ファイルをWebサービスでやり取りするとき、インターネットを通じてデータが送受信されます。便利な反面、Webサービスはさまざまな攻撃の対象になることがあり、サービス側がどんなセキュリティ対策を講じているかは重要な確認ポイントです。
この記事では、WAF(Webアプリケーションファイアウォール)をはじめとするWebセキュリティの仕組みについて、ファイル転送サービスを選ぶ視点からわかりやすく解説します。
Webサービスへの主な攻撃の種類
不正なWebリクエストによるサービスへの侵入
Webサービスには、通常の操作では行わないような不正なリクエストを大量に送りつける攻撃があります。フォームの入力欄や検索機能などに、悪意のある命令を紛れ込ませてデータを抜き取ろうとするケースがあります。サービス側がこうした異常なリクエストを検出・ブロックできるかどうかが、安全性を判断するポイントのひとつになります。
パスワードを総当たりで試す攻撃(ブルートフォース攻撃)
ブルートフォース攻撃とは、考えられるパスワードの組み合わせを機械的に大量に試し続け、認証を突破しようとする攻撃です。単純なパスワードほど突破されやすく、また試行回数を制限しない場合はリスクが高まるため、認証失敗の回数を制限する仕組みが必要になります。
正規ユーザーに見せかけた不正操作(CSRF攻撃)
CSRF(クロスサイトリクエストフォージェリ)とは、ログイン中のユーザーが意図しない操作を行わされる攻撃です。悪意のあるサイトを経由して、ログイン中の別サービスで操作が実行されてしまうケースがあります。Webサービス側がこうした不正リクエストを検知・拒否できるかどうかが重要です。
安全なサービスを選ぶために確認したい3つのポイント
1. WAF(Webアプリケーションファイアウォール)が導入されているか
WAFとは、Webアプリケーションへの不正なアクセスや攻撃を検出し、ブロックするためのセキュリティ機能です。不正なリクエストをフィルタリングすることで、不正なアクセスや既知の攻撃パターンを検知・遮断し、被害リスクを低減する役割を果たします。ファイル転送サービスを選ぶ際に、WAFが導入されているかどうかを確認すると安心です。
2. 認証失敗の回数制限など、総当たり攻撃への対策があるか
ブルートフォース攻撃への代表的な対策として、一定回数の認証失敗でアカウントをロックする仕組みです。ログインだけでなく、ダウンロードやアップロード時の認証にも同様の制限があるかを確認すると、より安全に利用できます。
3. CSRF対策・不正アクセス検知があるか
CSRF攻撃への対策として、サービス側で正規のリクエストかどうかを確認するCSRFトークン検証や、SameSite Cookie設定などが実装されているかどうかが判断材料になります。また、自動アクセスや不正操作への補助的な対策として、reCAPTCHAなどが導入されている場合もあります。こうした対策を組み合わせることで、不正な操作のリスクを低減できます。
よくある質問
Q. WAFとは何ですか?
A. WAF(Webアプリケーションファイアウォール)は、WebアプリケーションへのHTTP/HTTPSトラフィックを監視・フィルタリングするセキュリティ機能です。不正なリクエストや攻撃パターンを検出してブロックし、サービスへの不正侵入を防ぐ役割を担います。
Q. WAFがあれば安全ですか?
A. WAFはWebへの攻撃に対する重要な対策のひとつですが、これだけで完全に安全とはいえません。通信の暗号化・ダウンロード認証・ブルートフォース対策など、複数のセキュリティ対策が組み合わさることで、より総合的な安全性が確保されます。サービスを選ぶ際は、複数の観点でセキュリティ仕様を確認することをおすすめします。
Q. ブルートフォース攻撃とはどんな攻撃ですか?
A. パスワードの候補を大量に自動生成して次々と試し続け、認証を突破しようとする攻撃です。パスワードが単純であるほど短時間で突破される可能性が高くなります。認証失敗回数の上限設定(アカウントロック)があるサービスでは、こうした攻撃のリスクを抑えることができます。
Q. オクルリンクにはWAFが導入されていますか?
A. はい、オクルリンクではWAFを導入しています。不正侵入検知システム・ブルートフォース攻撃対策(認証失敗回数制限)・CSRF対策・reCAPTCHAなども実装されており、複数の仕組みでセキュリティを確保しています。
まとめ
ファイル転送サービスのセキュリティを確認する際は、以下のポイントに注目してみてください。
- WAF(Webアプリケーションファイアウォール)が導入されているか
- 認証失敗回数の制限など、ブルートフォース攻撃への対策があるか
- CSRF対策・不正アクセス検知があるか
- WAFだけでなく、複数のセキュリティ対策が組み合わされているか