この記事の目次
WEB制作の現場では、情報が何よりも重要な資産です。
情報を守るためにも、セキュリティ対策が大事ですが対策を怠るとどのような問題が起きるのかお伝えします。
セキュリティ対策をせずに、WEB制作を行っているともっとも注意しなくてはいけないのは、情報漏洩です。
個人情報保護は、現在企業にとって重要な資産といえます。
重要だからこそ狙われ、攻撃の対象となるのです。
不正アクセスや悪意あるプログラムが埋め込まれて、個人情報が漏洩してしまう恐れがあります。
個人情報を流出させる=信用失墜、となるだけではなくて事態収拾までに大きな時間と手間が発生するでしょう。
マルウェア、というのは悪意あるプログラムの総称です。
よく知られているマルウェアは、以下になります。
・ワーム
・トロイの木馬
・スパイウェア
ホームページにマルウェアが仕込まれると、管理者が全く作業できないようにロックされてしまう可能性が高いです。
最近では、マルウェア感染をさせるサイバー攻撃が増えてきているため注意が必要といえます。
感染すると情報の書き換えが行われ、アクセスしてきた人を別サイトに誘導し機会損失を招くのです。
サイバー攻撃されたホームページで、よくある被害は内容が改ざんされて掲載していた情報の変更が考えられます。
情報が変わると、アクセスした人が誤解する情報の公開、入金先の情報が書き換えられるなど非常にリスクが高いです。
意図しない差別文章などを勝手に追加される可能性もあり、ホームページそのもののイメージダウンにつながります。
WEB制作をするのであれば、セキュリティは十分に対策を行わなければいけません。
一言セキュリティ、といっても守るべきポイントを理解していないと対策も難しいです。
ポイントは脆弱性となるので、解説していきます。
サイバー攻撃を受けやすくなるのは、システムに脆弱性があるからです。
脆弱性とは、OSやソフトウェアの欠陥を指していて、別名セキュリティホールと呼ばれています。
WEB制作は人間が考え、生み出し、運用しているため完璧は安全はシステム上に存在していません。
WEB制作を行ういくつかの段階の際、または運用を行う中で脆弱性が起きてしまうのです。
こうした、セキュリティ上の欠陥を突いて、サイバー攻撃は行われます。
脆弱性は、目に見えないため一見してセキュリティ対策は大丈夫に見えても少しのきっかけで脆弱性が露呈する可能性も高いです。
システム上のあらゆる場所に欠陥が発生するので、正確にすぐ気づくことはなかなか難しいといえます。
サイバー攻撃はそういった、気付きにくい脆弱性を狙い、情報を抜き取ったり書き換えたりするのです。
攻撃者は、脆弱性を見つけるために一生懸命あらゆる手段を使用して探し回っています。
少しの隙が重大な欠陥を生み出す可能性があるので、セキュリティ対策は慎重に対応していかなくてはいけません。
脆弱性をついたサイバー攻撃で、代表的な種類は以下になります。
・DoS攻撃
・SQLインジェクション
・クロスサイトスクリプティング
DoS攻撃は昔からあるサイバー攻撃の方法で、大量のメールやリクエストを送り続けて、対象のサーバーをダウンさせるのです。
現在では、複数の端末から攻撃を仕掛けてくる事も多く、従量制サービスに攻撃して大量の課金をさせる場合もあります。
SQLインジェクション、クロスサイトスクリプティングはどちらも問い合わせフォームを利用した攻撃です。
意図しない動作を引き起こさせる攻撃なので、似通っていますがデータベースを攻撃するのかWebサイトを直接攻撃するのかで違います。
以前からブルートフォースアタックやゼロデイ攻撃など、サイバー攻撃が存在したのも事実です。
しかしインターネットが普及していくにつれて、どんどんサイバー攻撃の手口も増えてきました。
増加するたびに巧妙さも増してきているので、WEB制作を行う上でしっかりとセキュリティも進化させる必要があります。
ホームページの脆弱性に気づかず、運用を続けている可能性は十分にあります。
中にはサイバー攻撃をされて、初めて脆弱性に気づいたケースもあるので、まずはサイバー攻撃を受けているかの調査が必要です。
