ホームページのセキュリティ対策方法【知らないとやばい】

ホームページセキュリティ対策は中小企業こそ必要

中小企業を経営される方の場合、サイバー攻撃と聞いても「狙われるのは有名企業や大企業だけではないか」と思っている方が少なくないのではないでしょうか。

ところが、現在のサイバー攻撃は中小企業をメインターゲットにしており、規模にかかわらずホームページを持つ企業はすべて攻撃対象になってしまうのです。

また、大企業に比べて中小企業の場合、セキュリティ対策が万全でないことが多いため、大企業を狙う攻撃者は、まずは中小企業を攻撃して、それを糸口に大企業に侵入を試みようとしています。

セキュリティ対策が不十分では、不正アクセスされた結果、取引先や顧客等に関する機密情報が流出。企業の存続を脅かすほどの致命的な事態に発展することもあるのです。

ホームページセキュリティ対策で知るべき攻撃手法

攻撃手法は大きく4つの方法に分類することができます。いずれも企業にとって致命的なダメージになってしまうことは言うまでもありません。

「敵を知り己を知れば百戦殆うからず」という言葉があるとおり、まずは攻撃手法について習っていきましょう。

ホームページへの攻撃手法（1）SQLインジェクション

企業のホームページを狙うサイバー攻撃のうち、現在の代表的な手口はSQLインジェクションです。これは、SQL文をホームページの問い合わせフォームなどに混入して送信することで、不正にデータベースを操作するという攻撃方法です。

SQLインジェクションを受けると、ホームページのデータベースが誤作動を起こし、これまで蓄積された顧客の住所や氏名などの重要な情報が流出してしまいます。

過去には、SQLインジェクションにより数万件もの個人情報が流出するという事件も起こっており、サイバー攻撃のなかでも被害が特に大きいのが特徴です。

ホームページへの攻撃手法（2）クロスサイトスクリプティング

クロスサイトスクリプティングも、SQLインジェクションと並んで企業のホームページを狙う代表的な手口です。

この攻撃方法は、問い合わせフォームなどを利用して、不正なJavaScriptをホームページに埋め込みます。それにより、サイト訪問者のクッキー情報が盗まれ、そこから個人情報やクレジットカードの情報が流出してしまうというものです。

ホームページへの攻撃手法（3）DoS攻撃

DoS攻撃は、ホームページの改竄を目的としたものではなく、ホームページに短時間で大量のアクセスを送ることでサーバーダウンを狙うという攻撃方法です。

DoS攻撃を仕掛けられると、ホームページの表示スピードが遅くなったり全く表示されなくなったりといった状態になってしまいます。取引先や顧客が問い合わせできない状態になってしまうので、企業にとって大きな機会損失です。

ホームページへの攻撃手法（4）ランサムウェア

ランサムウェアとは、コンピュータウイルスの一種で、これに感染するとパソコンがロックされたりファイルが暗号化されて使用できなくなったりします。

また、感染したパソコンだけでなく、それとつながる端末にも影響が及ぶこともあります。

ランサムとは英語で「身代金」を意味し文字通り、「感染したパソコンを元に戻して欲しかったら身代金を払え」などと攻撃者から金銭を要求されることが多いのが特徴です。

現在、世界的規模で被害が拡大しているサイバー攻撃の一つであり、ウイルスの作成が容易であることから、今後も攻撃は増加していくと予想されます。

ホームページのセキュリティ対策

ホームページを運営するには、Webアプリケーション、Webサーバ、ネットワークの3つが揃わなければなりません。つまり、この3つに対してセキュリティ対策をしていく必要があるということになります。どこか1つだけでも攻める隙さえあれば、攻撃する側にとっては、セキュリティ対策をしていないと同じ意味になってしまいます。

Webアプリケーション側でできる4つのセキュリティ対策

まずはWebアプリケーション側できるセキュリティ対策を紹介します。なかなか難しい面もありますが、積極的に対策をしていく必要があります。

対策（1）脆弱性を出さないホームページを作る

プログラムの不具合や設計ミスが原因で攻撃されることになるため、正直なところ100%防ぐことは難しいです。ですが、作成段階で、質の高いテストや設計を意識付けていくことで、ある程度、防ぐことができます。

また、ミスがあったとしても、直ぐに更新できるような仕組みを用意しておくことも、脆弱性を出さないホームページとなります。

対策（2）不要なファイルは公開しない

アプリケーションを作る以上、どうしても必要なファイルがでてきます。たとえば、configファイルだったり、iniファイルだったりです。ただ、アプリケーションの作り方が悪いと、不要な情報やファイルまで公開しないといけない状況になったりもします。

ひどい場合だと、configファイルにアプリケーションのパスワードなどが直打ちしていることもあります。なので、不要なファイルを公開しない、不要な情報は公開しないだけで、セキュリティ対策をしていることになります。

対策（3）ソフトウェアなどのバージョンアップを行う

Webアプリケーションを作成するために利用したソフトフェアを始め、ホームページを表示するために、さまざまなソフトフェアを利用していると思います。その各々のソフトフェアを必ず最新のバージョンにしておくことで、セキュリティ対策をすることができます。

