BtoBサービス、SaaS、IT製品を徹底比較!企業のDX推進、課題を解決!

SFA JOURNAL by ネクストSFA

更新日:2024/09/18 

Webセキュリティとは? 必要になった背景や種類など基礎知識を詳しく解説

Webセキュリティとは? 必要になった背景や種類など基礎知識を詳しく解説

【監修】株式会社ジオコード マーケティング責任者
渡辺 友馬

誰もがインターネットを簡単に利用できるようになった現代において、Webセキュリティの徹底は必要不可欠になっています。企業が運用しているWebサイトも例外ではなく、安全な運用を行うにはWebセキュリティ対策が欠かせません。Webセキュリティとはどのようなもので、どのような種類があるのでしょうか。

本記事では企業のWebサイト運用をしている方のために、Webセキュリティの概要や必要になった背景、Webセキュリティで防げる脅威の種類やWebセキュリティの種類など基礎知識を解説します。企業のWebサイトは顧客と企業を結ぶ重要なツールです。自社のWebサイトを脅威から守り、適切な運用が行えるように、ぜひ本記事を参考にしてみてください。

おすすめのWebセキュリティサービス一覧

scroll →

会社名 サービス名 特長 費用 主なサービス
株式会社サイバーセキュリティクラウド 株式会社サイバーセキュリティクラウド 詳細はこちら 攻撃遮断くん
  • 一社通貫の万全なサポート体制で、稼働率99.999%・解約率約0.97%の圧倒的な運用力を誇る
  • 20,000サイト以上の豊富な導入実績あり! SBI証券や厚生年金基金などの金融機関からANA、PARCO、代ゼミまで規模や業界問わず幅広く対応
  • 万が一サイバー攻撃により損害を受けた場合に、最大1,000万円を補償する保険を付帯可能
1サイト月額11,000円~
※別途、初期導入費用がかかる
お問い合わせ
攻撃検知AIエンジン搭載
サイバー攻撃対策
サイバー保険付帯
株式会社スリーシェイク 株式会社スリーシェイク 詳細はこちら Securify
  • 初期費用0円・最短1営業日でワンストップのセキュリティ対策を開始できる
  • 簡単3ステップで、3300項目以上の診断を実施
  • シンプルかつストレスフリーな操作性
  • リリースやアップデート時に課金なしで何度も診断可能
Freeプラン:0円/月額
STARTERプラン:5万円/月額
BASICプラン:10万円/月額
※契約は年単位
お問い合わせ
Webアプリケーション診断
Wordpress診断
SaaS診断
株式会社アイロバ BLUE Sphere
  • WAFだけでは対処しきれないWebサイトのあらゆる脅威に、オールインワンのセキュリティサービスで対応
  • 他社を上回る機能を他社よりもリーズナブルに
  • 基本プランで全ての脅威に対処。WebサイトのSSL化にも無償で対応
~1.004TB 月額/45,000円
~5.022TB 月額/78,000円
~10.044TB 月額/154,000円
WAF
DDos攻撃からの防御
改ざん検知
DNS監視サービス
サイバーセキュリティ保険
ペンタセキュリティ株式会社 Cloudbric WAF+
  • WAFを超えた多彩な機能。クラウド型Webセキュリティプラットフォーム
  • 安心のサポートとユーザビリティ
  • 保護対象のFQDN数およびピーク時トラフィックの2つの条件の組み合わせで利用プランをご提案
  • 簡単3ステップでご利用開始
月額サービス料金
28,000円~

初期導入費用
68,000円~
WAFサービス
DDoS攻撃対策サービス
SSL証明書サービス
脅威IP遮断サービス
悪性ボット遮断サービス
バルテス株式会社 PrimeWAF
  • カンタン設定でしっかり防御
  • 状況がすぐにわかるダッシュボード
  • 月額料金も良心価格
1サイト限定プラン
初期費用 55,000円
0GB以上160GB未満 14,300円
160GB以上10TB未満 33,000円
10TB以上32TB未満 110,000円

サイト入れ放題プラン
初期費用 55,000円
0TB以上10TB未満 110,000円
10TB以上32TB未満 220,000円
ペネトレーションテストサービス
クラウド診断サービス
セキュアプログラミングのソフトウェア品質セミナー
WAF
EGセキュアソリューションズ株式会社 SiteGuard Cloud Edition
  • クラウド WAF だからカンタン導入・運用お任せ!
  • 圧倒的なコストパフォーマンス!
  • 信頼と実績の Web セキュリティ!
通信量 400GBまで
初期費用 ¥100,000
価格 (月額) ¥25,000

