昨今のサイバー攻撃の傾向から、セキュリティ対策は中小企業こそ大事といえます。
何か起きてからでは、大変な労力がかかったり、思いもよらぬ被害となるばかりではなく、知らずないうちに加害者となっている危険性もあります。できる対策から今すぐ始めましょう。
Webサイトのセキュリティ対策に関するよくあるお悩み
-
サイトのセキュリティが不安…
-
セキュリティ対策をしたいがどうしたらいいか分からない
-
小さな会社だし対策してもしなくても良い…?
目次
Webサイトは企業にとって重要な営業ツールです。いかにアクセスされるか、いかにお問い合わせを増やすか、といったことに日々工夫を重ね、力を入れている企業が多いかと思います。
では、Webサイトのセキュリティ対策は行っているでしょうか。
セキュリティが侵されたサイトでは、お問い合わせや販売の機会損失といった直接的な金銭面だけではなく、信用面でも被害があり、放置しておくとサイトが検索結果から表示されなくなったり、加害者となってしまうリスクがあります。
会社の信頼を失うことにもつながるため、取り返しがつかなくなる前に、リスクマネジメントとして適切なセキュリティ対策が必要となります。
中小企業だからこそセキュリティ対策が大事
中小企業だし、まさか自社のサイトが狙われることなんてないだろう…と、セキュリティ対策は縁遠い話だと思われている方もいるかもしれません。
しかし、10人程度の小さな会社であったとしても、ターゲットとされるのが昨今の状況です。
大企業は堅牢なセキュリティ対策を行っている場合がほとんどです。そのため、サイバー攻撃を考えているハッカーなどは、セキュリティのしっかりした大企業よりも、セキュリティに疎かになりがちで、つけ入る隙のある中小企業を格好のターゲットとして攻撃するケースが増えています。中小企業であっても、マルウェアに感染してサイトが改ざんされてしまった、と相談されるお客様も多くいらっしゃいます。また、中小企業を踏み台、入り口として大企業への攻撃につなげるケースもあり、そうなると取引先にも甚大な迷惑となってしまいます。
そのため、セキュリティ対策を疎かにしがちな中小企業だからこそ、適切な対策を行う必要があります。
セキュリティの被害例
サイバー攻撃とは、サーバやパソコンなどのコンピューターシステムに対し、ネットワークを通じて破壊活動や個人情報などのデータの窃取や改ざんなどを行うことです。
特定の組織や企業、個人を標的にする場合や、不特定多数を無差別に攻撃する場合があり、その目的も様々で、金銭目的のものもあれば、ただの嫌がらせやスキルの誇示といった愉快犯的な犯行も多くあります。
ここでは、Webサイトのサイバー攻撃について取り上げます。
脆弱性を突いた攻撃
脆弱性を突いた攻撃はWebサイトが最も受けやすい攻撃となります。Webサイトを構成するファイルやサーバ上のファイルの脆弱性を突き、プログラムの書き替えや改ざんを行い、機密ファイルや個人情報を窃取します。
高負荷攻撃(DoS/DDoS攻撃)
ウェブサイトやサーバーに対して過剰なアクセスやデータを送付するサイバー攻撃です。過剰な負荷がかかることでサーバーがダウンします。そのため、攻撃を受けたWebサイトはユーザーが閲覧できなくなったり、接続に時間がかかったりするようになります。サービスサイトが閲覧不能になれば販売機会の損失になってしまいます。
パスワードリスト攻撃
悪意を持った第三者が、 リスト化されたIDやパスワードを用いてWebサイトのサーバーや管理画面等にアクセスし、不正ログインを試みる攻撃のことです。不正ログインに成功してしまうと、サイトが乗っ取られて改ざんされたり、重要なデータが盗取され情報漏えいにつながってしまいます。
セキュリティ対策の考え方
企業がセキュリティ対策に費やせるリソースには限りがありますし、日々、次々と新しい手法で、様々な手口で攻撃してくるという特性上、100%完璧な対策というものは存在せず、リスクをゼロにすることはできません。
そのため、現実的な範囲で最も効果的な対策を考えていく必要があります。
少しの対策だとしても回避できるリスクがありますので、簡単な対策から始めていきましょう。
セキュリティ対策と運用の円滑さ、コストのバランスが重要
現実的な範囲でセキュリティ対策を行うことが大切ですが、コスト面以外にはWebサイトの運用面も考慮する必要があります。
セキュリティを強固にしすきて、Webサイトの運用がスムーズにいかないケースも見てきました。
例えば、Webサイトに入れたセキュリティシステムが、サイト管理者や編集者の通常の更新作業に対しても過剰に反応してしまい、サイトの持ち主がブロックされてしまうというケースです。