バージョンが古い場合、攻撃対象になる事例も多くあるため、必ず行うようにしましょう。

対策（4）ログを保管し定期的に確認する

動作しているWebアプリケーションから、必ずログ出力するようにしましょう。そして、出力されたログを保管し、定期的に内容を確認するだけでも、セキュリティ対策になります。

というのも、怪しい起動ログがあったり、書き換えログがあったりと、アプリケーションの不審な動作を見つけることができるからです。

また、どのようにして攻撃されたか？の解析情報にも役立つため、ログ保管はWebアプリケーションを作る上で、必須の対策です。

Webサーバー側でできる5つのセキュリティ対策

Webサーバーもセキュリティ対策をしていなければ、簡単に攻撃対象となってしまいます。

また、サーバーとなるため、大きな打撃を食らってしまったら、その損害の大きさは計り知れません。だからこそ、しっかりと対策をしないといけないのです。

対策（1）不要なアプリやサービスは消す

よくやってしまうのが、サーバーなので、あれもこれもとアプリやサービスをインストールすることです。 これが意味することは、インストールされているアプリ・サービスを使って攻撃をしやすくしてあげていることです。 この不要なアプリやサービスが攻撃の発射台となり、攻撃する側のアシストをしてしまうわけです。

対策（2）不要なアカウントは消す

こちらも、不要なアプリ・サービスは消すと同じ考え方になります。特に、不要なアカウントはテスト用で残ってしまっていることも多いため、パスワードが単純な場合が多いです。その結果、悪意を持って攻撃してくる側の捨てアカを用意してあげることになります。だからこそ、不要なアカウントを消すだけでもセキュリティ対策になるのです。

対策（3）長いパスワードを使用する

複雑な文字の組み合わせではなく、単純でもいいので、パスワード文字数を増やすことが、セキュリティ対策になります。

というのも、昨今のパスワード解除ツールは、複雑さは得意としているため、あっという間にパスワードを破ってきます。しかし、長さは苦手なため優秀なセキュリティ対策となるのです。

対策（4）サーバーファイルなどのアクセスを制限する

サーバーには重要なファイルがいくつも置いてあります。このファイルを守るために、しっかりとアクセス権限を付けて管理することが大切です。

重要なファイルには、ユーザ情報だったり、各種パソコンのIPアドレスなどが管理されていることもあります。このような各種パソコンの情報が、悪意ある第三者に盗まれてしまった場合、被害が一気に広がってしまうことになります。そのサーバーに繋いでいた個人個人のパソコンに対して攻撃できるようになるわけですからね。

だからこそ、サーバーファイルやフォルダなどには、アクセス権限を付けてセキュリティ対策をする必要があるのです。

対策（5）サーバーのログを保管し定期的に確認する

サーバには、さまざまなログを残す機能が搭載されています。サーバを起動した時間や、シャットダウンした時間はもちろんのこと、誰がアクセスしたか？など、細かい情報が残っています。

これを定期的に「おかしな動きをしていないか？」などの確認をすることで、対策できます。また、サーバー上で動作しているアプリケーションもログを保存するようになっていることも多いため、こちらも一緒に確認をしておくと、より安心です。

ネットワーク側でできる6つのセキュリティ対策

対策（1）ルーター機器で不審な通信を遮断する

ルーターは、誰が通っているのか？を監視することができるため、ある意味で関所の役割も持っているといえます。具体的には、ルーターを介してネットワークに接続してきた機器情報としてIPアドレスなどの個人情報を閲覧することができるんです。

したがって、見知らぬ不審なIPアドレスでルーターを介してアクセスした場合、遮断することもできます。この機能をうまく活用するだけでも、ネットワークのセキュリティを強固にすることが可能です。

対策（2）ファイアーウォールを利用して不正アクセスをブロックする

スタンダードなセキュリティ対策であり、かつ簡単にもかかわらず効果が高い方法でもあります。したがって、必ずファイアーウォールを設定することをおすすめします。

平たく言えば、ネットワーク上に壁を作って、怪しいアクセスがあった場合、ブロックする仕組みです。

対策（3）ログを保管し定期的に確認する

ネットワークに関するログもさまざまな場所に保管することができますし、もともとログ出力機能を備えている機器もあります。

ルーターが最たる例で、通信ログを保管してくれています。これらのログを定期的に確認することで、不審なアクセスなどの確認ができます。

対策（4）WAFを活用し不正な通信を検知・遮断する

WAF(ワフ)は、WebApplicationFirewallの略で、Webサイトを悪意ある攻撃から守ってくれるセキュリティ対策です。ホームページやWebアプリケーションを保護することに特化した対策となるため、非常に効果的にセキュリティの強化できるメリットがあります。

有料サービスが世に出ていることも特徴の1つです。やはり有料だけあるため、その強固さは折り紙付きです。

対策（5）脆弱性診断やセキュリティ検査をする

ネットワークの脆弱性を診断してくれるアプリケーションなどを活用することもセキュリティ対策に繋がります。人が作ったものに対して、人の力でのチェックをしても、完璧なセキュリティ対策をすることは不可能です。

