不正アクセスからWebサイトを守りたい
ーセキュリティ対策についてー
運用しているWebサイトのセキュリティ対策は万全ですか?Webサイトを構築・運用していく際にセキュリティ対策は必要不可欠な要素です。
セキュリティ対策の必要性や、トラブル事例から、具体的な対策を探ってみましょう。
セキュリティ対策の必要性や、トラブル事例から、具体的な対策を探ってみましょう。
このページの目次
Webサイトにセキュリティ対策は必要?
近年セキュリティ対策を怠っていたためにトラブルに巻き込まれる事例が多く発生しています。企業としても、個人としても、大きな不利益を被ることになるため、しっかりとした対策を実施することが大切です。
セキュリティ対策が疎かな場合の危険性やトラブル事例
Webサイトのセキュリティが疎かな場合の主な危険性は以下の通りです。
それぞれの事例も交えながら詳しくみていきましょう。
- 情報流出
- サイト内容の書き換え
- サーバ負荷
情報流出
Webサイトでの個人情報流出が発生すると、流出した個人の被害だけではなく、流出させた企業も様々な対応に迫られることになります。時には損害賠償や対応費用が膨らみ、多額の損失を被ることも。
情報流出として最も多いのは、不正アクセスによる個人情報の漏洩です。個人情報は特に現金化につながりやすいため、犯罪者からも狙われるデータになります。
特にWebサイト上のアプリケーションに放置された脆弱性を狙われて、外部攻撃によってデータベース上の個人情報が抜き出されるというパターンが多いです。
個人の特定につながる情報やクレジットカードの番号・パスワードなど決済に関する情報を取り扱っているWebサイトは一層の注意が必要になります。
情報流出として最も多いのは、不正アクセスによる個人情報の漏洩です。個人情報は特に現金化につながりやすいため、犯罪者からも狙われるデータになります。
特にWebサイト上のアプリケーションに放置された脆弱性を狙われて、外部攻撃によってデータベース上の個人情報が抜き出されるというパターンが多いです。
個人の特定につながる情報やクレジットカードの番号・パスワードなど決済に関する情報を取り扱っているWebサイトは一層の注意が必要になります。
最近ではSNS等の個人のアカウントが複数のサービスに紐づけられているケースが多く、一つの情報流出で雪だるま式に被害が増える傾向にあります。
サイト内容の書き換え
Webサイトの改ざんとは、第三者が不正にWebサイトを操作して、別の情報に書き換えてしまうことです。
改ざんされてしまうことで、Webサイトの管理者が意図しない情報が発信されてしまったり、Webサイトの訪問者をマルウェアに感染させてしまったりというトラブルが起こります。
特にWebサイトに埋め込まれた不正なコードによって、金銭を要求するような詐欺サイトへ強制的に転送されるというケースが多く発生しています。
改ざんされてしまうことで、Webサイトの管理者が意図しない情報が発信されてしまったり、Webサイトの訪問者をマルウェアに感染させてしまったりというトラブルが起こります。
特にWebサイトに埋め込まれた不正なコードによって、金銭を要求するような詐欺サイトへ強制的に転送されるというケースが多く発生しています。
サーバ負荷
意図的にWebサイトに対して大量のアクセスや通信処理を与える攻撃があります。Dos攻撃と言われますが、負荷を与えることでサーバーを正常に動作できなくするのです。
企業のWebサイトに意図的に攻撃を加えるという脅迫で、金銭を要求されるケースもあります。
企業のWebサイトに意図的に攻撃を加えるという脅迫で、金銭を要求されるケースもあります。
セキュリティの脆弱性が見られる主な原因
Webサイトにおいて不正アクセスの原因になっているのが、アプリケーション等の脆弱性を利用した攻撃です。
脆弱性とは、そもそもの安全性における欠陥のことを言います。最初は問題がなくても改良や変更が行われているうちに、脆弱性が発生することもあります。
脆弱性が発生しやすいところは以下の通りです。
コーディングや設定での脆弱性は制作過程における人為的なミスによって引き起こされることがあります。また設計時における設計ミスによって脆弱性が生じてしまうことも。
フレームワークなどを利用している場合には、定期的な修正パッチや対策プログラムが配信されますが、それらを適用せずに、更新を怠ると、脆弱性が放置される結果になります。
Webサイトを制作・運用する際にはこれらの点に注意しながら脆弱性が発生しないように対策が必要です。
脆弱性とは、そもそもの安全性における欠陥のことを言います。最初は問題がなくても改良や変更が行われているうちに、脆弱性が発生することもあります。
脆弱性が発生しやすいところは以下の通りです。
- 安全でないコーディング(プログラミング)
- 設計上の欠陥
- Webサイトを動かす環境の欠陥(OSやアプリケーション)
- 設計時にはなかった新しい攻撃方法が発見される
フレームワークなどを利用している場合には、定期的な修正パッチや対策プログラムが配信されますが、それらを適用せずに、更新を怠ると、脆弱性が放置される結果になります。
Webサイトを制作・運用する際にはこれらの点に注意しながら脆弱性が発生しないように対策が必要です。
不正アクセスなどの被害に遭わない対策方法
セキュリティ対策の具体的な方法をアプリケーション・サーバー・ネットワークに分けて解説します。
アプリケーションの対策
ブログやECサイトの購入システム、SNSなどブラウザで動作するアプリケーションにも、きちんとセキュリティ対策を施しましょう。
アプリケーションにおける主だった対策は以下の通りです。
セキュリティの更新パッチやウイルス等の対策プログラムの更新について、発表されている
ものは適時対応を行いましょう。セキュリティソフトは常に最新バージョンに更新を心がけ、利用しなくなったアプリケーションはデバイスからアンインストールします。
