クラウド・データセンター用語集

用語集|SQLインジェクション(エスキューエルインジェクション)

英:SQL Injection

類:脆弱性 / 攻撃手法 / 不正アクセス

「SQLインジェクション」とは、WebアプリケーションからのデータベースアクセスにSQLを使用していて、その呼び出し方に不備があるときに発生する脆弱性(ぜいじゃくせい)のことです。

たとえば、Webサイトに設置されている「お問い合わせフォーム」は氏名や連絡先など個人情報を入力しますが、対策が十分でないと、不正な処理を含んだSQL文が実行され、データベースに保存されている情報を不正に閲覧されてしまうなどの影響があります。

■SQLインジェクション攻撃による影響の例

・データベースに保存されている情報の閲覧・持ち出し(情報の漏えい)
・データベースに保存されている情報の書き換え・消去(情報の改ざん)
・認証を回避した不正ログイン
・データベースサーバー上で、任意のOSコマンドを実行
など


こうした脅威に対する有効な手段として、WAF(Web Application Firewall/ウェブ・アプリケーション・ファイアウォール)の導入が挙げられます。
WAFを利用することで、SQLインジェクション攻撃を防ぐことができます。

一般的には高額なアプライアンス製品の導入や、設定・運用が煩雑なソフトウェア製品の導入が必要なイメージがありますが、IDCフロンティアではWAFをはじめ、ファイアウォール・ロードバランサー・DDoS対策・IPS/IDSの機能を、クラウド型で必要な時に必要なセキュリティ機能をチョイスできるIDCFネットワークサービスをおすすめしています。

    

用語集TOPへ戻る

このページの先頭へ このページの先頭へ