通信量 1TBまで
初期費用 ¥100,000
価格 (月額) ¥50,000

通信量 4TBまで
初期費用 ¥100,000
価格 (月額) ¥80,000

通信量 10TBまで
初期費用 ¥200,000
価格 (月額) ¥170,000

通信量 20TBまで
初期費用 ¥200,000
価格 (月額) ¥280,000

通信量 40TBまで
初期費用 ¥200,000
価格 (月額) ¥520,000
シグネチャ検査(更新、設定はマネージドサービスとして提供します。)
CMS設定(WordPress、Movable Type、EC-CUBEの運用に適した設定を行います。)
アクセス制御
国別フィルタ
ダッシュボード
レポート機能
専用フォーム(各種お問い合わせは専用フォームで承ります。履歴管理も可能です。)
Amazon Web Services, Inc. AWS WAF
  • ウェブトラフィックフィルタリング
  • AWS WAF Bot Control
  • アカウント乗っ取り詐欺の防止
  • アカウント作成詐欺防止
  • フル機能 API
  • リアルタイムの可視性
  • AWS Firewall Manager への統合
Web ACL 月あたり (時間で案分) USD 5.00
ルール 月あたり (時間で案分) USD 1.00
リクエスト USD 0.60/100 万件のリクエスト (最大 1500 WCU およびデフォルトの本文サイズの検査*)
Bot Control と Fraud Control 上記のタブによる追加費用
ウェブトラフィックフィルタリング
AWS WAF Bot Control
アカウント乗っ取り詐欺の防止
アカウント作成詐欺防止
フル機能 API
リアルタイムの可視性
AWS Firewall Manager への統合
株式会社ROCKETWORKS イージスWAFサーバセキュリティ
  • Webサーバ・Webサービスへの攻撃や不審な通信を自動で徹底ブロック
  • 最短即日・再起動も不要のカンタン導入
  • AWSをはじめ最新のクラウド環境にも対応
  • 人気ECサイト、Webサービスも安心の低負荷・低遅延
  • 日本人エンジニア執筆による「読んでわかる」レポートを毎月送付
イージスサーバセキュリティタイプ
月額/50,000円

イージスDDoSセキュリティタイプ
~2Mbps 初期費用/¥98,000 月額/¥40,000
~5Mbps 初期費用/¥98,000 月額/¥60,000
~10Mbps 初期費用/¥98,000 月額/¥120,000
~50Mbps 初期費用/¥198,000 月額/¥198,000
~100Mbps 初期費用/¥198,000 月額/¥250,000
~200Mbps 初期費用/¥198,000 月額/¥450,000
200Mbps以上 別途見積もり
サイバー攻撃の検出/遮断
月次レポート
サイバーセキュリティに関するアドバイザリー
法務相談(オプション)
SBテクノロジー株式会社 Imperva WAF
  • 自動学習機能による導入運用負荷軽減
  • 細かなポリシー設定
  • 簡単に導入可能
  • Imperva 独自の研究機関『ADC』
  • 仮想パッチの適用
- Web Application Firewall
株式会社セキュアスカイ・テクノロジー Scutum
  • かんたん導入 約1週間
  • おまかせ運用 運用不要、24時間365日フルサポート
  • 明快な料金 約3万円~
  • 安心の実績 稼働率は99.999%以上※2023年までの5年間の実績、12年連続シェアNo.1、年間500件以上の脆弱性診断
~500kbps 初期費用 98,000円 月額 29,800円
~5Mbps 初期費用 98,000円 月額 59,800円
~10Mbps 初期費用 98,000円 月額 128,000円

~50Mbps 初期費用 198,000円 月額 148,000円
~100Mbps 初期費用 198,000円 月額 198,000円
~200Mbps 初期費用 198,000円 月額 298,000円
200Mbps 初期費用198,000円 100Mbps毎に100,000円加算
1 ブロック機能 Webサイトに対する攻撃と思われる通信を遮断する機能
2 モニタリング機能 Webサイトに対する攻撃と思われる通信を記録する機能 (通信自体は遮断されません)
3 防御ログ閲覧機能 ブロック(モニタリング)した通信をログとして保存し、閲覧できる機能
4 レポート機能 下記の内容を管理画面上で報告する機能
 ・攻撃元(IPアドレス)top5
 ・攻撃種別top5
 ・防御ログの月別ダウンロード
5 ソフトウェア更新機能 防御機能等を向上させるため、ソフトウェアを更新する機能
6 防御ロジック更新機能 防御効果の向上を図るため、不正な通信パターンを随時最新の状態に更新する機能
7 特定URL除外機能 Webサイト中のWAF機能を利用したくない箇所を防御対象から除外する機能
8 IPアドレスの拒否/許可設定機能 特定のIPアドレスからの通信を拒否、もしくは特定のIPアドレスからの通信のみ許可する機能
9 脆弱性検査用IPアドレス管理機能 Webサイトへの脆弱性診断等を行う際、設定したIPアドレスからの通信についてブロック/モニタリングを行わない機能
10 SSL/TLS通信機能 暗号化された通信についても解読し、防御する機能
11 API機能 Scutumで検知した防御ログや詳細な攻撃リクエスト内容をAPI経由で取得できる機能
エヌ・ティ・ティ・スマートコネクト株式会社 SmartConnect Network & Security
  • めんどうなセキュリティ対策をまるっとおまかせ
  • 変化するビジネス要件に、柔軟に対応できる
  • 安心・セキュアを継続できる品質と実績
- UTM
WAF
DDoS
Webプロキシ
メールセキュリティ
ロードバランサ
VPN
株式会社モニタラップ AIONCLOUD WAAP
  • ひとつのコンソールで提供する統合セキュリティ
  • 進化する脅威に対応するアプリケーションセキュリティサービス
- WAF
Webアプリケーションを既存の攻撃、ゼロデイ攻撃などから防御します。

