前回では、企業で運営しているウェブシステムに対して、悪意を持った第三者がどの様な攻撃を仕掛けてくるのか、また、それに伴う事業活動において考えられるリスクを解説しました。
今回は、こういったリスクをできるだけ低減するために、ウェブシステムで実施しておきたいセキュリティ対策をご紹介します。
ウェブシステムへの攻撃手法とそのリスク
自社サイトなどのウェブサイトは、不特定多数の人に公開されるため、悪意を持った第三者から攻撃を受け、内部システムへの侵入、個人情報や取引先情報を取得するなどが考えられます。
ウェブシステムに対してよく使われる攻撃手法として以下の3つがあります。
1.SQLインジェクション
2.クロスサイトスクリプティング
3.クロスサイトリクエストフォージェリ
万が一、被害にあった場合、顧客や取引先への謝罪やその後の対応、原因を特定するために調査に要する費用と時間が発生し、事業活動がストップしてしまいます。また、信頼性が失われた場合、事業活動の継続が困難になる可能性もあります。そのため、こういったリスクを低減するために、今回紹介するセキュリティ対策の実施が必要です。
WordPressなどCMSを常に最新の状態にしておく
ウェブサイトを運営する場合、WordPressといったCMSを使用してウェブサイトを構築するケースが増えています。WordPressの人気が上昇しており、「venturebeat.com」の記事によると、ウェブサイトでWordPressを使用している割合は世界で25%にのぼると報じています。
WordPressは、オープンソースであり無料で誰でも利用可能であるメリットがありますが、その反面、脆弱性が発見されやすく、悪意を持った人によるターゲットにしやすいデメリットがあります。そのため、脆弱性が報告された場合は、定期的にアップデートを配信しています。
定期的にアップデートの有無を確認し、常に最新の状態にしておくと脆弱性が修正されるため、攻撃のリスクは低減できるといえます。また、WordPressを使う場合におけるその他のセキュリティ対策については、2016年5月29日の記事で紹介していますので合わせてご覧ください。
WordPressのプラグイン(拡張機能)の導入は慎重に!
WordPressを始め、第三者が開発したアプリケーションであるプラグイン(拡張機能)を導入して、システムのカスタマイズが行えるメリットがありますが、実は、こういったプラグインにも多くの脆弱性が潜んでいます。
この様な、プラグインは個人や小規模な団体がボランティア精神で開発されているケースが多いことから、万全な品質管理やセキュリティ対策まで手が行き届いていない可能性は高いと言えます。そのため、万が一、脆弱性が発見されたとしても対応が遅くなるなど、プラグインから被害が広がる恐れもあります。
プラグインを利用する場合、あらかじめ、どういった団体が開発しているのか、開発した意思は何か、定期的なアップデートの有無などしっかりと調査を行った上で導入の判断を行います。
プラグインの導入後も、WordPress本体も同様ですが定期的なアップデートを適用することに加え、JPCERT コーディネーションセンターと独立行政法人情報処理推進機構(IPA)が共同で提供している脆弱性情報サイト「Japan Vunlnerability Notes(JVN)」を定期的にチェックして、脆弱性情報を常に入手しておくことをおすすめします。
レンタルサーバー側でのセキュリティ対策
ウェブシステム側のセキュリティ対策に加え、サーバー側でのセキュリティ対策も重要になります。サーバー側のセキュリティ対策として「ファイアウォール機能」と「侵入防止システム(IPS)」、「WAF(ウェブアプリケーションファイアウォール機能)」があります。
悪意を持った第三者が侵入可能な経路を調べる「ポートスキャン」を防止する「ファイアウォール機能」や不正に侵入した際の信号を検知し、アクセスを破棄もしくは通信を遮断して、侵入を防止する「侵入防止システム(IPS)」に加えて、SQLインジェクション、クロスサイトスクリプティング、クロスサイトリクエストフォージェリなど、ファイアウォール機能や侵入防止システム(IPS)では防げない、脆弱性をつついた攻撃を防止する「WAF」が利用できることが望ましいといえます。
前回紹介した攻撃手法に対応すべく、上記紹介したセキュリティ対策が標準で利用可能なレンタルサーバーは、KDDIグループの「CPI」やファーストサーバーの「Zenlogic」がおすすめです。