したがって、アプリケーションなどの力を借りることで、人の力では見つけることができなかった脆弱性を見つけることが可能になります。その見つけた脆弱性の対策をすることで、セキュリティ強化に繋がります。

対策（6）常時SSL化にする

SSLとは、データ通信を暗号化する仕組みのこと。暗号化することによって、外部からデータを参照されたり、改ざんされたりすることを防ぎます。

SSLは、非常に強固な手法で暗号化しているため、セキュリティ対策としては、非常に有効な方法です。もしSSL化をしていないのであれば、積極的に導入することをおすすめします。

WordPressで作ったホームページで試せる3つのセキュリティ対策

企業のホームページを狙ったサイバー攻撃のおもな手口を見てきましたが、しっかりセキュリティ対策をしておくことで、ある程度は攻撃を防ぐことが可能です。

逆に、対策をしていないと重要な情報が流出し、損害賠償や営業停止などの重大な損害に繋がる可能性があります。

ここでは、ホームページを立ち上げる際にやっておきたいセキュリティ対策の方法をいくつか紹介しましょう。

対策（1）WordPressのバージョンアップを最新に保つ

WordPressの普及に伴い、攻撃対象になりやすくなった現実もあります。したがって、WordPress自体がセキュリティ対策を行うことも多く、バージョンがよく上がります。

したがって、WordPressを使ってホームページを作っているのであれば、バージョンを最新に保つだけでも、かなり有効なセキュリティ対策です。

WordPressの設定で、自動更新にできるため、基本はこちらを選択しておくようにしましょう。

対策（2）セキュリティ対策用のプラグインを導入する

WordPressには、さまざまなプラグインが提供されています。その中に、セキュリティ対策用のプラグインも存在するため、こちらを上手に活用する方法も有効なセキュリティ対策です。

プラグインではありますが、あなどってはいけません。スゴく優秀なセキュリティ対策プラグインも多数あり、世界規模で知名度の高さを誇っているモノもあります。

対策（3）ログインパスワードを長くする

パスワードは複雑な英数字&記号の組み合わせにすることで、侵入防止ができると信じられてきました。しかし、昨今のパスワード解除ツールは、7文字程度であれば1秒も満たない時間で解除できるぐらい進歩しています。

そこで提唱されているのが、複雑にするよりも「長いパスワードを設定する」という流れになっています。

たとえば、12文字ぐらいの長さになれば、いくらパスワード解除ツールであっても、200年近くの年月を要します。したがって、複雑よりも「長さ」を意識するだけでセキュリティ対策となるためおすすめです。

ホームページのセキュリティ状態を今すぐ診断できるツール

Observatory by Mozilla

使い方は簡単で、サイトのドメインを入力してボタンをクリックするだけです。たったこれだけで、サイトの安全性をA+〜Fまでの評価をしてくれます。

また、ただ評価するだけではなく、どのような考えで、この評価結果になったのか？も解説してくれることが特徴です。改善するべきポイントも、あわせて教えてくれるため、スゴくありがたいですよね。

SiteAdvisor

専用のソフトウェアをインストールすることで、セキュリティ状態を診断できるようになります。具体的には、検索エンジンの検索結果をもとに、対象サイトが安全なのか？を表示してくれるツールです。

これに加えて、問題あるサイトにアクセスしようとするとブロックしてくれる機能も搭載しています。

SiteLock

脆弱性をチェックしてくれるツールで、すでに国内外で1,200万ものサイトに導入されています。WordPressはもちろんのこと、さまざまな脆弱性チェックができるため、自力で自己診断をする手間が省けます。

また、マルウェア検知、駆除もサポートしてくれる機能面でもメリットがあるツールです。

企業ホームページならセキュリティ対策は万全に

企業のホームページを狙ったサイバー攻撃の種類と、それに対抗するためのセキュリティ対策について見てきました。

インターネットが生活に欠かせないインフラとなった今、規模に関わらずホームページを持つ企業は十分なセキュリティ対策を講じておく必要があります。立ち上げの段階で十分に対策を講じておくことで、安全にホームページを運用しやすくなります。

ただし、サイバー攻撃の手口は常に新しいものが登場しているため、立ち上げ後も定期的にセキュリティチェックを行うようにしましょう。

最近ではホームページ作成ツールなどで気軽にホームページを立ち上げるようになっています。趣味の範囲でホームページを作る際はこれらのツールで十分です。

しかし、ビジネスの一貫でホームページを構築するのであれば、やはりプロの制作会社に依頼したほうが無難でしょう。

自分で立ち上げるより、セキュリティホールが生まれにくく、業者によってはトラブルが発生した際に対応してくれるためです。

弊社が運営しているマッチングサイト『比較ビズ』ではホームページ作成の実績が豊富な制作会社が数多く登録しています。

セキュリティ対策を重視したサイトを作りたい旨をWeb上の相談フォームに入力すれば一括で複数の制作会社に相談することが可能です。

無料で利用できますし、自分の足で一社一社制作業者を選ぶ手間も省けます。「専門業者に話を聞いてみたい」と考えている方でしたら、一度使ってみてはいかがでしょうか。