古くなったソフトやアプリはメーカー側もサポートを打ち切っていきます。サポートされていないソフトはセキュリティ対策の更新プログラムも配信されず、脆弱性の温床になるので注意が必要です。
アプリケーションにおける主だった対策は以下の通りです。
- セキュリティソフトやOSのバージョン最新化
- 不要なアプリケーションのアンインストール
- 不要なファイルの削除
- パーミッション(アクセス権限)設定の見直し
ものは適時対応を行いましょう。セキュリティソフトは常に最新バージョンに更新を心がけ、利用しなくなったアプリケーションはデバイスからアンインストールします。
古くなったソフトやアプリはメーカー側もサポートを打ち切っていきます。サポートされていないソフトはセキュリティ対策の更新プログラムも配信されず、脆弱性の温床になるので注意が必要です。
サーバーの対策
WebサイトはファイルやアプリケーションをWebサーバに設置します。このサーバにもセキュリティ対策を行いましょう。
サーバーにおける主だった対策は以下の通りです。
アプリケーション同様、サーバー内のソフトウェアに関しても最新化と、不要なものの整理が大切です。
また、不正アクセスへの有効な対策として、対策ソフトを導入して意図しないアクセスを検知したり、遮断したりする方法もあります。
また忘れがちなのが、パスワードの設定です。短いパスワードや社名など推測されやすいパスワードにしていたり、ずっと同じパスワードを使用している、別のサービスなどでパスワードを使いまわしている場合などは特に注意しましょう。
サーバーにおける主だった対策は以下の通りです。
- サーバー内のソフトウェアの最新化
- サーバー上の不要なサービスの停止
- 意図しない通信のブロック、監視
- 不正アクセス対策ソフトの導入
- パスワード設定を見直す
また、不正アクセスへの有効な対策として、対策ソフトを導入して意図しないアクセスを検知したり、遮断したりする方法もあります。
また忘れがちなのが、パスワードの設定です。短いパスワードや社名など推測されやすいパスワードにしていたり、ずっと同じパスワードを使用している、別のサービスなどでパスワードを使いまわしている場合などは特に注意しましょう。
ネットワークの対策
ネットワークにおける主だった対策は以下の通りです。
ファイアウォールとSSL化はWebサイトにおける、基本的なセキュリティ対策です。
ファイアウォールとは「防火壁」の意味で、内部のネットワークに侵入してくる不正なアクセスをチェックし、防御する役割をします。常時SSL化は、通信を行う際に暗号化する仕組みのことで、通信中に悪意を持った第三者への情報漏洩を防ぐことが可能です。
またWebサイトのようにインターネットで公開している「オープンネットワーク」はもちろんのこと、社内データベースなどの「クローズドネットワーク」もサイバー攻撃の対象となるため、合わせて対策しましょう。
- ファイアウォールの設置
- 常時SSL化
- ログの管理
- セキュリティ検査を行う
ファイアウォールとは「防火壁」の意味で、内部のネットワークに侵入してくる不正なアクセスをチェックし、防御する役割をします。常時SSL化は、通信を行う際に暗号化する仕組みのことで、通信中に悪意を持った第三者への情報漏洩を防ぐことが可能です。
またWebサイトのようにインターネットで公開している「オープンネットワーク」はもちろんのこと、社内データベースなどの「クローズドネットワーク」もサイバー攻撃の対象となるため、合わせて対策しましょう。
WordPressを使ったWebサイトは脆弱性を突かれやすい?
CMS(Contents Management System)とは、Webサイトのテキストや画像などの管理をWeb上で行えるようにしたシステムです。
世界でもっとも利用されているCMSはWordPress(ワードプレス)で、世界の40%以上、日本では80%以上のシェアと言われています。
使用している人が多いため、検索すれば簡単に情報が得られますし、さまざまな無料テンプレートやプラグインも公開されています。
しかしプログラムのソースコードが一般に公開されている上、その使用率の高さから脆弱性を突かれやすいというセキュリティ面のデメリットがあるのも事実です。
Webサイト制作会社の中には、WordPressを利用する場合の他、オリジナルCMSを独自に開発しているケースもあるので、依頼する際に参考にするといいでしょう。
世界でもっとも利用されているCMSはWordPress(ワードプレス)で、世界の40%以上、日本では80%以上のシェアと言われています。
使用している人が多いため、検索すれば簡単に情報が得られますし、さまざまな無料テンプレートやプラグインも公開されています。
しかしプログラムのソースコードが一般に公開されている上、その使用率の高さから脆弱性を突かれやすいというセキュリティ面のデメリットがあるのも事実です。
Webサイト制作会社の中には、WordPressを利用する場合の他、オリジナルCMSを独自に開発しているケースもあるので、依頼する際に参考にするといいでしょう。
ウェヴァードではオリジナルCMSを利用し、納品後もWebサイトの管理をサポートします
Webサイトのセキュリティ対策は、使用しているソフトなどのバーションは常に最新のものに更新すること、不要なデータを放置しておかないこと、パスワードを推測されにくいものに設定することなど、日々の管理が大切です。
しかし、これらの対策を個人で行うのはなかなか大変なこと。
ウェヴァードでは、セキュリティ面の管理も含めて、納品後もしっかりサポートいたします。Webサイトの管理、運営に不安がある場合は、一度ご相談ください。
しかし、これらの対策を個人で行うのはなかなか大変なこと。
ウェヴァードでは、セキュリティ面の管理も含めて、納品後もしっかりサポートいたします。Webサイトの管理、運営に不安がある場合は、一度ご相談ください。
ARTICLE