昨今、ほとんどの企業において自社の商材やブランディングアピールの方法としてWebサイトの保有および運営が有力な手段として必要不可欠となっていますが、一方でそのセキュリティ対策も重要な課題の１つです。 脆弱なWebアプリケーションは不正アクセスや悪意ある攻撃の標的となり、Webサイトの情報改ざんやそれにともなうサービスの障害、もしくはこれらに留まらず情報漏洩を引き起こした際には、損害賠償や信頼感の失墜といった大きな痛手となります。 サイバー攻撃の報告件数も年々増加しており、そのターゲットは大企業や行政機関にとどまりません。今や小規模なECサイトや商店のホームページなど全てのWebサイトが攻撃の対象となっています。そこでここでは、WEBサイトのセキュリティ対策における基礎知識や対策法について紹介していきます。

WEBサイトのセキュリティ対策の必要性について

　 まずは、サイバー攻撃とはどのようなものがあるのか、「フィッシング」や「不正アクセス」などの用語はよく目にしても具体的な攻撃の内容や手法についてはなかなか接する機会もなく、出回っている情報もそんなに多くありません。ここでは以下に主な種類をあげてご紹介します。

XSS（クロスサイトスクリプティング）

脆弱性のあるSNS掲示板や入力フォームなどに罠を仕掛けて、個人情報やクッキー情報を入力させて盗む手法です。攻撃側はWebサイト内に貼られたURLリンクのクリックを誘導し、ユーザーを別サイトに遷移させます。この誤ったページを開く際にスクリプトにより悪意のある指示が実行されウィルスの感染などを引き起こす仕組みです。

SQLインジェクション

こちらも上記XSSと同様に、Webアプリケーションの脆弱性を標的とした手法です。XSSがサイトをクロスしてスクリプト攻撃を仕掛けるのに対し、SQLインジェクションはデータベースへの命令言語であるSQLを用いて不正な処理を実行させます。主に入力フォームなどに仕掛けられ、訪問者のWebサイトをマルウェアなどに感染させたり、ECサイトからの個人情報やクレジットカード情報漏洩、ログイン画面からアカウント名やパスワードを盗んだり等といった被害が報告されています。

CSRF（クロスサイトリクエストフォージェリ）

こちらもWebアプリケーションの脆弱性を利用した攻撃ですが、違いは正しいユーザーになりすまして攻撃を仕掛けてくる点です。ユーザーを装ってサーバーに悪意あるリクエストを送信してくるため、本来の正規ユーザーが知らないところで意図せぬ処理が実行されてしまいます。具体的には、SNS掲示板に勝手に投稿され友人や知り合いにウィルスを拡散させてしまったり、ECサイトで不正な高額決済をさせられてしまったりする例が挙げられます。 上記の3点は、データの入出力処理に関連した脆弱性を標的にした攻撃です。データベースへの不正アクセスにより情報が書き換えられ、Webサイトの改ざんや個人情報の漏洩につながります。 他にも以下のような事例は、ニュースで目にしたことがある人もいるでしょう。

アクセス関連の攻撃

ログインエラー時の再試行に回数制限がされていなかったため、膨大なログイン試行データ（パスワードリスト）を送り付けられ不正アクセスにつながってしまったり、パスワード再発行機能の認証システムに不備があり不正に書き換えられてしまったりする被害が報告されています。

DDoS攻撃（分散型サービス拒否攻撃）

複数のパソコンを踏み台に標的のサーバーへ一斉攻撃を仕掛け過剰な負荷をかける攻撃です。標的にされた企業や組織は、サーバーダウンによる障害でWebサイトが表示されなくなったり、ECサイトなどでは商取引が停止したりといった被害が発生します。目的は企業への脅迫や金銭の搾取、または嫌がらせなどが考えられ、昨今では政治への不満から政府関係のサーバーを標的にDDoS攻撃を仕掛け、業務の妨害や信頼の失墜を狙う事例も発生しています。 これらをはじめ、インターネット上には様々な脅威が存在しており、攻撃の件数や発覚を免れるための手段レベルなどは年々進化しています。一言にセキュリティ対策と言っても、その手法や種類により最適な対策を講じる必要があります。 以下に、Webサイトを制作する時点と運営を開始してからの段階に分けて、有効なセキュリティ対策の説明をしていきます。

