ブログ

ウェブapplicationセキュリティのベストプラクティストップ10

F5 ニュースルームスタッフサムネイル
F5ニュースルームスタッフ
2025年6月16日公開

堅牢な Webapplicationセキュリティは、デジタル サービスに依存し、機密情報を扱い、Web またはモバイル プラットフォームを通じてユーザーとやり取りする現代の組織にとって極めて重要です。 これは、Web アプリがハッカーの主なターゲットであるためです。Web アプリでは、財務情報、個人の健康記録、ログイン資格情報など、価値の高い個人データが日常的に扱われます。 Web 上でサービスを提供したりビジネスを展開したりする組織にとって、顧客の信頼を守り、規制遵守を維持し、データ漏洩を防ぎ、進化するサイバー脅威に直面しても継続的なビジネス運営を確保するために、強力な Web アプリ セキュリティは不可欠です。

Web アプリと API が急増しています。 一般的な組織は現在、 226 個のアプリと 404 個の API を管理していますが、導入オプションの多様化と相まって、防御側が直面する潜在的な攻撃対象領域と複雑さが大幅に拡大し、攻撃者が弱点を悪用する機会が増えています。 (F5 の調査によると、94% の組織が複数の場所または展開モデルにわたってアプリを管理しています)

この課題の広範さを考慮すると、Web アプリのセキュリティ戦略はリスクベースであり、最も深刻で起こりそうな脅威に重点を置くことが重要です。 これには、アプリや業界を標的とする可能性のある攻撃の種類を特定し、各脅威が実行された場合にどの程度の損害が発生するかを判断し、攻撃が発生する可能性を評価する必要があります。 この情報を使用して、最もリスクの高い問題(潜在的な影響が最も大きい問題)に最初にセキュリティ リソースを集中させ、利用可能な時間と予算で最大限の保護を実現します。

以下は、Web アプリのセキュリティに関するベスト プラクティスのトップ 10 です。

1. ウェブapplicationのセキュリティリスクを知る

非営利団体のOpen Worldwide Application Security Project (OWASP) は、 Webapplicationのセキュリティ リスクの最も重要な 10 項目のリストを作成しました。 OWASP Top 10 リストは、開発者、セキュリティ専門家、組織が Webapplicationのセキュリティ リスクを特定して軽減するための取り組みの優先順位を決める際のガイドとして役立ちます。 

OWASP Top 10 のWebapplicationセキュリティ リスクは次のとおりです。

  1. アクセス制御が壊れています。 この脆弱性は、アクセス制御と承認の不十分な実施により、攻撃者が不正な機能やデータにアクセスできる場合に発生します。
  2. 暗号化の失敗。 このリスクは、転送中および保存中の機密データの保護が不十分なために発生します。 暗号化の失敗は、データ侵害、機密情報への不正アクセス、およびデータ プライバシー規制への非準拠につながる可能性があります。
  3. インジェクション攻撃。 インジェクションの脆弱性は、攻撃者が信頼できないデータや悪意のあるデータをコマンド言語やクエリ言語に挿入した場合、またはユーザーが入力したデータがapplicationによって検証、フィルタリング、またはサニタイズされていない場合に発生し、悪意のあるコマンドが意図せず実行されることにつながります。
  4. 安全でない設計。 これは、applicationが本質的に安全でないプロセスに依存するように設計されている場合、または特定の攻撃に対する防御に必要なセキュリティ制御が実装されていない場合に発生する可能性のある、セキュリティ制御の欠如または効果のないセキュリティ制御とアーキテクチャ上の欠陥を指します。
  5. セキュリティの設定ミス。 Webapplicationフレームワーク、プラットフォーム、サーバー、またはセキュリティ制御のセキュリティ強化が不十分だと、不正アクセス、機密情報の漏洩、その他のセキュリティ上の脆弱性が生じる可能性があります。
  6. 脆弱で古いコンポーネント。 ライブラリ、フレームワーク、プラグインなどの古い、パッチが適用されていない、または脆弱なコンポーネントを使用すると、applicationsが既知のセキュリティ上の欠陥にさらされ、悪用されるリスクが高まります。
  7. 識別および認証の失敗。 認証、ID、セッション管理の脆弱性により、攻撃者がユーザー アカウント、パスワード、セッション トークンを侵害したり、安全でないセッション処理を悪用したりする可能性があります。 パスワード関連の脆弱性が、こうしたリスクの最も一般的な原因です。
  8. ソフトウェアおよびデータの整合性の障害。 これらの脆弱性は、データとソフトウェアの整合性違反に対する保護に失敗したapplicationコードとインフラストラクチャに起因し、applicationが信頼できないソース、リポジトリ、および CDN からのプラグイン、ソフトウェア更新、ライブラリ、またはモジュールに依存している場合に発生する可能性があります。
  9. セキュリティ ログ記録および監視の失敗。 ログ記録と監視が不十分だと、セキュリティ インシデントのタイムリーな検出と対応が妨げられ、攻撃や不正なアクティビティを特定して軽減することが困難になります。
  10. Server-Side Request Forgery(SSRF)。 これらの脆弱性は、applicationがリモート リソースからデータを取得する前に、ユーザーが入力した URL を検証またはサニタイズしない場合に発生し、ファイアウォールやその他の防御によって保護されている場合でも、攻撃者が Web の宛先に悪意を持ってアクセスできるようになります。

