機能とサービスの無効化・削除

使用していない機能、テスト用のエンドポイント、開発時のデバッグ機能などは、無効化するだけでなく完全に削除しましょう。本番環境に不要なコードが残っていると、そこが脆弱性の温床となります。

定期的に(少なくとも四半期に一度は)システムの棚卸しを行い、以下を確認してください:

  • 未使用のAPIエンドポイント
  • デバッグモードやテスト用機能
  • 不要なプラグインやモジュール
  • 初期設定のサンプルデータやアカウント
  • 外部に公開する必要のない管理画面
3. 強固な認証・認可の実装
  • デフォルトのユーザー名やパスワードを変更する
  • 強力なパスワードポリシーの導入(最低16文字以上、英数字記号の組み合わせ)
  • 多要素認証(MFA/2FA)の導入
  • ログイン試行回数の制限とアカウントロック機能
  • セッションタイムアウトの適切な設定
  • ログイン通知や異常アクセスの検知機能
  • APIキーや認証トークンの適切な管理と定期的なローテーション

これらの対策により、ブルートフォースアタックやアカウント乗っ取りのリスクを大幅に軽減できます。

4. 定期的なバックアップと復旧テスト

万が一攻撃を受けた場合に備え、定期的な自動バックアップは必須です。しかし、バックアップを取得するだけでは不十分です。実際に復旧できることを定期的にテストすることが重要です。

バックアップ戦略のポイント:

  • データベースのフルバックアップ
  • アプリケーションコードとファイル
  • 設定ファイルと環境変数
  • バックアップデータの外部保管(サーバーとは別の場所、できれば異なるクラウドリージョン)
  • 復元手順の文書化と定期的な復元訓練(少なくとも半年に1回)
  • RPO(目標復旧時点)とRTO(目標復旧時間)の明確化

可能であれば、日次バックアップを推奨しますが、これはWebシステムやWebサイトの更新状況によって決めていいと思います。ただ、週次では実施したいところです。

5. WAF(Web Application Firewall)の導入検討

WAFは、Webアプリケーションレベルでの攻撃を検知・遮断するセキュリティ対策です。XSS、SQLインジェクション、CSRF、OSコマンドインジェクションなどの一般的な攻撃パターンを自動的にブロックしてくれます。

WAFには大きく3つのタイプがあります:

  • ネットワーク型WAF:オンプレミスに設置するハードウェアまたは仮想アプライアンス
  • ホスト型WAF:Webサーバーにインストールするソフトウェア
  • クラウド型WAF:SaaS形式で提供されるサービス(AWS WAF、Cloudflare、Akamai等)

中小企業や予算が限られている場合は、クラウド型WAFが導入しやすく、メンテナンスも不要でお勧めです。予算に応じてですが、検討する価値があります。

Webガバナンスにおけるセキュリティ整備のヒント

今回は、Webセキュリティの観点で攻撃手段とその対応策をお伝えしてきましたが、根本の大事な考え方としては「Webガバナンス」があります。

今回、主要な攻撃と基本対策をインプットできたと思います。その上で「じゃあ実際にどうやって進めていこう?」という段階ではWebガバナンスです。

Webガバナンスは、個別最適ではなく、全体最適を考えながら社内・組織内のWebに関するルール化、ガバナンス制定をしていくものです。セキュリティだけを見てしまうとそこに部分最適化された対策しか見えなくなってしまうため望ましくありません。

常に、全体最適を考えたうえでのWebガバナンスを意識して対策を取ることがおすすめです。

Webガバナンスについては、最終的に「Webガバナンスガイドライン」のようなものを自社用で整備していき、ブラッシュアップをし続けていくことが良い社内統制となるでしょう。

セキュリティに関しては、なかなか専門知識を持っている人が少ない分野でもあります。このコラムを掲載しているCTC教育サービスでは、Webセキュリティに関するコースを提供しています。Webガバナンスの一環で、Webセキュリティに関する基礎知識を習得し、社内のガバナンスルールとして形にしていくことは非常に大事なことだと考えています。

ご興味ある方は、こちらのリンクを御覧ください。

 

IT研修はCTC教育サービス

AWS Microsoft Azure 生成AI

Python Power Platform

コンテナ その他(研修を分野から探す)

前回のコラム
「第3回 Webガバナンスで重要なポイントの1つが「セキュリティ」 ~皆さんWebの統制取れていますか?~」

CTC教育サービス 関連コース

 [IT研修]注目キーワード   Python  Power Platform  最新技術動向  生成AI  Docker  Kubernetes 

「「Webガバナンス」のススメ」コラム一覧へ

コラム一覧へ