インターネットが普及したことで、大手企業だけではなく中小企業も自社の会社概要や事業概要を紹介するために、自社ホームページを開設して運営することは一般的となりました。
自社ホームページを運営することは、企業の看板としての役割を果たす重要な設備となります。この看板としての役割が強い自社ホームページですが、近年、サイバー攻撃などが増える中で不正アクセスなどの被害も報告されています。
この様な状況の中、中小企業のIT担当者が、自社ホームページを運営するにあたり、あらかじめ知っておきたいウェブセキュリティ対策を紹介します。
サイバー攻撃は中小企業もホームページも狙われている!
近年、世界中でサイバー攻撃が増えている中、企業の公式ホームページに不正アクセスが行われたことで、ウェブサイトが改ざんされたり、内部システムに侵入され、機密情報や個人情報などを盗み取るといった被害が相次いでいます。
サイバー攻撃の被害を受けるのは知名度が高い大手企業が多いというイメージもありますが、サイバー攻撃自体は大手企業、中小企業関係なくターゲットとなります。特に、大手企業ではセキュリティ対策が強化されたことで、比較的セキュリティ対策が甘いとされる中小企業をターゲットに攻撃が行われるケースも考えられます。
独立行政法人情報処理推進機構(IPA)が調査した「2016年度 中小企業における情報セキュリティ対策に関する実態調査」によると、企業規模ば小さいほどセキュリティインシデントが発生したときの対策を規定されている割合が低く、小規模事業者が13.7%、中小企業(100人以下)が26.8%、中小企業(101人以上)が57.1%という結果になっています。
そのため、中小企業においてもセキュリティ係る対策を進めていくべきであるといえます。
自社ホームページを運営する上で考えられるリスク
特に、企業の看板としての役割が強い自社ホームページは、攻撃者の入口として活用される確立も高くなることから、あらかじめ、自社サイトを公開するにあたり、考えられるリスクを洗い出して、文書化しておく必要もあります。
自社サイトが攻撃されることで、個人情報の漏洩やウェブサイトを改ざん、悪質なホームページへ誘導するための踏み台にされる、内部システムに侵入しされ、機密情報や取引先の情報を収集されることが考えられます。
万が一被害にあった場合、顧客への対応に係る費用や時間が発生する他、被害状況の調査に要する時間、システムの復旧に要する時間、損害賠償に要する費用など、多大な費用と時間が発生していまいます。
また、企業のイメージダウンにつながる他、顧客や取引先からの信頼低下により事業継続が困難になる可能性も考えられます。
ウェブシステムに攻撃する際に使われる3つの手法
自社ホームページを運用する上で、はじめに知っておきたいウェブシステムの「脆弱性」は3つあります。
脆弱性とはセキュリティ上に潜む欠陥のことです。ソフトウェア同様にウェブシステムも人間が設計し運営している以上、100%パーフェクトなシステムはこの世の中には存在せず、どこかしらのミスや欠陥が存在します。この欠陥をつついて攻撃者は攻撃を仕掛けてくるわけです。
攻撃者がウェブシステムに攻撃する際によく使われている攻撃手法は以下の3つがあります。
SQLインジェクション
SQLインジェクションは、システム上の欠陥を利用して、本来想定していないSQL分を実行させることでデータベースを不正に操作する攻撃手法です。
例えば、データベースを不正に操作することで、データベースに登録している全ての個人情報を入手することが可能になります。
クロスサイトスクリプティング
クロスサイトスクリプティングは、問い合わせフォームなどユーザーが任意に入力できるフォームを利用して悪意のあるスクリプトが埋め込まれることで、閲覧した他のユーザーが不正なプログラムに感染したり、フィッシング詐欺、不正サイトへの誘導、クッキー情報の収集といった被害が考えられます。
クロスサイトリクエストフォージェリ
クロスサイトリクエストフォージェリは、ウェブアプリケーションの脆弱性を利用して、お問い合わせフォームなど本来は設置されたウェブサイト以外の悪質なウェブサイトに設置されることで、本フォームに多くの書き込みが行われDoS攻撃につながります。さらに、いたずらな書き込みや犯罪予告、不正サイトへの誘導など被害が広がる恐れもあります。
企業が事業活動を行う上で、今では必須となっている自社ホームページは、企業の情報が公に公開されていますので、攻撃の対象になりやすいことを意識しておく必要があります。次回は今回紹介した3つの攻撃手法への対応策を考えていきます。