APIセキュリティ
企業のAPIに対する可視性を提供し脅威を遮断します。

ボット緩和
ボットのトラフィックを管理し、Webサイトを保護します。

DDoS保護
アプリケーション階層のDDoS攻撃から企業のWebサイトを守ります。
フォーティネットジャパン合同会社 FortiWeb
  • WEBアプリケーション保護
  • 機械学習に基づいた脅威検知
  • セキュリティ ファブリックの統合
  • 高度な分析
  • 誤検知の減災
  • ハードウェアベースのアクセラレーション
- アプリケーションのセキュリティ
コンテンツセキュリティ
デバイスのセキュリティ
NOC/SOC セキュリティ
ウェブセキュリティ
管理された検出と対応
SOC-as-a-Service
インシデント対応サービス
サイバーセキュリティの評価と準備状況
バラクーダネットワークス Barracuda Web Application Firewall
  • Web攻撃とDDoSを確実に防止
  • 悪意のあるボットの動きを完全に静止
  • APIとモバイルアプリの保護
  • きめ細かなアクセス制御と安全なアプリ配信を実現
  • セキュリティの自動化と統合
  • 攻撃とトラフィックパターンの可視化
- WebアプリケーションとAPIの保護

+ OWASPおよびゼロデイ攻撃に対する保護
+ 高度なボット攻撃からアプリケーションを保護
+ API保護
+ サーバクローキング
+ URL暗号化
+ GEO IPとIPレピュテーションチェック
+ マルウェア対策とウィルス対策
+ マルチプロトコルサポート
+ アプリケーションDDoS対策
+ 大規模なDDoSの防止
+ JSONセキュリティ
+ XMLファイアウォール
+ アクティブ脅威インテリジェンス
+ クライアントサイドプロテクション

アプリケーションデリバリ
+ アプリケーションの負荷分散と監視
+ コンテンツルーティング
+ キャッシュ、圧縮、トラフィックの最適化

データ保護とコンプライアンス
+ アウトバウンドDLP
+ コンプライアンス認証

IAM
+ SAMLサポートとSSO
+ クライアント証明書ベースの認証
+ AD FSとの統合
+ LDAP、Kerberos、およびRADIUSとの統合
+ 2要素認証

レポート
+ Barracuda Active Threat Intelligenceダッシュボード
+ 直感的なドリルダウンレポート
+ 包括的なログ
+ SIEMとの統合

管理
+ HAクラスタリング
+ ロールベースの緻密なアクセス制御
+ REST APIによる自動化とスケーラビリティ
+ 統合的なDevSecOpsの有効化
+ デフォルトのセキュリティテンプレート

中央管理
+ 単一コンソール
+ 証明書の中央管理
+ 中央管理通知とアラート

使いやすさ
+ アプリケーション学習(アダプティブプロファイリング)
+ 仮想パッチと脆弱性スキャナとの統合
+ 自動構成エンジン
セコムトラストシステムズ株式会社 マネージドWAFサービス
  • AWS、Azure 等の、各種クラウド環境でも利用することができます。
  • メーカーシグネチャに加え、個別シグネチャを迅速に作成することができます。
  • クラウド型なので直ぐにご利用いただけます。(※大規模システム向けにはオンプレミス型(マネージドWAFサービス標準型)も提供できます)
  • ストラッツ(Struts)の脆弱性対策も実施することができます。
  • クレジットカード番号の外部流出を検知し防止することができます。
  • DDoS攻撃対策も実施することができます。(オプション)
- DDoS対策
ファイアウォール
IPS
WAF
Amazon Web Services, Inc. AWS Shield
  • AWS Shield Standard
    ↳基盤となる AWS サービスの静的しきい値 DDoS 保護
    ↳インラインの攻撃緩和
  • AWS Shield Advanced
    ↳アプリケーショントラフィックパターンに基づいてカスタマイズされた検出
    ↳正常性に基づく検出
    ↳高度な攻撃緩和機能
    ↳自動アプリケーションレイヤー DDoS 緩和策
    ↳積極的なイベント応答
    ↳保護グループ
    ↳可視性と攻撃の通知
    ↳DDoS コスト保護
    ↳専門サポート
    ↳グローバルな可用性
    ↳一元化された保護管理
- AWS Shield Standard
基盤となる AWS サービスの静的しきい値 DDoS 保護
インラインの攻撃緩和

AWS Shield Advanced
アプリケーショントラフィックパターンに基づいてカスタマイズされた検出
正常性に基づく検出
高度な攻撃緩和機能
自動アプリケーションレイヤー DDoS 緩和策
積極的なイベント応答
保護グループ
可視性と攻撃の通知
DDoS コスト保護
専門サポート
グローバルな可用性
一元化された保護管理

Webセキュリティとは?

Webセキュリティとは、インターネット上に存在するさまざまな脅威からWebサイトやWebアプリケーションを守るための対策を指します。

インターネットの普及により、顧客が求める情報を提供したりEコマースで商品やサービスを販売したりできるWebサイトやWebアプリケーションは、企業にとって欠かせない存在です。またクラウドサービスが浸透し、クラウド上に重要な書類やデータを保存している企業も増えてきています。

しかしインターネットの普及に比例し、インターネット上にある情報を狙う犯罪組織の手口は巧妙化しています。それらの脅威から身を守るための手段がWebセキュリティです。ビジネスにインターネットを活用する以上、自社はもちろん顧客の大切な情報を保護するためには、Webセキュリティの徹底が欠かせません。