サイバー攻撃は、すぐに被害に気づく場合とそうではない場合があるため、調査を行ってはっきりさせます。
調査方法は、フォレンジック調査が一般的で方法は以下の2種類です。
・ネットワーク上のデータから調査するネットワークフォレンジック
・デジタル機器から調査するコンピューターフォレンジック
どちらも、法的効力を持つ調査方法として知っておいて損はありません。
サイバー攻撃を受けているか、状況をきちんと把握できますし、もしも攻撃されているのなら裁判での証拠になります。
必要に応じて、データの修復・復元、分析なども可能で最終的に報告書としてまとめてくれるので手軽です。
調査は専門業者に依頼しますが、費用に関しては内容や規模によっても変動があります。
WEB制作においてセキュリティ対策が重要、と理解していても実際どんな対策が望ましいかわからないことも多いです。
WEB制作で可能なセキュリティ対策をお伝えします。
WEB制作をしている際、手軽だけど大切なセキュリティ対策です。
不要なプログラムとは何かイメージがつかないかもしれませんが、名前の通り使わないプログラムを指します。
置いていても困らないけど使用することはない、というプログラムです。
不要なプログラムをそのまま放置していると、脆弱性が増し、サイバー攻撃がしやすい環境を整えてしまいます。
WEB制作の場合、最初に使っていたプログラムのままずっと運用していくことはありません。
随時、プログラムは追加していきますがプログラムが増えるだけ、つけいる隙を与えるのです。
プログラム追加の際は、必ず本当に必要なものか今あるプログラムで不要なものはないかをよく検討してください。
WEB制作だけではなく、あらゆるパスワード管理で基本的な部分ですが、パスワードの複雑化は対策として効果的です。
数字+アルファベット+記号などを組み合わせて、パスワード設定するとセキュリティ対策として有効といえます。
単純な文字列ではなく、複雑な文字列にすると簡単に推測できないため、サイバー攻撃を受けにくくなるのです。
サイバー攻撃で、古くからある手口にブルートフォースアタックという攻撃があります。
手口は、IDやパスワードを1つずつ試して解析するのです。
あらゆる組み合わせを試して、確率的にIDやパスワードを推測していく方法なので、簡単なパスワードだとすぐに判明します。
管理権限があるアカウントのIDやパスワードがバレると、情報漏洩やなりすましの危険性もあるため、しっかり複雑な文字列にしてください。
12桁以上の長いパスワードにすると、より推測しにくい環境が整うのでセキュリティ対策が可能となります。
1つのアカウントで誰でもアクセスができ、編集ができる状態だとサイバー攻撃を受けやすいです。
WEB制作において、管理者以外にアクセスできる人間は極力少数に定めてください。
例えば、テストアカウントや退職した人のアカウントをそのまま放置していると脆弱性が生まれます。
アクセス権限を付与したあとは、アカウントの動向をきちんと見極め、もうログインしないアカウントはすぐに削除してください。
また、必要に応じてページ毎にアクセス制限を行い、しっかりとしたアカウント管理も大事です。
全てのページに誰でもアクセスできる、権限を全て付与しているなどはサイバー攻撃を受けやすいので避けます。
理想は、1つのアカウントにアクセスできるのは管理者のみにするとサイバー攻撃しにくくなるので制限は重要です。
WEB制作の場合、運用スタート時にサーバーを構成するシステムやプログラムをずっと使い続けていると脆弱性が生まれやすいといえます。
通常ソフトウェアを利用する場合が多いので、適宜アップデートが行われるものです。
きちんと最新版にアップデートを行うと、進化するサイバー攻撃にも対応できるためリスクが軽減されます。
最新バージョンのリリースは、アラーム設定しておくと便利です。
あとでしよう、と思っていると忘れてしまうため速やかにアップデートを実行してください。
利用しているシステムやプログラムによっては、頻繁にアップデートを行う可能性もあるので見逃さずに更新します。