制作時に実施したいWEBサイトのセキュリティ対策

Webサイトを構成しているソフトウェアへの対策

Webアプリケーションの構成には多種類のソフトウェアが利用されていますが、これらのソフトウェアに脆弱性があると攻撃の対象となる可能性が高まります。そのためバージョンアップはきちんと行い、最新のものを使って構築することが重要です。

公開するページやファイルはできるだけ必要なもののみにする

Webサイトの訪問者に見せる必要のないホームページやファイルは、悪意ある第三者がアクセスし書き換えや改ざんを行うのを防ぐため、インターネット上からアクセスできない場所に保管したり、不要であれば削除したりするといった対策をとりましょう。 また、利用していないアプリケーションやサービスがあれば削除し、極力必要なものだけを表示するようにしましょう。管理下にないページや放置されたアプリケーションなどは、攻撃を受けても発見される可能性が低く悪用されやすいため、できるだけ必要なものだけにして定期的なチェックが必要です。

強固なパスワードを使用する

推測されやすいパスワードは、不正にログインされる可能性が高くサイバー攻撃を受けやすくなります。特に管理者アカウントは編集や承認の権限があり狙われやすいので、パスワードの設定は文字と数字を組み合わせて推測されにくい複雑なものにしましょう。

ネットワークのセキュリティを高める

ネットワーク境界で不審な通信を通さないため、ルータ機器を利用して外部から内部へ向けた不正なアクセスをブロックできるようにしましょう。内部に攻撃を通してしまうと、情報を持ち出されたり悪意ある情報を拡散させたりする側になってしまう可能性が高まります。 また、ファイアウォールを利用して通信をフィルタリングするのも有効な対策です。ファイアウォールとは、不審な通信をブロックするためにあらかじめルールを設定しておく壁のような機能です。アプリケーションごとやIPアドレスごとに外部との通信を許可するかどうかを設定することができるので、万が一不正アクセスを通してしまっても、悪意のプログラムによる外部への情報漏洩を未然に防ぐことができます。 ファイアウォールは大きく2種類があり、1つは家庭などのパソコン自体を防御する目的のものです。たいていはウィルスソフトとセットで販売されていますが、インターネットサービスのプロバイダから提供されている場合もあります。もう1つは、企業などのネットワークに対して使用するもので、インターネットと社内LANの間で設定します。 どちらも、不審な通信そのものの防御を目的とした大変有効なセキュリティ対策ですので導入の検討をおすすめします。

運用時に実施したいWEBサイトのセキュリティ対策

Webアプリケーションは常に最新の状態にする

制作時の対策としても前述しましたが、Webアプリケーションはバージョンアップの更新やデータの見直しを定期的に行い、常に最新の状態にしておきましょう。Webアプリケーションで何らかの脆弱性が発見されて場合は改修してバージョンアップの通知が届きます。放置すると周知されている脆弱性を内包したままとなり、サイバー攻撃を受けやすくなります。 Word Pressは世界中で使用しているユーザーも多く有名なWebアプリケーションですが、オープンソースであるため悪意のあるハッカーからも狙われやすく、プラグインを利用しての攻撃が度々検知されています。Word Pressは月1回くらいの頻度で機能の追加や脆弱性へのセキュリティ対策などでアップデートを行っています。通知が来たら早めに対処をしましょう。 尚、バージョンアップをするとソフトウェアやフレームワーク間の連携に不具合をもたらしWebサイトが正常に表示されなくなる場合もありますので、実施の前にバックアップを取り、アップデート後はチェックや稼働確認を行うことが大切です。