2. 安全なコーディングから始めましょう

セキュア コーディングとは、セキュリティのベスト プラクティスに準拠したコードを設計および記述し、悪意のある行為者やマルウェアによる攻撃や悪用に対する耐性を高めることです。 コード セキュリティを向上させる最も効率的かつ効果的な方法は、それを開発プロセスに組み込み、後から追加するのではなく、最初からapplicationにセキュリティが組み込まれるようにすることです。 セキュリティ構成の誤りやその他のエラーは、攻撃者が実際の環境でそれらを悪用する前に、プロセスの早い段階で検出できます。 セキュア コーディングにより、プロアクティブな防御を実現し、ゼロデイ脅威から保護するために必要な、より堅牢な脅威モデル化と自動化も可能になります。 OWASP セキュア コーディング プラクティス チェックリストは、コードがコーディングのベスト プラクティスに準拠していることを確認するのに役立つクイック リファレンス ガイドです。

3. APIセキュリティを軽視しないでください

API は現代のapplicationアーキテクチャにおいて重要な役割を果たし、さまざまなソフトウェア コンポーネント、サービス、システムが効率的に通信し、データを交換できるようにします。 API は、マイクロサービス、クラウドネイティブ開発、プラットフォーム間の統合、AI を活用した環境の基盤となります。 2025 F5application戦略の現状レポートによると、68% の組織がアプリケーションの配信とセキュリティを管理するために API を使用していますが、58% の組織が API の拡散を大きな問題点だと考えています。

しかし、現代のデジタル エコシステムではAPI が広く普及しているため、攻撃者の標的となるケースが増えています。 API は本質的に、ユーザー データや認証資格情報などの重要なビジネス ロジックと機密情報を公開し、オンライン アクセスや購入、銀行および金融取引、ログイン サービスなどのデジタル エクスペリエンスを促進およびサポートします。

OWASP Top 10 API セキュリティ リスクは、 API が直面する潜在的なリスクを強調し、これらのリスクを軽減する方法を示すために、2019 年に初めて公開されました。 OWASP API セキュリティの洞察に基づいて、 API を保護するための総合的なアプローチを提供する 4 つの主要な API セキュリティ戦略を紹介します。

  •  発見。 環境全体のすべての API(既知、未知、非推奨、シャドウ API を含む)を識別、マッピング、文書化して、API の脅威サーフェスを完全に理解します。
  • 監視。 時間の経過に伴う API の使用状況と動作を継続的に把握します。 監視は、潜在的な攻撃、誤用、または侵害を示唆する異常を検出するのに役立ちます。
  • 検出: 自動テストとランタイム分析を使用して、実稼働前の早い段階と実稼働開始後の脆弱性を特定します。 監視も保護もされていない API は、組織を重大なリスクにさらす可能性があります。
  • 保護: Webapplicationファイアウォール (WAF)、レート制限、機密データのマスキング、API 固有の保護ルールなどのリアルタイムのインライン セキュリティ制御を実装して、ポリシーを適用し、悪意のあるアクティビティや望ましくないアクティビティ (自動化された脅威を含む) を軽減し、API 経由の機密データの漏洩を防止します。

