ホームページのWebセキュリティ対策|サイバー攻撃を防ぐ対策ポイントを解説!

更新日:2021年04月15日 発注カテゴリ: ホームページ制作・デザイン
ホームページのWebセキュリティ対策|サイバー攻撃を防ぐ対策ポイントを解説!

自社ホームページのセキュリティ対策は充分なのだろうか?サイバー攻撃による被害が日常的に報道されるなか、不安を感じる企業・店舗のWeb担当者は少なくないはずです。なぜなら、警視庁の発表によれば、2020年上半期まで5年連続で「不正アクセスを含むサイバー攻撃が増加」しているから。自社がいつターゲットにされてもおかしくないのが現状です。しかし、ホームページのセキュリティを強化したいが、なにから手をつけていいかわからない、そんな担当者の方も多いでしょう。そこで本記事では、ホームページセキュリティ対策の基本を解説!巧妙化するサイバー攻撃の種類や攻撃される仕組みを踏まえた、個別の対策ポイントも紹介していきます。

ホームページのセキュリティ対策は中小企業にこそ必要?

サイバー攻撃とは、悪意を持つ第三者がネットワーク経由でサーバ、PC、モバイルデバイスなどのコンピューターシステムに不正アクセスし、システム破壊・情報搾取などを目的にした攻撃を仕掛けること。

情報がなによりも重要な資産となった現代では、インターネットやコンピューターシステムは必要不可欠の存在ですが、その分、攻撃されるポイントも増えているのが現状。その状況がサイバー攻撃の急増を招いているともいえるでしょう。

こうしたサイバー攻撃に対抗し、自社ホームページ・システムを守るための対策を施すことを「Webセキュリティ」と呼びます。しかし、会社規模が小さいから問題ない、流出するような情報がないからセキュリティ対策も必要ない、そう考える中小企業の方が非常に多いのも事実。こうした考え方は非常に危険です。

中小企業がサイバー攻撃のターゲットに

なぜなら、いまやサイバー攻撃のメインターゲットは中小企業へとシフトしつつあるからです。たしかに機密情報の宝庫である大企業は、攻撃者にとって魅力的なターゲットかもしれません、しかし、サイバー攻撃による被害が社会問題へと発展しつつあるなか、大企業のホームページ・システムのセキュリティ対策は強固なものとなりつつあります。

反面、中小企業のホームページセキュリティ対策は相対的に「甘い」状態であるのが現実。つまり、セキュリティ対策の甘い中小企業のホームページ・システムは、攻撃者にとって「攻めやすい」絶好のターゲットとなってしまっているのです。

中小企業が大企業への踏み台に利用される

攻撃者が中小企業をターゲットにする理由はそれだけではありません。中小企業と取引のある大企業への不正アクセスを狙い、その踏み台として中小企業が狙われるのも近年の傾向です。たとえば、セキュリティの強固な大企業にサイバー攻撃を仕掛けるため、中小企業のセキュリティを突破して取引メールを利用する、などの手法が横行しています。

ホームページのセキュリティ対策を怠ると?

それでは、ホームページのセキュリティ対策を怠たり、サイバー攻撃の標的にされてしまった場合、どのようなことが起こるのか?どのような被害が想定されるのか?代表的な例を3つほど紹介しておきましょう。

情報漏えい

公に報道されることの多い個人情報・機密情報などの「情報漏えい」は、サイバー攻撃による代表的な被害であり、攻撃を受けた企業がもっとも大きなダメージを受けるサイバー攻撃です。情報の流出した個人への補償問題を含め、事態の収拾に大きなコスト・時間・手間がかかるのはもちろん、社会的信用・企業ブランドの失墜は免れません。

大企業への踏み台として利用されてしまった中小企業の場合は、社会的信用を失うだけでなく、取引先である大企業からの信用も失ってしまうでしょう。取引停止などの事態に発展すれば、影響がほかの取引先に及ぶことも考えられ、最悪、業務継続が難しくなることも考えられます。

ホームページの改ざん・ダウン

セキュリティ対策が甘いホームページが攻撃者にハッキングされ、ホームページが改ざんされる、消去される、ダウンしてしまうなどの被害も少なくありません。サイバー攻撃の種類はさまざまですが、愉快犯的なものから身代金目当てのものまで目的はさまざま。復旧に時間がかかるのはもちろん、ホームページがダウンすれば機会損失が大きくなります。

