企業が運営するWebサイトは、コーポレートサイトやECサイトといったビジネス上の重要なツールとして、あらゆる場面で活用されています。それに伴い、近年ではサイバー攻撃など犯罪行為の標的になることが多く、対策に追われる企業が増加しています。
ここではWebサイト運用におけるセキュリティリスクや、企業が行うべきセキュリティ対策のポイントについて、紹介します。
目次
今回のケース
古くなった自社のWebサイトを見直し、リニューアルを検討している。自社Webサイトにおけるセキュリティにはどのようなものがあるのかを把握し、対策を行いたい。
( 1 ) Webサイト運営のセキュリティリスクとは
近年はサイバー攻撃の標的が中小企業にも拡大し、企業のWebサイトにおけるセキュリティ対策の強化が急務となっています。しかし、「サイバー攻撃を受けるような規模ではない」と対策に積極的ではない企業や経営者も散見されます。そういったセキュリティの甘さにつけ込むケースや、大企業への不正アクセスの「踏み台」に利用されるケースもあり、もはやあらゆる企業のWebサイトがターゲットになりうる状況といえます。
Webサイトへのサイバー攻撃では、「セキュリティホール」と呼ばれるプログラムやネットワークの欠陥、いわゆる「脆弱性」をついて、不正アクセスなどが行われます。そこで、Webサイトの運営にあたっては、それらの脆弱性やセキュリティリスクを把握し、対策を取る必要があります。
Webサイトへのサイバー攻撃のリスクを以下の通り挙げてみます。
不正アクセスによるWebサイトの改ざんや消去をはじめ、個人情報・機密情報などの漏洩は代表的なセキュリティリスクです。また、Webサイトからマルウェアに感染するケースも増加しており、中にはWebサイトを操作不能にして身代金を要求する「ランサムウェア」と呼ばれるものもあります。いずれも事態の収拾にかかる時間やコストは大きく、社会的な信用やイメージの低下は避けられません。
( 2 ) Webサイトに対するサイバー攻撃の手法
サイバー攻撃は巧妙化・複雑化しており、その手法は様々です。Webサイトの脆弱性を狙ったサイバー攻撃の手法について紹介します。
データベースを攻撃するSQLインジェクション
SQLはデータベース言語の一つで、データベースの定義や操作に用いられます。フォームなどに不正なSQLを入力することで悪意のある命令を実行させ、個人情報の窃取やWebサイトの改ざんなどを行います。
罠を仕掛けて情報を盗み取るクロスサイトスクリプティング(XSS)
Webサイトや掲示板などにスクリプト(簡易なプログラム)を仕込んだリンクを張り、偽サイトなどに誘導します。誘導されたサイトでスクリプトが実行され、入力した個人情報などが流出するという仕組みです。
脆弱性を狙ったゼロデイ攻撃
ソフトウェアなどのまだ知られていない、もしくは修正プログラムが公開されていない脆弱性を狙って行われるサイバー攻撃です。これにより、Webサイトを閲覧しただけでマルウェアに感染し、サイトの利用者が被害を被る可能性があります。
サーバに負荷をかけダウンさせるDoS攻撃・DDoS 攻撃
「DoS攻撃(ドスこうげき)」とはサービス拒否攻撃ともいわれ、サーバの処理能力を超えるデータやリクエストを送って負荷をかけ、サーバをダウンさせたり、サイトへのアクセスをできなくしたりするものです。このDoS攻撃を複数の端末から大量に行うものを「DDoS攻撃(ディードスこうげき)」、分散型サービス拒否攻撃といいます。サーバのダウンによりWebサイトへのアクセスができなくなることで、金銭的な被害に加え、企業イメージの低下や社会的な信用が損なわれる危険性があります。
( 3 ) Webサイト運営におけるセキュリティ対策のポイント
Webサイトのセキュリティ対策について、具体的に紹介します。
サーバやソフトウェアの脆弱性対策
脆弱性を狙って行われる攻撃を防ぐためには、Webサイトに使用しているサーバのOSやソフトウェアのバージョンアップを行い、常に最新にしておくことが重要です。そのためには、これらのOSやソフトウェアへの理解とともに、適切な管理も求められます。
パスワードポリシーの設定と適用
管理者用のパスワードが簡単に推測できるものであったり、あるいはそのパスワードを他のシステムで使い回したりしていることで、第三者によるアカウント侵害のリスクが高まります。そのため、パスワードの定期的な変更やパスワードポリシー(規則)の設定を行い、適正に運用する必要があります。
ネットワークセキュリティ対策ツールの導入
ネットワークからの攻撃には、「ファイアウォール(※1)」「IPS(※2)」「WAF(※3)」などのツールを活用し、不正なアクセスによる侵入を防ぐ必要があります。これらの機器は、それぞれブロックする対象や範囲、役割が異なります。この点を理解し、自社に最適なセキュリティ対策を実施することが重要です。
※1
ファイアウォール:「Firewall」は「防火壁」の意味。インターネットを経由して侵入してくる不正なアクセスから社内のネットワークを守る仕組み。
※2 IPS:「Intrusion Prevention
System」の略。不正な通信を検知し、ネットワークへの侵入を防ぐシステム。
※3 WAF:「Web Application
Firewall」の略。従来のファイアウォールでは防げないWebアプリケーションの脆弱性をついた攻撃からWebサイトを防御するシステム。
( 4 ) オールインワンで複数のセキュリティ対策を集中管理 (社内サーバで運営する場合)
セキュリティリスクを回避するためには、上記で紹介したような複数のセキュリティ対策の導入が必要となります。サクサでは、特に社内サーバでWebサイトの運営を行う場合のネットワークにおけるさまざまなセキュリティ課題に応える「UTM(統合脅威管理アプライアンス) SS7000Ⅲ」をご提供しています。
複数のセキュリティ機能を搭載
多様化するセキュリティリスクやサイバー 攻撃への対策は、それぞれに応じたツールが必要になります。しかし、複数の製品やシステムを導入するとコストがかかり、運用や維持にも手間がかかります。そこで登場したのが「SS7000Ⅲ」です。複数のセキュリティ機能を有し、インターネットからの通信と企業内ネットワークからの通信の両方を監視して総合的に対策を行うことができます。
ネットワークセキュリティを集中管理
複数のネットワークセキュリティを集中管理し、社内ネットワークをさまざまな脅威から守ります。ファームウェア(制御のためのソフトウェア)のバージョンアップを自動更新し、最新のセキュリティプログラムを適用します。また、サイバー攻撃に対応するため、高性能エンジンによるウイルス検疫やシグネチャ(ウイルス検知ファイル)の自動アップデートも行います。
( 5 ) まとめ
デジタル化・ネットワーク化の技術はめざましい進化を遂げ、現在では多くの企業がWebサイトを通じてさまざまなビジネスを展開しています。安全かつ安心な運営・運用を行い、良好な事業を展開していくためにも、Webサイトの脆弱性やセキュリティリスクへの正しい理解、そして適切なセキュリティ対策を講じていくことが、企業や経営者に求められています。
サクサは、課題解決のための最適な提案を通して、中堅・中小企業のサポートをさせていただきます。ぜひお気軽にご相談ください。
経営課題におけるトレンド情報や課題解決にお役立ていただける資料をまとめております。
ぜひ一度お読みください。