近年お問い合わせフォームやメールフォームにサーバー攻撃を受けるケースが増えているため、Google reCAPTCHAの設置が有効です。
Google社が提供しているセキュリティ対策ツールの1つで、お問い合わせフォームに設置すると「私はロボットではありません」と表示されます。
Google reCAPTCHAでは、スパムメールの抑制が可能です。
システムやアプリケーションのログを適宜取得することで、不正アクセスの痕跡を確認できます。
痕跡からさまざまな分析を行え、これからどうセキュリティ対策を打ち出そうか検討も可能です。
ログの取得は、思いついた時にすれば良いというわけではなくて、定期的に決めてチェックしてください。
また企業であれば、ログのチェック項目をしっかりルール決めすることで、わかりやすく分析ができます。
何度もログの取得と保管をすることで、過去との比較がしにくいです。
そのため、必要なときにきちんと分析できるよう情報の整理も忘れずに行ってください。
システムやプログラムと同様に、WordPressでWEB制作を行う際は使用しているプラグインのアップデートに注視してください。
WordPressはオープンソースCMSなので、サイバー攻撃の標的にされやすいです。
そのため、あらゆるサイバー攻撃に対応しうるようセキュリティパッチなどを定期的にアップデートが公開されています。
自動アップデートを有効化している場合もありますが、プラグインまでアップデートはされません。
きちんと自身の目で最新版が適用されているのか、プラグインを確認すると良いです。
同時に、不要なプラグインの削除も適宜行ってください。
システムやプログラムとは違い、WEBサーバー周辺のセキュリティは単純なアップデートだけではありません。
自社でWEBサーバーを構築しているケースも多いので、しっかりとセキュリティ対策を行う必要があります。
Intrusion Prevention Systemの略で、DoS攻撃や不正アクセスをブロックするのに有効な対策です。
セキュリティ対策の基本は、ファイアウォールが挙げられますが実はDoS攻撃や状況によっては不正アクセスは防げません。
IPSの場合は、リアルタイムに不正アクセスを検知できます。
サイバー攻撃を検知した際は、即座にアクセスの破棄やIPアドレスの遮断が可能です。
ただIPSのみでは不安が残るので、ファイアウォールと併用するとより強いセキュリティ対策が実現できます。
Web Application Firewallの略で、ハッキング攻撃に有効な対策です。
不正アクセスやDoS攻撃も1回だけのアクセスでは、サーバー攻撃なのか通常のアクセスなのか判別しにくいといえます。
WAFは以下の2つの機能からWebアプリケーションを守る点が特徴です。
・不正な通信や攻撃を識別するシグネチャー
・正常な通信を定義したホワイトリスト
ソフトウェアやシステムの脆弱性を狙った攻撃から、ホームページを守ることができます。
1回限りのアクセスでも、サーバー攻撃かどうか判断が可能なので高いセキュリティ対策を行えるのです。
Web周辺のセキュリティ対策の王道は、ファイアウォールです。
セキュリティを考えた時は、まずファイアウォールを入れると基礎が出来上がります。
インターネットの通信はポートとプロトコルで送受信されていますが、使われていないポートとプロトコルも存在しているのです。
プログラムと同じで、使用していない何かがあると脆弱性が生まれ、サイバー攻撃を受けやすくなります。
ポートスキャンと呼ばれる攻撃方法があり、ファイアウォールは防止が可能です。
ファイアウォールを使用すると、使っていないポートとプロトコルを閉じてくれるので侵入の隙がありません。
単純にサーバー上にあるだけではなくて、ルーターに内蔵される可能性も最近は増えてきています。
盲点といえるため、しっかりとファイアウォールの設定を行って下さい。
Web業界10年以上の知見を持って、無料にてご相談へ対応いたします。
情報収集目的でも歓迎です。お気軽にご連絡ください。