4. 堅牢な監視とログ記録の実践を実施する

強力な Web アプリのセキュリティを維持するには、効果的な監視とログ記録が不可欠です。 これらのベスト プラクティスにより、脆弱性や脅威を迅速に検出し、攻撃者の行動を追跡し、コードの更新や追加のセキュリティ制御の適用を通じて対応と修復を迅速化できます。

安全なログ記録のベスト プラクティスには、機密データの保護が含まれます。 機密データはすべてマスクされるか、ログから完全に除外されるようにしてください。 パスワード、クレジットカード番号、個人を特定できる情報 (PII) などの機密情報を決して記録しないでください。 また、エラー メッセージであまり多くの情報を明らかにしないようにしてください。 攻撃者が脆弱性を悪用するために使用できる情報が公開されないように、公開されるエラー メッセージの詳細を制限します。

5. インシデント対応を事前に計画する

セキュリティ インシデントが発生したときに組織が迅速かつ効果的に対応できるように、包括的なインシデント対応計画を策定します。 適切に準備された計画には、インシデント対応チームの各メンバーの役割と責任が明確に定義されていること、およびインシデントの範囲、重大度、および潜在的な影響を評価するためのセキュリティ リスク分類フレームワークが含まれている必要があります。 インシデントに対処している間、さらなる被害を防ぐための被害封じ込め手順とともに、さまざまな種類の脅威に合わせたさまざまな軽減戦略を必ず含めてください。 将来の発生を防ぐための教訓や最新情報など、社内コミュニケーション、報告、インシデント後の対応に関するガイドラインを提供します。

組織の内部インシデント対応計画と戦略を策定することに加えて、セキュリティ プロバイダーもインシデント対応サービスを提供している可能性があることに注意してください。 F5 セキュリティ インシデント対応チーム (F5 SIRT) は、すべてのサポート契約で緊急インシデント対応を提供し、経験豊富なセキュリティ エンジニアが 24 時間 365 日体制で脅威に対応し、即時および長期の保護計画による包括的な軽減策を実施します。  

6. 最小権限を実装する

最小権限の原則では、ユーザー、システム、applications、プロセスには、特定のジョブまたはタスクを実行するために必要な最小限のアクセスのみが許可され、それ以上のアクセスは許可されないことが定められています。 アクセスを制限すると、悪用される可能性のあるアクセス ポイントの数を制限することで攻撃対象領域が縮小され、偶発的なデータ公開やユーザーによる誤った取り扱いのリスクが最小限に抑えられます。 最小権限を API などのプロセスまたはシステムに適用すると、API と対話する各 API、サービス、またはユーザーには、意図された機能を実行するために必要な最小限のアクセス権のみが付与され、それらのシステムへの悪意のある攻撃によって生じる潜在的な損害が抑制されます。 最小アクセス権限は、個人データや機密データに対する厳格なアクセス制御ポリシーを必要とすることが多い、一般データ保護規則 (GDPR)、ペイメントカード業界データ セキュリティ基準 (PCI-DSS)、医療保険の携行性と責任に関する法律 (HIPAA) などのフレームワークの規制コンプライアンスもサポートします。

7. ソフトウェアを最新の状態に保つ

既知の脆弱性は公開されていることが多く、簡単に悪用されるため、古いソフトウェアはハッカーにとって格好の標的となります。 ソフトウェア アップデートに含まれるセキュリティ パッチは重大な欠陥に対処し、新たな脅威からシステムを保護します。 Web サーバー、オペレーティング システム、データベース、サードパーティのライブラリやフレームワークなど、Webapplicationのすべてのコンポーネントの更新とパッチを定期的に確認してください。 使用されていないソフトウェアを削除して攻撃対象領域を減らし、セキュリティ更新を受け取らなくなった古いapplicationsやサポートされていないアプリケーションを置き換えます。