見た目に変わりはないものの、ホームページ訪問者をリダイレクトさせるリンクを埋め込む、悪意のあるプログラムをダウンロードさせるなど、手口が巧妙化しているのも近年の傾向。知らない間に被害者が増えていると、対応が非常にやっかいなのも特徴です。

マルウェアに感染

ホームページにマルウェアを仕込み、管理者がなにもできないようにロックしてしまうというサイバー攻撃も多発しています。このサイバー攻撃は、多くの場合で身代金目当てであるのが特徴であり、ランサムウェア(Ransom = 身代金)とも呼ばれます。機会損失に加え、身代金のコストなどで被害額が拡大するランサムウェアは、近年増加する傾向にある攻撃です。

巧妙化するサイバー攻撃の手法

日々膨大な数のランサムウェア・マルウェアが発見される現代では、ウイルス対策ソフトなどを活用する企業が多いかもしれませんが、それだけでは充分ではありません。巧妙化するサイバー攻撃の手法は、ウイルスだけではないからです。代表的なサイバー攻撃の例をいくつか紹介しておきましょう。

SQLインジェクション

問い合わせフォームに入力されたデータをデータベースに登録する、というWebプログラムの特徴を利用し、SQL言語を注入することで意図しない動作を引き起こさせる攻撃が「SQLインジェクション」です。

たとえば、問い合わせ内容に「会員情報のリクエスト」を混入させ、個人情報の搾取を狙うなどが代表的な手口。データベースを直接攻撃するのがSQLインジェクションの特徴です。

クロスサイトスクリプティング(XSS)

問い合わせフォームを利用して、ホームページに意図しない動作を引き起こさせる「クロスサイトスクリプティング(XSS)」というサイバー攻撃の手法もあります。侵入経路などに共通点が見られますが、データベースを攻撃するSQLインジェクションと異なり、Webサイトを直接攻撃するのがXSSの特徴。

悪意のあるスクリプト(JavaScriptなど)を送信することで、ホームページの見た目を改ざんする、リダイレクトを埋め込むなどの手口があります。

DoS攻撃・DDoS攻撃

比較的古くから使われるサイバー攻撃の手法に、大量のメールやリクエストを送りつけることで、対象のサーバをダウンさせる「DoS(Denial Of Service)攻撃」があります。洪水のように対象サーバに攻撃を仕掛けることから、フラッド攻撃と呼ばれることも。従量制サービスに攻撃を仕掛け、事業者に大量の課金を発生させるなどの手口もあります。

近年では、複数の端末から攻撃を仕掛ける「DDoS(Distributed Denial Of Service)攻撃」も多く見られるようになりました。インターネットカメラやIoT端末が踏み台にされる場合も多く、攻撃者の特定が難しのもDDoS攻撃の特徴です。

ホームページのWebセキュリティを強化するには?

これらのサイバー攻撃に共通しているのは、ホームページやWebサービスに侵入しやすい「バックドア(裏口・勝手口の意味)」を見つけて、インターネット・Web経由で不正アクセスすること。Webセキュリティを強化するには、ホームページやWebサービスの仕組み・弱点を把握し、攻撃の手法にあわせた対策を講じる必要があります。

Webサーバ・ネットワークの仕組み

ホームページは、それが構築・保存されているWebサーバがインターネットに接続されることで広く一般に公開されています。それでは、Webサーバ・ネットワークはどのような仕組みで動作しているのでしょうか?

近年では、問い合わせ・入力フォームなどのほか、顧客管理などを統合するホームページが多いためやや複雑になりがちですが、まずはWebサーバの仕組みを紹介しましょう。

ホームページ ユーザーの目に触れるインターフェース、フロントエンド
プログラム・アプリケーション フォームなどユーザーが入力・操作できる部分
データベース 入力情報・顧客情報などを保存、別サーバで管理される場合も
ミドルウェア データベース以上とOSをつなぐソフトウェア
サーバOS Webサーバの基本となるオペレーションシステム

多種多様なプログラムで構築されたWebサーバは、データセンターのネットワークを介してインターネットに接続・公開されます。

Webサーバ ホームページを構成するプログラムがインストールされたサーバ機器
ルーター 外部ネットワークとの中間点となるネットワーク機器、ファイアウォールが内蔵される場合も
外部ネットワーク インターネット網

サイバー攻撃の標的になるセキュリティホールとは?

