サーバー&セキュリティ
万が一の備えもお任せを
弊社と九電工との間でパートナー契約を結び、総合的なサポートサービスの提供を行っております。
また、AWS(Amazon Web Services)などクラウドを用いたシステム構築~運用。様々なリスクに対応するセキュリティ対策も行い、お客様のビジネスを安全に運用できる体制を構築しております。
他社サーバーとの違い
九電工サーバーの場合、万が一の異常発生時にクライアント様や弊社への追加費用の発生がなく迅速なサービスが可能になります。
また、九電工サーバーの場合、24時間電話での緊急連絡対応サービスによる対応が可能になります。他社サーバーの場合、メールのみの対応の場合や、月額料金の増加や別途料金の発生、場合によっては、対応自体が無い場合もございます。
サイバー攻撃に関する対応
九電工
九電工と弊社が連携しメールアカウントの特定・原因・対策を行います。パスワード変更の告知・不正IPの遮断等が迅速に行われます。
不正なファイルの調査・検出・対策を行い、一方的なサービスの停止は行いません。
他社サーバー
◯ハッカー等にメールアカウントの乗っ取りが行われる
◯ハッカーによりメールの大量配信が行われサービスが停止
◯原因究明のため追加費用を求められる
◯システムの脆弱性や何らかの手段によってWEBサーバーに不正なファイルをアップロードされる
サポート障害時対応
九電工
九電工と弊社が連携しバージョンアップの事前告知を行い動作の不具合を防ぎます。
障害発生時の対策フローが整っています。
また、サーバー運用の契約を結んでいるため、追加費用の発生なく迅速な対応を行うことができます。
他社サーバー
◯障害発生時の通知はホームページに記載されるのみで個別の通知がない
◯サーバーの異常負荷が発生した場合、一方的なサービスの停止勧告を受ける
◯原因調査を行う場合、調査費・対策費を求められることがある
世界190ヵ国以上、数百万のお客様を支える Amazon のクラウドサービス
2006年、アマゾン ウェブ サービス(AWS)はウェブサービスという形態で、企業を対象に IT インフラストラクチャサービスの提供を開始しました。
AWS は現在、クラウドの拡張性ある低コストのインフラストラクチャプラットフォームで、企業や組織の更なる迅速な活動や、IT コスト削減、アプリケーション拡張を実現するために役立つ幅広いサービス(コンピューティング、ストレージ、データベース、分析ツール、アプリケーション、デプロイサービス、AI サービス等)を提供しています。
弊社では、AWSなどクラウドを用いたシステム構築~運用も行っております。
安全なウェブサイトとは
日本におけるインターネットの利用者数は1億人を超える(2015年現在)と推定され、ウェブを通じた情報のやり取りは今後も増え続けるでしょう。また、その一方でウェブサイトの「安全上の欠陥」(脆弱性)が狙われる事件も後を絶ちません。
ILJは、様々な危険性から「安全なウェブサイト」を考えています。
SQLインジェクション
データベースの不正利用
データベースと連携したウェブアプリケーションの多くは、利用者からの入力情報を基にSQL文(データベースへの命令文)を組み立てています。ここで、SQL文の組み立て方法に問題がある場合、攻撃によってデータベースの不正利用をまねく可能性があります。
OSコマンド・インジェクション
OSコマンドの不正実行
ウェブアプリケーションによっては、外部からの攻撃により、ウェブサーバのOSコマンドを不正に実行されてしまう問題を持つものがあります。
パス名パラメータの未チェック
ディレクトリ・トラバーサル
ウェブアプリケーションの意図しない処理
ウェブアプリケーションの中には、外部からのパラメータにウェブサーバ内のファイル名を直接指定しているものがあります。このようなウェブアプリケーションでは、ファイル名指定の実装に問題がある場合、攻撃者に任意のファイルを指定され、ウェブアプリケーションが意図しない処理を行ってしまう可能性があります。
セッション管理の不備
セッションIDを不正取得
ウェブアプリケーションの中には、セッションID(利用者を識別するための情報)を発行し、セッション管理を行っているものがあります。このセッションIDの発行や管理に不備がある場合、悪意のある人にログイン中の利用者のセッションIDを不正に取得され、その利用者になりすましてアクセスされてしまう可能性があります。
クロスサイト・スクリプティング
ウェブサイトを閲覧している利用者への攻撃
ウェブアプリケーションの中には、検索のキーワードの表示画面や個人情報登録時の確認画面、掲示板、ウェブのログ統計画面等、利用者からの入力内容やHTTPヘッダの情報を処理し、ウェブページとして出力するものがあります。ここで、ウェブページへの出力処理に問題がある場合、そのウェブページにスクリプト等を埋め込まれてしまいます。
CSRF(クロスサイト・リクエスト・フォージェリ)
外部サイトを経由した悪意のあるリクエスト
ウェブサイトの中には、サービスの提供に際しログイン機能を設けているものがあります。ここで、ログインした利用者からのリクエストについて、その利用者が意図したリクエストであるかどうかを識別する仕組みを持たないウェブサイトは、外部サイトを経由した悪意のあるリクエストを受け入れてしまう場合があります。このようなウェブサイトにログインした利用者は、悪意のある人が用意した罠により、利用者が予期しない処理を実行させられてしまう可能性があります。
HTTPヘッダ・インジェクション
複数のレスポンスを作り出すような攻撃
ウェブアプリケーションの中には、リクエストに対して出力する HTTPレスポンスヘッダのフィールド値を、外部から渡されるパラメータの値等を利用して動的に生成するものがあります。たとえば、HTTPリダイレクションの実装として、パラメータから取得したジャンプ先のURL情報を、Locationヘッダのフィールド値に使用する場合や、掲示板等において入力された名前等をSet-Cookieヘッダのフィールド値に使用する場合等が挙げられます。このようなウェブアプリケーションで、HTTPレスポンスヘッダの出力処理に問題がある場合、攻撃者は、レスポンス内容に任意のヘッダフィールドを追加したり、任意のボディを作成したり、複数のレスポンスを作り出すような攻撃を仕掛ける場合があります。
メールヘッダ・インジェクション
外部がメールアドレスを自由に指定
ウェブアプリケーションの中には、利用者が入力した商品申し込みやアンケート等の内容を、特定のメールアドレスに送信する機能を持つものがあります。一般に、このメールアドレスは固定で、ウェブアプリケーションの管理者以外の人は変更できませんが、実装によっては、外部の利用者がこのメールアドレスを自由に指定できてしまう場合があります。
クリックジャッキング
細工された外部サイトを閲覧し操作させる
ウェブサイトの中には、ログイン機能を設け、ログインしている利用者のみが使用可能な機能を提供しているものがあります。該当する機能がマウス操作のみで使用可能な場合、細工された外部サイトを閲覧し操作することにより、利用者が誤操作し、意図しない機能を実行させられる可能性があります。
バッファオーバーフロー
メモリの領域を超えて領域外のメモリを上書き
ウェブアプリケーションを含む、あらゆるプログラムは、指示された処理を行うためにメモリ上に自身が使用する領域を確保します。プログラムが入力されたデータを適切に扱わない場合、プログラムが確保したメモリの領域を超えて領域外のメモリを上書きされ、意図しないコードを実行してしまう可能性があります。