Webセキュリティが必要になった背景

Webセキュリティが必要になった3つの背景を見ていきましょう。

インターネットの普及

Webセキュリティが必要になった背景の一つは、インターネットの普及です。

インターネットが普及したことで、機密情報や個人情報など、重要な情報のやりとりがオンラインで行われるようになりました。それに目を付けた犯罪組織は、重要な情報を盗みだそうとさまざまな攻撃を仕掛けるようになり、世界中でさまざまな被害が出ています。この脅威から身を守るため、WebサイトやWebアプリケーションを利用する際にはWebセキュリティの徹底が求められるようになりました。

脅威の進化

Webセキュリティが必要になった背景には、インターネット上に潜む脅威の進化も挙げられます。

かつてのインターネット上の脅威は小規模なもので、手口も単純なものが主流でした。しかし現在サイバー攻撃は大規模なものとなり、高度な技術が必要になる巧妙な手口へと進化しています。進化した脅威に対処するために、より精度の高く強固なWebセキュリティが求められるようになってきています。

法整備による規制の強化

Webセキュリティが必要とされているのは、法整備によって規制が強化されたことも影響しています。

サイバー犯罪の増加により、サイバーセキュリティ基本法が施行されている他、個人情報保護法もデジタル社会に応じたものへと改正が行われ、より厳しい規制が敷かれています。法律に準じたセキュリティ対策を講じるためには、これまでよりも強靭なWebセキュリティにコストを割く必要があるでしょう。

Webセキュリティのメリット

Webセキュリティのメリットは自社や顧客の重要な情報を守り、自社の信頼を維持できることです。

サイバー攻撃を受けて情報が漏えいしてしまうと、企業への信頼は大きく失墜してしまいます。「また情報漏えいが起きたら困る……」と考えて、サービスの利用を避けてしまう人も出てくるため、機会損失につながる可能性も高いでしょう。

ニュースになるほどの大規模な被害が出るとインターネット上に悪評が残り続け、経営にも大きな影響が出てしまう恐れもあります。また一度情報漏えいが起こると、システム復旧や顧客への対応、顧客への損害賠償などで莫大な費用がかかる可能性も高いです。

Webセキュリティを徹底しておけば、こういった事態に陥ってしまうリスクを軽減できます。安全性の高いサービスを提供することで信頼が構築され、より多くのユーザーから選ばれるチャンスも得られるでしょう。

Webセキュリティが防ぐ脅威の種類

インターネット上にはさまざまな脅威が潜んでいます。ここからは、Webセキュリティによって防ぐことができる脅威にどのような種類があるのかを見ていきましょう。

SQLインジェクション

SQLインジェクションは、データベースに本来ない操作をさせる攻撃です。

SOLはデータベースの操作に使われるデータベース言語の一つです。Webアプリケーション上の脆弱性を狙い、不正なSQL文を入力してデータベースに送信することで、データベースを不正に操作し、情報を盗み出したりデータの書き換えや削除を行ったりします。またSQLインジェクションで攻撃者にサーバーを乗っ取られてしまうケースもあり、深刻な被害が出てしまう可能性も高いです。

クロスサイトスクリプティング(XSS)

クロスサイトスクリプティング(XSS)とは、Webアプリケーション上に悪意のある不正なスクリプトを仕込む攻撃です。

不正なスクリプトを含むページやリンクを設置し、それをユーザーに踏ませるなどして、情報を抜き取ります。管理者以外が情報を入力できるSNSやインターネット上の掲示板などにリンクを貼って仕込まれるケースが多いです。

例えばリンクで誘導された先にある偽の会員登録フォームに情報を入力してしまうと、入力した情報が盗まれてしまいます。企業がクロスサイトスクリプティングで攻撃されると、企業のWebサイトを訪れたユーザーが個人情報を盗まれてしまう恐れもあります。

クロスサイトリクエストフォージェリ(CSRF)

クロスサイトリクエストフォージェリ(CSRF)とは、悪意のあるURLにユーザーがアクセスしてしまうことで、気付かないうちに不正なリクエストを送信させる攻撃です。

例えばクロスサイトリクエストフォージェリを受け、オンラインバンキングにログインした状態で悪意のあるURLにアクセスしてしまうと、強制的に意図しない送金が行われてしまいます。またクロスサイトリクエストフォージェリでSNSなどに不正なリクエストが行われると、ユーザーが意図しない情報を発信してしまうこともあります。

リモートファイルインクルード

リモートファイルインクルードとは、Webアプリケーションのファイル参照機能を悪用し、悪意のあるコードを含んだファイルを読み込ませることで、意図しない不正なデータ処理を実行させる攻撃です。不正なデータ処理が行われることで、Webページが不正に書き換えられたり削除されたりしてしまう恐れがあります。

パスワード侵害

パスワード侵害とはパスワードが盗難されることで、本来権限がない第三者が不正アクセスをすることです。パスワードの総当たり攻撃を受けることで、不正アクセスされてしまうこともあります。

データ侵害

データ侵害とは、所有者の許可なく機密情報や個人情報が盗み出されたり持ち出されたりすることです。悪意のある情報漏えいの他、人的ミスによる情報漏えいもデータ侵害に含まれます。

ゼロデイ攻撃

ゼロデイ攻撃とはソフトウェアなどに脆弱性が発見され、対策を講じる前に、それを狙った攻撃を受けてしまうことです。ソフトウェアに脆弱性があること自体は珍しいことではなく、テスト段階で予測できなかった脆弱性を狙われてしまうと、攻撃を完全に防ぐことは難しいとされています。

