BAsixs(ベーシックス)

「あたりまえ」をアップデートしつづける

お問い合わせ

【2021年版】企業Webサイトに必要なセキュリティ対策とは?

読了目安 : 5

  • 投稿日 :
  • 最終更新日 :

この記事を書いた人

プロフィールアイコン(イラスト):システムチーム
システムチーム(ビジネス・アーキテクツ)

全社の業務を情報システムの側から支え、情報セキュリティに配慮しつつ社内・業務インフラの導入 / 改善 / 管理を行い、他UNITの業務推進を後押しするチーム。

企業のWebサイトにおいて重要なことのひとつに、セキュリティがあります。
ここでは、最新のサイバー攻撃の種類や手口について説明するとともに、企業として実施すべきセキュリティ対策について解説します。

目次

なぜセキュリティ対策が必要なのか?

Webサイトのセキュリティ対策を怠ると、悪意を持った攻撃者からサイバー攻撃を受けた際に、個人情報の流出やWebサイトの改ざんといった事態を引き起こしてしまいます。
また、実際の被害に加えて、セキュリティの甘さが露呈したことによる企業のブランドイメージの低下も避けられません。仮に、クライアントのWebサイトを管理している企業の場合は、自社だけでなくクライアントにも大きな迷惑がかかってしまいます。
そのような事態に陥らないためにも、しっかりとセキュリティ対策を行うことが重要といえるでしょう。

サイバー攻撃の種類と被害

サイバー攻撃にはさまざまな手口があります。具体的な手口やそれによる被害を知ることで、セキュリティ対策のイメージをつかみましょう。ここでは、特に有名なサイバー攻撃の手口について紹介します。

SQLインジェクション

SQLとは「Structured Query Language」の略で、データベースサーバへの命令文を表します。一方、インジェクションは「埋め込む」という意味です。つまり、「データベースサーバへの命令文を埋め込む」ことによる攻撃を、SQLインジェクションと呼びます。

例えば、攻撃者が企業のお問い合わせフォームや会員登録フォームなどに特定のSQLを入力したとします。本来、こうした意図しないSQLは、入力されても実行しないようにしておく必要がありますが、その実装に穴があったり、対策を怠ったりしていた場合、お問い合わせフォームや会員登録フォームを通して、データベースで悪意ある命令文が実行されてしまうのです。
その結果、データベースのデータが攻撃者に抜かれて個人情報が流出したり、データベースのデータそのものが改ざんされたり削除されたりする、といった被害につながる可能性があります。

クロスサイトスクリプティング

クロスサイトスクリプティング(XSS)とは、Webサイトにスクリプト(簡単なプログラム)を仕掛け、それをクリックしたユーザーを偽サイトに誘導するなどして情報を盗み出す攻撃のことです。

例えば、攻撃者がとある掲示板にスクリプトを仕込んだリンクを書き込み、それを見たユーザーがクリックしたとします。すると、ユーザーはスクリプト情報を持ったまま本物に似せた偽サイトに誘導されます。表示されているのは偽サイトですから、ユーザーが何も気づかないままIDやパスワード、あるいは個人情報やクレジットカード情報などを入力してしまうと、これらの情報が攻撃者の手に渡ってしまうというわけです。複数のWebサイトを横断して情報を盗むことから、「クロスサイト」と呼ばれています。

DoS攻撃

DoS攻撃とは「Denial of Service attack」の略で、サーバの処理能力を超えるリクエストを送り、ほかのリクエストに応えられなくする攻撃です。アクセスが集中しすぎて、ページが表示されないWebサイトを見たことはありませんか?その状態を人為的に引き起こすのがDoS攻撃です。

DoS攻撃を受けるとWebサイトが表示されなくなり、ユーザーに迷惑がかかるだけでなく、企業活動にも不利益が生じます。また、マルウェアに感染することで、気づかないうちに自社のWebサイトがDoS攻撃をする側に参加させられていることもあります。こうした“踏み台”にならないためにも、セキュリティ対策が重要となるわけです。

ランサムウェア

ランサムとは「身代金」のことで、ランサムウェアとは、マルウェアなどを使って企業のWebサイトから重要な情報を盗み出し、それを「人質」として金銭を要求する攻撃のことを指します。
機密情報の流出に加えて金銭的な被害が発生する可能性もある、近年多く見られるサイバー攻撃です。

企業が行うべき3つのセキュリティ対策

上記で説明したのはあくまで一例で、サイバー攻撃の手口はさまざまなものがあり、手口も年々狡猾になっています。対策をしたからといって100%防ぐことはできないかもしれませんが、可能な限り防げるよう、しっかりとセキュリティ対策を施すことが重要です。
続いては、企業が実施すべき3つのセキュリティ対策について解説します。

1.Webアプリケーションのセキュリティ対策

Webアプリケーションとは、ブラウザーで動作するアプリケーションのことです。ブログやECサイトの購入システム、YouTube、Twitterなども、すべてWebアプリケーションの一種です。
まずは、Webアプリケーションで気をつけるべきことをご紹介します。