また、Webサイトの更新作業を外注するにあたり、業者に作業を依頼したが、自社からしか編集画面にアクセスできないように制限をかけていたため、その制限を解除する方法が分からず、対応に時間がかかった結果、サイトの更新が遅くなってしまったというようなスムーズさにも関わります。
Webサイトの更新や施策の実施は、スピードが大事な面が大きいため、セキュリティが足かせとなり、本来の目的である利益を生むための運用作業に支障があるというのはなるべく避けたいところです。
セキュリティと運用円滑さ、コスト面でのバランスを適切になるよう検討する必要があります。
具体的なセキュリティ対策
常時SSL対応
Webサイト内のすべてのコンテンツを「https(暗号通信)」で通信するようにします。Webサイトには必須の対策となります。
サーバーのアップデート
サイトを設置しているサーバーのPHPやMySQLなど、プログラム言語のバージョンは常に最新に保つようにしましょう。
WordPressとプラグインのアップデート
常に最新の状態に保ち脆弱性を防げるよう、継続的にWordPressとプラグインをアップデートすることが必要です。WordPress以外のCMSでも同様に最新のバージョンを使用するようにしましょう。
WordPressのセキュリティ強化
WordPressはそのまま使用していると、攻撃しやすくなっている場合があります。ログイン画面のURL変更やログインの試行回数制限や画像認証、ユーザ名を隠す、など適切なセキュリティ対策を行いましょう。
アクセス制限
サーバーや管理画面といった重要な部分に、関係のない第三者からアクセスできないように制限をしましょう。
お問い合わせフォームのスパム対策
スパムメールを受信しないよう、「Google reCAPTCHA」の導入など、スパムを判定しブロックしてくれるシステムを導入しましょう。
WAFの導入
WAF(Web Application Firewall、Web・アプリケーション・ファイアウォール)という、Webサイトへのアクセスをリアルタイムでチェック・監視し、サイバー攻撃の可能性が高いと自動的に判断した場合に、通信を遮断してくれます。多くのレンタルサーバでは標準実装されていますので、早急にWAFを導入をするようにしましょう。
何かあったときのための対策も忘れずに
悪意のあるハッカーは手を変え、次々と巧妙な手口で攻撃してきますので、対策をしていたとしても100%完全に防ぐことは難しいです。
万が一、サイトがマルウェアに感染したときに重要となるのが、サイトのバックアップです。
サイト内のどこにマルウェアがあるか、不正なコードが記述されているか、というのを探し出して駆除するのは、とても大変な作業です。とても素人にできるものではありません。最悪バックアップがなければ、サイトを作り直すしかない可能性も出てきます。
バックアップに置き換えることで、不正なファイルなどが排除されますので、サイトを元に戻すことができます。
ただ、バックアップに置き換えるということは、その時点より後のサイトの更新内容も全て元に戻ってしまうことになりますので、サイトを頻繁に更新する場合は、バックアップの頻度にも気をつけるようにしましょう。
サーバー会社に自動バックアップがある可能性もありますが、大抵は期間が過去7~14日間分程度のみ保持されているなど、限られており、気づいたタイミングが遅ければ、そのバックアップ全てがマルウェアに感染したものとなっていて全滅という可能性もあります。
バックアップファイルを全て残すとなると、大量の容量が必要となるため、バックアップファイルの管理も必要となります。
自社のWebサイトの更新の頻度などに応じて、バックアップを取る頻度を決め、適切なバックアップをとるようにしましょう。
バニラベアのセキュリティ対策
バニラベアでWebサイト制作する際には、最低限必要なセキュリティ対策を施し、それ以上はお客様のご予算や、運用に支障が出過ぎないか等のバランスを考慮して、お客様のご希望に応じた対策をさせていただくことが可能です。
Vanilla Bearがご提供しているWebサイト制作・更新サービス
白熊の更新屋(更新代行サービス)
こんな人におススメ
- 本業に集中したい
- 今契約中の業者に不満がある
- Web担当を雇用する程の作業量ではない
- 放置しているHPを活用していきたい
パッケージングサイト制作
こんな人におススメ
- 初期費用を抑えて、HPを手に入れたい
- スモールスタートで徐々にサイトを育てていきたい
- どんな機能を付けるか、まだ明確に決まっていない
- とにかくすぐにHPが必要!!
完全オーダーメイドサイト制作
こんな人におススメ
- 好きなように機能を盛り込みたい
- 完全オリジナルでデザインしてほしい
- じっくり練ってから形にしたい
- ブランドイメージを作っていきたい