ディレクトリトラバーサル

ディレクトリトラバーサルとは、WebサイトやWebアプリケーション上にある非公開のファイルや情報が保存されたディレクトリに不正アクセスされ、ファイルの改ざんや削除、機密情報の閲覧が行われてしまう攻撃のことです。アカウントが乗っ取られたり、なりすましの被害に遭ったりするリスクもあります。

コードインジェクション

コードインジェクションとは、Webアプリケーションに不正なコードを入力する攻撃です。悪意のあるコードが実行されると、システムや情報に不正な操作が行われます。また他の攻撃を行うように操作が行われることもあります。

マルウェアのインストール

マルウェアとは悪意のあるソフトウェアのことです。ローカルネットワークがマルウェアに感染すると、データが流出したりWebサイトの改ざん・削除などが行われたりする他、パソコンの動作にマイナスな影響を与えてしまいます。

フィッシング

フィッシングとは実在する企業の名前を騙り、個人情報を盗むことです。認知度の高い企業の名前を使って不正なリンク付きのEメールやSMSを送り、誘導先で情報を入力させることで個人情報を盗みます。ログイン情報が盗まれて不正ログインされるケースもあれば、マルウェアに感染させるケースもあります。

サービス拒否(DoS)

サービス拒否(DoS)とは、大量のデータを送信したり脆弱性をターゲットにしてデータを送信したりして、Webサイトを閲覧できない状態やインターネットの利用ができない状態にする攻撃です。

分散型サービス妨害(DDoS)

分散型サービス妨害(DDoS)は、複数のパソコンやマルウェアに感染させたボットなどを利用してWebサイトに同時にアクセスすることで、Webサイトやサーバーに高負荷を掛け、サービス拒否の攻撃を行うことです。

企業全体が行うべき対策

インターネット上にあるさまざまな脅威に対して企業が行うべき対策は、Webセキュリティ強化につながるサービスを導入することです。

Webセキュリティの徹底が求められる今、企業向けにさまざまなWebセキュリティサービスが登場しています。サービスによって搭載している機能は異なりますが、Webセキュリティサービスを導入すれば、インターネット上の脅威から自社のWebサイトやWebアプリケーションを守り、自社や顧客の重要な情報を守れます。

Webセキュリティの種類

Webセキュリティの種類には、さまざまな種類があります。どのようなWebセキュリティがあるのか見ていきましょう。

Webアプリケーションファイアウォール(WAF)

Webアプリケーションファイアウォール(WAF)は、外部からの不正アクセスやサイバー攻撃から、ネットワークを守るWebセキュリティです。不正な通信をブロックでき、SQLインジェクションやクロスサイトスクリプティングなどを検知できます。

IPS

IPSはIntrusion Prevention Systemの略称で、外部からの不正アクセスやサイバー攻撃を自動検知してブロックし、ネットワークへの攻撃を防御するWebセキュリティです。

SSL

SSLはSecure Sockets Layerの略称で、インターネット上で行うやり取りを暗号化することで、重要な情報が悪意のある第三者に読み取られてしまうのを防ぐWebセキュリティです。SSLで暗号化されたWebサイトは、URLがhttps://から始まります。

セキュアWebゲートウェイ(SWG)

セキュアWebゲートウェイ(SWG)とは、デバイスとWebサイト間のデータ送受信を監視し、安全でないトラフィックをフィルタリングして、さまざまなインターネット上の脅威からネットワークを保護するWebセキュリティです。

脆弱性スキャナー

脆弱性スキャナーとは、Webアプリケーションやサーバー、ネットワーク機器などに存在する脆弱性をチェックするWebセキュリティです。狙われる前に脆弱性を発見すれば、早期に対策を講じて、攻撃を回避できる可能性があります。

パスワードクラッキングツール

パスワードクラッキングツールは、パスワードの長さや複雑さがパスワードポリシーで定められた文字数や、文字の組み合わせ、強固なセキュリティに対応できるベストプラクティスに従っているかどうかを判別できるツールです。

ファジングツール

ファジングツールは、開発段階のソフトウェアの脆弱性テストを行うツールのことです。意図的に予測不可能な入力データを与えることで潜在的な脆弱性の発見につながり、未知の脅威にも対応できます。

ブラックボックステストツール

ブラックボックステストツールとは、ソフトウェアの内部構造には着目せず、入力と出力のみに焦点を当ててテストを行うツールのことです。システム外部からアクセスし、脆弱性の有無を調べます。

ホワイトボックステストツール

ホワイトボックステストツールとは、ソースコードなどシステムの内部構造を解析し、脆弱性がないかを調べるテストツールのことです。

企業の従業員が個別で行うべき対策

Webセキュリティサービスを使って、インターネット上の脅威への対策を取ることも大切ですが、従業員一人ひとりが行うべき対策もあります。4つの対策をご紹介するので、従業員全員への実践を促しましょう。

パスワードを強力なものにする

Webセキュリティを徹底するには、パスワードを強力なものにしましょう。

長く複雑なパスワードにしておけば、クラッキングによる不正アクセスを防げます。アルファベットの大文字・小文字、数字、特殊文字を組み合わせるとパスワードが複雑になり、予測もしにくくなります。

またパスワードは複数のサイトで同じものを利用すると、攻撃を受けるリスクが高くなりやすいです。WebサイトやWebアプリケーションごとに、長く複雑なパスワードを設定しましょう。