8. ウェブapplicationのセキュリティチェックリストに従う

強力なセキュリティ体制を維持するためには、Webapplicationのセキュリティ チェックリストを作成してそれに従うことが不可欠です。 組織は、特定の環境に合わせて独自のチェックリストを作成するか、包括的なベスト プラクティスとテスト手順を提供するOWASP Webセキュリティテスト ガイドなどの確立されたリソースを採用することができます。

セキュリティ テストの主な目標には、安全なコーディング プラクティスの検証、セキュリティの誤った構成の特定と修正、認証、承認、および ID 管理メカニズムが適切に実装されていることの確認などがあります。 追加の目標は、入力検証ルールをテストし、強力な暗号化の使用を確認し、ビジネス ロジックを圧力テストして潜在的な不正使用シナリオを特定し、すべての API を徹底的に特定してセキュリティを確保し、適切に保護されていることを確認することです。

9. AI戦略を定義する

AI テクノロジーが現代のデジタル エクスペリエンスに深く組み込まれるようになるにつれて、Webapplicationセキュリティのベスト プラクティスの一部として明確な AI 戦略を定義および開発することがますます重要になっています。 この戦略には、AI 搭載applicationsを新たな脅威から保護することと、AI と機械学習を活用して全体的なセキュリティ体制を強化することの両方が含まれる必要があります。

特に、生成 AIapplicationsでは、情報漏洩、意図しないまたは予測できない動作、トレーニング データに悪意のあるコードが挿入される可能性など、固有のセキュリティ リスクが生じます。 これらのリスクを軽減するために、組織は、安全なコーディング、アクセス制御、脆弱性テストなどの標準的なapplicationセキュリティ原則を適用するとともに、AI 固有の懸念にも対処する必要があります。 これには、トレーニング データのサプライ チェーンの整合性の検証、インジェクション攻撃に対する防御のための迅速なサニタイズ、入力の検証、迅速なフィルタリングなどの安全対策の実装が含まれます。

AI は、Webapplicationのセキュリティを強化する上でも強力な役割を果たすことができます。 これにより、組織は脅威をより迅速かつ正確に検出し、脆弱性を積極的に特定してパッチを適用し、反復的なセキュリティ タスクを自動化して、IT およびセキュリティの運用効率を向上させることができます。

10. 完全なWebapplicationとAPI保護(WAAP)ソリューションを使用する

applicationsがより分散化され、攻撃者がより巧妙になるにつれて、強力な Web アプリケーション保護と複雑なapplication環境全体でのセキュリティ操作の簡素化のために、完全なWebapplicationおよび API 保護 (WAAP)ソリューションを実装することがますます重要になっています。

WAAP ソリューションは、一般的な Web アプリの脆弱性から保護する WAF など、エンドツーエンドのapplication保護のためのいくつかのコア セキュリティ機能を統合します。 また、API の検出と監視、脅威の検出、ランタイム保護などの包括的な API セキュリティも含まれています。 WAAP は、ネットワーク層とapplication層 (レイヤー 3、4、7) 全体に DDoS 緩和を提供し、悪意のある自動トラフィックを検出、分類、ブロックしながら、正当なボットが中断なく動作できるようにするボット保護と管理を提供します。

WAAP の主な利点には、導入アーキテクチャや場所に関係なく、すべての環境で一貫した保護を可能にする集中型のセキュリティ ポリシー管理と、applicationsと API の両方に対する統合されたセキュリティ制御セットが含まれます。 WAAP は、詳細な監査証跡とイベント相関により、脅威の状況全体にわたって可視性と異常検出が向上し、規制遵守とインシデント対応をサポートします。

完全な WAAP ソリューションは、セキュリティ操作を簡素化するとともに、ますます複雑化するapplicationエコシステム全体の保護を強化します。

F5のWebapplicationとAPIセキュリティ

F5application配信およびセキュリティ プラットフォームは、エッジからクラウドまで、あらゆる Web アプリケーション、API、基盤となるインフラストラクチャに、最も負荷の高いワークロードに対して一貫性のある包括的なセキュリティ、高可用性、インテリジェントなオーケストレーションを確保するために必要な重要なサービスを統合します。 プラットフォームベースのアーキテクチャであるapplication配信およびセキュリティ プラットフォームには、F5 の完全な製品ポートフォリオが組み込まれており、どこにでも導入できます。  

詳細については、このビデオをご覧ください。