セキュリティソフトの導入

セキュリティソフトの主な機能はウィルスや不正プログラムなどの検知・駆除で、具体的には以下のように作動しています。 　→保有のウィルス一覧ファイルと、実際のデータを比較して異常を検出 　→対象のデータを解析し不審な処理コードやプログラムを検出 　→検出したコードやプログラムの削除、送信元とのアクセスを遮断 これらの動作に加え、最近では上述のファイアウォール機能を備えた製品も普及しています。また、ランサムウェア（データ盗難と引き換えに身代金を要求する攻撃）という言葉を耳にした方も多くいるかと思いますが、これらの対する防御もセキュリティソフトがカバーしています。 外部からのサイバー攻撃は年々手口が進化しており、それに対抗するセキュリティソフトもアップデートを重ね対応しています。最近ではほとんどがインターネットを経由した自動アップデートのしくみになっているので、自分で更新を頻繁に行う必要はありませんが、契約期間の確認を怠らないようにしましょう。

あなたのサイトは大丈夫？おすすめのセキュリティ対策チェック方法

自分のWebサイトが悪意ある攻撃をうけていた場合、見抜くことができるでしょうか。しばらく見直ししていなかったり、見た目ではわからないけど改ざんされているケースなどで、訪問者が個人情報を盗まれたり、ウィルス感染させられたりする被害が挙げられています。被害を未然に防ぐために、セキュリティの異常がないかを確認できるサービスをご紹介します。 URLチェッカーは、入力フォームに該当のURＬを入力してスキャンするのでインストールは不要ですが、ツールはインストールが必要で一回入れ置けば以降は自動でチェックしてくれます。

URLチェッカータイプ

・Site Safety Center　 
日本語対応のURLチェッカーで、セキュリティソフトで有名なトレンドマイクロが運営するチェックサイトです。該当のURLを入力すると、そのサイトを4段階の評価で診断します。

・VirusTotal　
同じくURLの入力のみで疑わしいファイルがないか分析してくれるサービスです。安全性の評価に加え、問題のあるコンテンツやその内容も表示してくれるので、チェックと同時に改善点も見つけることができます。

・ https://securl.nu/
こちらもURLの入力のみで安全性を診断してくれるサイトですが、診断のみならずサイトのキャプチャー画面を表示する機能があります。多少時間がかかる場合がありますが、自分のブラウザで開くわけではないので、開くのが不安なサイトを確認したい時にも便利です。

ツールタイプ

・Norton Safe Search
セキュリティソフトで有名なノートンが無料で提供している、サイトをチェックできるツールです。一度インストールしておけば、検索エンジンを使用した際に検索結果から不審な情報のあるサイトやフィッシング詐欺の可能性のあるサイトを判別して表示してくれます。

・SiteAdvisor
こちらのツールも、セキュリティソフトで有名なマカフィーが提供しています。検索結果の安全評価を表示してくれて、クリックした先が不審なサイトであった場合はブロックする機能もあります。

脆弱性診断サービス

上記のようなツールで調べるのは手間やコストがかからず簡単ですが、検知できるのはウィルスや改ざんがあるかどうかの程度です。自分のサイトに脆弱性があるかないかの判断はできないため、より踏み込んだ診断をするには自力で目視か、脆弱性診断サービスに頼るしかありません。 こちらについては、サイトの規模や検査の回数・理想とする導入費用などにより各社適性があるかと思いますので、「脆弱性診断サービス　ランキング」など検索し、比較サイトでのおすすめ情報を確認して検討されることをおすすめします。

Webセキュリティ対策についてのまとめ

今回はWebサイトを保有、または立ち上げる際に確認するべきセキュリティ対策について紹介しました。 脆弱性のあるＷｅｂサイトを放置することは、自社へのトラブルのみならず顧客へも迷惑をかけ不信感を持たれてしまう原因となります。また一度サイバー攻撃を受けてしますと損害のリカバリーに相当な労力やコストもかかり、改修までの商機を逃すため経済的損失も大きくなります。 攻撃も防御も目に見えないものであるため、専門の担当者がいない場合は対策も難しくなりがちです。中途半端な対策となるようなら、外部委託など専門機関へのご相談をおすすめします。