多要素認証を設定する

多要素認証を設定することも、Webセキュリティを強化する方法の一つです。

多要素認証とは、2つ以上を組み合わせて認証を行うことを意味します。

  • 知識情報:パスワードやPINコードなど
  • 所有情報:SMS認証やトークンを使ったワンタイムパスワードなど
  • 生体情報:顔や指紋、声帯など

例えばあらかじめ決めたパスワードに加え、その都度変わるワンタイムパスワードを組み合わせることで、一つの情報で認証を行うよりもセキュリティが強化され、第三者による不正アクセスを防ぎやすくなります。

VPNを使用する

Webセキュリティを強化するには、状況に応じてVPNも使用しましょう。

近年は無料で利用できるWi-Fiサービスも増えていますが、誰でも簡単に利用できるものだからこそ、サイバー攻撃に狙われるリスクがあります。VPN(仮想プライベートネットワーク)を利用すれば、インターネット上でやり取りするデータを暗号化できるため、第三者に情報が読み取られることがありません。セキュリティの弱いWi-Fiサービスで重要な情報を送信する際は、VPNを使うのがおすすめです。

リンクや添付ファイルに注意する

リンクや添付ファイルに注意することも、Webセキュリティ強化になります。

フィッシングの手口は年々巧妙になっていて、あたかも本物かのようなEメールやSMSが送られてくることも多いです。安易にリンクをクリックしたりファイルを開いたりしないよう日頃から意識しておくことが、脅威から身を守ることにつながります。

まとめ

本記事では企業のWebサイト運用をしている方のために、Webセキュリティの概要や必要になった背景、Webセキュリティで防げる脅威の種類やWebセキュリティの種類、企業の従業員が個別で行うべきセキュリティ対策などを解説しました。

インターネットを利用する以上、不正アクセスやサイバー攻撃のリスクは常に隣り合わせです。適切なWebセキュリティツールを導入し、インターネット上の脅威から自社や顧客の大切な情報を守りましょう。

Webセキュリティサービスにはさまざまなものがあるため、導入する際はサービスを比較し、機能の充実度や導入・管理のしやすさなどを考慮して、自社に合ったものを選ぶことが大切です。人気のWebセキュリティサービスやサービスごとの違いを知りたい方は、こちらの記事もチェックしてみてください。

おすすめのWebセキュリティサービス一覧

scroll →

会社名 サービス名 特長 費用 主なサービス
株式会社サイバーセキュリティクラウド 株式会社サイバーセキュリティクラウド 詳細はこちら 攻撃遮断くん
  • 一社通貫の万全なサポート体制で、稼働率99.999%・解約率約0.97%の圧倒的な運用力を誇る
  • 20,000サイト以上の豊富な導入実績あり! SBI証券や厚生年金基金などの金融機関からANA、PARCO、代ゼミまで規模や業界問わず幅広く対応
  • 万が一サイバー攻撃により損害を受けた場合に、最大1,000万円を補償する保険を付帯可能
1サイト月額11,000円~
※別途、初期導入費用がかかる
お問い合わせ
攻撃検知AIエンジン搭載
サイバー攻撃対策
サイバー保険付帯
株式会社スリーシェイク 株式会社スリーシェイク 詳細はこちら Securify
  • 初期費用0円・最短1営業日でワンストップのセキュリティ対策を開始できる
  • 簡単3ステップで、3300項目以上の診断を実施
  • シンプルかつストレスフリーな操作性
  • リリースやアップデート時に課金なしで何度も診断可能
Freeプラン:0円/月額
STARTERプラン:5万円/月額
BASICプラン:10万円/月額
※契約は年単位
お問い合わせ
Webアプリケーション診断
Wordpress診断
SaaS診断
株式会社アイロバ BLUE Sphere
  • WAFだけでは対処しきれないWebサイトのあらゆる脅威に、オールインワンのセキュリティサービスで対応
  • 他社を上回る機能を他社よりもリーズナブルに
  • 基本プランで全ての脅威に対処。WebサイトのSSL化にも無償で対応
~1.004TB 月額/45,000円
~5.022TB 月額/78,000円
~10.044TB 月額/154,000円
WAF
DDos攻撃からの防御
改ざん検知
DNS監視サービス
サイバーセキュリティ保険
ペンタセキュリティ株式会社 Cloudbric WAF+
  • WAFを超えた多彩な機能。クラウド型Webセキュリティプラットフォーム
  • 安心のサポートとユーザビリティ
  • 保護対象のFQDN数およびピーク時トラフィックの2つの条件の組み合わせで利用プランをご提案
  • 簡単3ステップでご利用開始
月額サービス料金
28,000円~

初期導入費用
68,000円~
WAFサービス
DDoS攻撃対策サービス
SSL証明書サービス
脅威IP遮断サービス
悪性ボット遮断サービス
バルテス株式会社 PrimeWAF
  • カンタン設定でしっかり防御
  • 状況がすぐにわかるダッシュボード
  • 月額料金も良心価格
1サイト限定プラン
初期費用 55,000円
0GB以上160GB未満 14,300円
160GB以上10TB未満 33,000円
10TB以上32TB未満 110,000円

サイト入れ放題プラン
初期費用 55,000円
0TB以上10TB未満 110,000円
10TB以上32TB未満 220,000円
ペネトレーションテストサービス
クラウド診断サービス
セキュアプログラミングのソフトウェア品質セミナー
WAF
EGセキュアソリューションズ株式会社 SiteGuard Cloud Edition
  • クラウド WAF だからカンタン導入・運用お任せ!
  • 圧倒的なコストパフォーマンス!
  • 信頼と実績の Web セキュリティ!
通信量 400GBまで
初期費用 ¥100,000
価格 (月額) ¥25,000