  • 設計段階で脆弱性を作らないよう気をつける
    Webアプリケーションを設計する際、どのようなサイバー攻撃が考えられるのかを想定し、脆弱性を作らないことが重要です。「楽しそうだから」という理由で作ったコメント投稿機能が、攻撃に使われる可能性もあります。「自分が攻撃者なら、どのような攻撃をするか」という想像力を働かせましょう。
  • 不要なファイルや情報を公開しない
    configファイルやiniファイルなど、不要なものを公開したままにしておくと、サイバー攻撃に利用されてしまう可能性があります。公開しなくていいものは、そもそも見せないようにしましょう。
  • ログを管理する
    万が一トラブルが発生しても、すぐにログを見て何が起きたのかを把握すれば素早く対策できます。そのためにも、Webアプリケーションのログをしっかりと保管することが重要です。
    サイバー攻撃を受けた場合、企業にはクライアントや社会への説明責任も発生します。「何が原因で、いつ、どのような被害を受けたのか」ということを説明するためにも、ログが必要です。

2.Webサーバのセキュリティ対策

Webサイトを運営するために必要なのが、各種ファイルやアプリケーションを設置するWebサーバです。Webサーバにもしっかりとセキュリティ対策を施しておかなければ、サイバー攻撃の的になってしまいます。

  • 不要なアプリケーションやサービスを消す
    使っていないアプリケーションやサービスを残しておくと、そこがセキュリティホールになってしまう可能性があります。
    使わないということは、日々のメンテナンスの対象からも外れがちで、古いバージョンのソフトがそのまま残っていることもあります。古いバージョンには脆弱性があることが多く、そこを突かれることも珍しくありません。
  • パスワードの設定に気をつける
    案外多いのが、パスワードの脆弱性を突かれるケースです。短いパスワードや、長くても推測されやすいパスワードは突破されやすく、サイバー攻撃を受けてしまいます。
    社名や英単語などをつなげた文字列は避けて、長くて推測されにくいパスワードを設定するようにしましょう。
  • 不要なファイルを公開しない
    サーバの設定ファイルなど、公開する必要のないものは、アクセスを制限するなどしてユーザーに見せないようにしましょう。
    例えば、特定のバージョンにセキュリティホールがある場合、そこを攻撃の起点として狙われる可能性があります。
  • ログを管理する
    Webアプリケーションと同様、サーバのログもしっかりと保管しておきましょう。何かが起きた際にも、ログが残っていれば対策できます。
    外部の会社にサーバの運用を任せているのであれば、ログの管理もしっかりと依頼することをおすすめします。

3.ネットワークのセキュリティ対策

企業のネットワークには、社内データベースやイントラネットといった「クローズドネットワーク」と、インターネットで公開している「オープンネットワーク」があります。いずれもサイバー攻撃の対象になりえますから、セキュリティ対策が必要です。

  • ルーター機器やファイアウォール、WAFで不正な通信を遮断する
    ルーターやファイアウォール、WAF(Web Application Firewall)などで通信をチェックし、不正な通信をブロックすることが重要です。これらは、企業のネットワークにおける基本的なセキュリティ対策であり、どれか1つということではなく、1セットで考えてください。
  • ログを管理する
    Webアプリケーションやサーバと同様、ネットワークのログもしっかりと保管し、定期的にチェックすることが必要です。
    ログは後から見直すためだけのものではありません。ログを定期的に監視することで、攻撃の予兆を発見できることもあります。
  • 脆弱性がないかセキュリティ検査を行う
    ネットワークに脆弱性がないか、定期的にセキュリティの検査をしたほうがいいでしょう。インターネットを探すとフリーで使える診断ツールもありますが、きちんと検査する場合は外部の専門家に依頼するのが確実です。
  • 常時SSL化する
    SSLとは、送受信するデータを暗号化する仕組みのことです。ネットワークのやりとりをSSL化することで、仮に通信の内容を盗聴されたとしても、中身は暗号化されているので保護することができます。

Web担当者が行うべきセキュリティ対策

上記のセキュリティ対策は、技術者でなければ難しいものが多く、実際には社内の技術者か、委託先の会社に依頼することになるでしょう。
最後に、Web担当者本人が今すぐに始められる、セキュリティ対策について解説します。

Web脆弱性診断ツールを使う

Webの脆弱性を診断できるツールには、さまざまなものがあります。それらを活用して自社のWebの脆弱性をチェックしましょう。
BAsixsが推奨するツールは「OWASP ZAP(オワスプ・ザップ)」です。米国のWASP財団が運営するOWASPという国際コミュニティが開発したツールで、無料でWebアプリケーションの脆弱性を診断することができます。

パスワードポリシーの見直し

前述したWebサーバのセキュリティ対策でも解説しましたが、パスワードを簡単なものにしていると、攻撃を受けるリスクが高まります。
現在使用しているパスワードを確認し、必要なら変更するなどして安全性を高めましょう。

まとめ

セキュリティ対策は、企業のWebサイトで非常に重要な施策のひとつです。サイバー攻撃を受けるとビジネスに大きな打撃を受け、企業のブランドイメージを損なうことになってしまうからです。

BAsixsでは、Webサイトのリニューアルや構築の際にも、適切なセキュリティ対策を施しています。
セキュリティに不安をお持ちの際は、ぜひBAsixsにお気軽にご相談ください。