通信量 1TBまで
初期費用 ¥100,000
価格 (月額) ¥50,000

通信量 4TBまで
初期費用 ¥100,000
価格 (月額) ¥80,000

通信量 10TBまで
初期費用 ¥200,000
価格 (月額) ¥170,000

通信量 20TBまで
初期費用 ¥200,000
価格 (月額) ¥280,000

通信量 40TBまで
初期費用 ¥200,000
価格 (月額) ¥520,000
シグネチャ検査(更新、設定はマネージドサービスとして提供します。)
CMS設定(WordPress、Movable Type、EC-CUBEの運用に適した設定を行います。)
アクセス制御
国別フィルタ
ダッシュボード
レポート機能
専用フォーム(各種お問い合わせは専用フォームで承ります。履歴管理も可能です。)
Amazon Web Services, Inc. AWS WAF
  • ウェブトラフィックフィルタリング
  • AWS WAF Bot Control
  • アカウント乗っ取り詐欺の防止
  • アカウント作成詐欺防止
  • フル機能 API
  • リアルタイムの可視性
  • AWS Firewall Manager への統合
Web ACL 月あたり (時間で案分) USD 5.00
ルール 月あたり (時間で案分) USD 1.00
リクエスト USD 0.60/100 万件のリクエスト (最大 1500 WCU およびデフォルトの本文サイズの検査*)
Bot Control と Fraud Control 上記のタブによる追加費用
ウェブトラフィックフィルタリング
AWS WAF Bot Control
アカウント乗っ取り詐欺の防止
アカウント作成詐欺防止
フル機能 API
リアルタイムの可視性
AWS Firewall Manager への統合
株式会社ROCKETWORKS イージスWAFサーバセキュリティ
  • Webサーバ・Webサービスへの攻撃や不審な通信を自動で徹底ブロック
  • 最短即日・再起動も不要のカンタン導入
  • AWSをはじめ最新のクラウド環境にも対応
  • 人気ECサイト、Webサービスも安心の低負荷・低遅延
  • 日本人エンジニア執筆による「読んでわかる」レポートを毎月送付
イージスサーバセキュリティタイプ
月額/50,000円

イージスDDoSセキュリティタイプ
~2Mbps 初期費用/¥98,000 月額/¥40,000
~5Mbps 初期費用/¥98,000 月額/¥60,000
~10Mbps 初期費用/¥98,000 月額/¥120,000
~50Mbps 初期費用/¥198,000 月額/¥198,000
~100Mbps 初期費用/¥198,000 月額/¥250,000
~200Mbps 初期費用/¥198,000 月額/¥450,000
200Mbps以上 別途見積もり
サイバー攻撃の検出/遮断
月次レポート
サイバーセキュリティに関するアドバイザリー
法務相談(オプション)
SBテクノロジー株式会社 Imperva WAF
  • 自動学習機能による導入運用負荷軽減
  • 細かなポリシー設定
  • 簡単に導入可能
  • Imperva 独自の研究機関『ADC』
  • 仮想パッチの適用
- Web Application Firewall
株式会社セキュアスカイ・テクノロジー Scutum
  • かんたん導入 約1週間
  • おまかせ運用 運用不要、24時間365日フルサポート
  • 明快な料金 約3万円~
  • 安心の実績 稼働率は99.999%以上※2023年までの5年間の実績、12年連続シェアNo.1、年間500件以上の脆弱性診断
~500kbps 初期費用 98,000円 月額 29,800円
~5Mbps 初期費用 98,000円 月額 59,800円
~10Mbps 初期費用 98,000円 月額 128,000円

~50Mbps 初期費用 198,000円 月額 148,000円
~100Mbps 初期費用 198,000円 月額 198,000円
~200Mbps 初期費用 198,000円 月額 298,000円
200Mbps 初期費用198,000円 100Mbps毎に100,000円加算
1 ブロック機能 Webサイトに対する攻撃と思われる通信を遮断する機能
2 モニタリング機能 Webサイトに対する攻撃と思われる通信を記録する機能 (通信自体は遮断されません)
3 防御ログ閲覧機能 ブロック(モニタリング)した通信をログとして保存し、閲覧できる機能
4 レポート機能 下記の内容を管理画面上で報告する機能
 ・攻撃元(IPアドレス)top5
 ・攻撃種別top5
 ・防御ログの月別ダウンロード
5 ソフトウェア更新機能 防御機能等を向上させるため、ソフトウェアを更新する機能
6 防御ロジック更新機能 防御効果の向上を図るため、不正な通信パターンを随時最新の状態に更新する機能
7 特定URL除外機能 Webサイト中のWAF機能を利用したくない箇所を防御対象から除外する機能
8 IPアドレスの拒否/許可設定機能 特定のIPアドレスからの通信を拒否、もしくは特定のIPアドレスからの通信のみ許可する機能
9 脆弱性検査用IPアドレス管理機能 Webサイトへの脆弱性診断等を行う際、設定したIPアドレスからの通信についてブロック/モニタリングを行わない機能
10 SSL/TLS通信機能 暗号化された通信についても解読し、防御する機能
11 API機能 Scutumで検知した防御ログや詳細な攻撃リクエスト内容をAPI経由で取得できる機能
エヌ・ティ・ティ・スマートコネクト株式会社 SmartConnect Network & Security
  • めんどうなセキュリティ対策をまるっとおまかせ
  • 変化するビジネス要件に、柔軟に対応できる
  • 安心・セキュアを継続できる品質と実績
- UTM
WAF
DDoS
Webプロキシ
メールセキュリティ
ロードバランサ
VPN
株式会社モニタラップ AIONCLOUD WAAP
  • ひとつのコンソールで提供する統合セキュリティ
  • 進化する脅威に対応するアプリケーションセキュリティサービス
- WAF
Webアプリケーションを既存の攻撃、ゼロデイ攻撃などから防御します。

APIセキュリティ
企業のAPIに対する可視性を提供し脅威を遮断します。

ボット緩和
ボットのトラフィックを管理し、Webサイトを保護します。

DDoS保護
アプリケーション階層のDDoS攻撃から企業のWebサイトを守ります。
フォーティネットジャパン合同会社 FortiWeb
  • WEBアプリケーション保護
  • 機械学習に基づいた脅威検知
  • セキュリティ ファブリックの統合
  • 高度な分析
  • 誤検知の減災
  • ハードウェアベースのアクセラレーション
- アプリケーションのセキュリティ
コンテンツセキュリティ
デバイスのセキュリティ
NOC/SOC セキュリティ
ウェブセキュリティ
管理された検出と対応
SOC-as-a-Service
インシデント対応サービス
サイバーセキュリティの評価と準備状況
バラクーダネットワークス Barracuda Web Application Firewall
  • Web攻撃とDDoSを確実に防止
  • 悪意のあるボットの動きを完全に静止
  • APIとモバイルアプリの保護
  • きめ細かなアクセス制御と安全なアプリ配信を実現
  • セキュリティの自動化と統合
  • 攻撃とトラフィックパターンの可視化
- WebアプリケーションとAPIの保護

+ OWASPおよびゼロデイ攻撃に対する保護
+ 高度なボット攻撃からアプリケーションを保護
+ API保護
+ サーバクローキング
+ URL暗号化
+ GEO IPとIPレピュテーションチェック
+ マルウェア対策とウィルス対策
+ マルチプロトコルサポート
+ アプリケーションDDoS対策
+ 大規模なDDoSの防止
+ JSONセキュリティ
+ XMLファイアウォール
+ アクティブ脅威インテリジェンス
+ クライアントサイドプロテクション

アプリケーションデリバリ
+ アプリケーションの負荷分散と監視
+ コンテンツルーティング
+ キャッシュ、圧縮、トラフィックの最適化

データ保護とコンプライアンス
+ アウトバウンドDLP
+ コンプライアンス認証

IAM
+ SAMLサポートとSSO
+ クライアント証明書ベースの認証
+ AD FSとの統合
+ LDAP、Kerberos、およびRADIUSとの統合
+ 2要素認証

レポート
+ Barracuda Active Threat Intelligenceダッシュボード
+ 直感的なドリルダウンレポート
+ 包括的なログ
+ SIEMとの統合

管理
+ HAクラスタリング
+ ロールベースの緻密なアクセス制御
+ REST APIによる自動化とスケーラビリティ
+ 統合的なDevSecOpsの有効化
+ デフォルトのセキュリティテンプレート

中央管理
+ 単一コンソール
+ 証明書の中央管理
+ 中央管理通知とアラート

使いやすさ
+ アプリケーション学習(アダプティブプロファイリング)
+ 仮想パッチと脆弱性スキャナとの統合
+ 自動構成エンジン
セコムトラストシステムズ株式会社 マネージドWAFサービス
  • AWS、Azure 等の、各種クラウド環境でも利用することができます。
  • メーカーシグネチャに加え、個別シグネチャを迅速に作成することができます。
  • クラウド型なので直ぐにご利用いただけます。(※大規模システム向けにはオンプレミス型(マネージドWAFサービス標準型)も提供できます)
  • ストラッツ(Struts)の脆弱性対策も実施することができます。
  • クレジットカード番号の外部流出を検知し防止することができます。
  • DDoS攻撃対策も実施することができます。(オプション)
- DDoS対策
ファイアウォール
IPS
WAF
Amazon Web Services, Inc. AWS Shield
  • AWS Shield Standard
    ↳基盤となる AWS サービスの静的しきい値 DDoS 保護
    ↳インラインの攻撃緩和
  • AWS Shield Advanced
    ↳アプリケーショントラフィックパターンに基づいてカスタマイズされた検出
    ↳正常性に基づく検出
    ↳高度な攻撃緩和機能
    ↳自動アプリケーションレイヤー DDoS 緩和策
    ↳積極的なイベント応答
    ↳保護グループ
    ↳可視性と攻撃の通知
    ↳DDoS コスト保護
    ↳専門サポート
    ↳グローバルな可用性
    ↳一元化された保護管理
- AWS Shield Standard
基盤となる AWS サービスの静的しきい値 DDoS 保護
インラインの攻撃緩和

AWS Shield Advanced
アプリケーショントラフィックパターンに基づいてカスタマイズされた検出
正常性に基づく検出
高度な攻撃緩和機能
自動アプリケーションレイヤー DDoS 緩和策
積極的なイベント応答
保護グループ
可視性と攻撃の通知
DDoS コスト保護
専門サポート
グローバルな可用性
一元化された保護管理

ページ先頭へ戻る