私たちがホームページを閲覧・利用する場合、外部ネットワークからWebサーバにアクセスし、プログラムを利用するという流れになりますが、これはサイバー攻撃を仕掛ける攻撃者であっても同様。

唯一異なるのは、攻撃者がプログラム・ネットワークに潜むセキュリティの欠陥(脆弱性)を狙って不正にアクセスすることです。こうしたプログラム・ネットワークに潜む脆弱性を「セキュリティホール」といいます。

では、セキュリティホールのないプログラム・ネットワークを用意すればいいのでは?と思いがちですが、いずれも人間が開発・構築するものである限り、100%完全であるということはあり得ません。

セキュリティ対策のポイントはプログラムとネットワーク

もちろん、セキュリティホールのないシステム開発は命題でもあり、目指されるべきことではありますが、発見された脆弱性はすぐに修正できるというものではありません。脆弱性が修正されるまでの間隙を突いた「ゼロデイ攻撃」というサイバー攻撃もあります。

重要なことは、プログラム・ネットワークのセキュリティホールを把握したうえで、そこを攻撃されにくくするセキュリティ対策を講じることです。具体的には、Webサーバを構成する「プログラム周辺」、およびWebサーバに接続される「ネットワーク周辺」のセキュリティ対策を、個別に施していく必要があるでしょう。

WordPressサイトも安心できない

ここまでの解説で、自社ホームページは「WordPressなどのCMSで構築されている」から関係ないと思った方がいるかもしれませんが、それは大きな間違いです。なぜならWordPressをはじめとする動的CMSは、ファイルとデータベースで構成された「Webアプリケーション」そのものだから。

プログラムであるWordPressには、当然のことながらセキュリティホールが存在し、リスクヘッジするためのセキュリティ対策が必要。むしろ、世界でもっとも活用されるCMS「WordPress」は、母数が多い分だけ攻撃者の標的になりやすいことを認識しておくべきです。

Webサーバを構成するプログラム周辺のセキュリティ対策

それでは、個別の対応が必要なホームページセキュリティ対策の具体的な方法を紹介していきましょう。まずは、Webサーバを構成する「プログラム周辺」のセキュリティ対策です。

必要のないプログラムは削除

ホームページを構築する際は、今後の利用拡大も見越し、あれもこれもと機能を追加してしまいがちですが、そのプログラム・アプリケーションは本当に必要なのか?見極めていくことが重要です。なぜなら、プログラム・アプリには脆弱性が付き物だから。

必要でないプログラムが多ければそれだセキュリティホールも多くなり、攻撃を受けるリスクが高まってしまいます。必要のないプログラム・アプリは削除、または停止しておくことが肝心です。

同様のことは、静的ホームページにも当てはまるでしょう。フォームが設置された「必要ないWebページ」が公開されていると、攻撃の間口を広げることにつながります。不要なファイル・Webページを削除・非公開にする手間を惜しんではいけません。

システム・プログラムの脆弱性対策・アップデート

Webサーバを構成するシステム・プログラムの脆弱性対策を怠らずに実行することも重要です。Linux、WindowsなどのサーバOS、ミドルウェアなどは、汎用のソフトウェアを利用する場合が多いため、常に最新版にアップデートし、脆弱性対策を施しておくべきでしょう。

また、フォームを含むWebアプリケーションは、既存のソフトウェアやフレームワークが活用される場合も多いため、こちらも最新情報にアンテナを張りながら、できる限りの対策を施していくのがおすすめ。ただし、バージョンアップによって動作しなくなるのでは本末転倒。システム開発会社と連携しながら、トラブルのない形で進めていく必要があります。

アカウント管理・アクセス制限

ホームページのプログラム周辺で、意外に簡単にできるセキュリティ対策が「アカウント管理」「アクセス制限」です。ホームページの管理者とイコールでもあるアカウントは、攻撃者の標的となるバックドアになり得ます。テストアカウントや退職者のアカウントなどをそのまま放置せず、しっかり管理して付け入る隙をなくすのがポイント。

同時に、アカウントごとのアクセス制限も適切な管理が必要。せっかくアカウントを管理しているのに、すべてのユーザーに全権限を与えていたのでは、攻撃を受ける危険性が増すだけです。

パスワードは12桁以上

基本的なことではありますが、意外に効果的かつ簡単に実行できるセキュリティ対策が「パスワードの再考」です。より効果的なのは、文字列を複雑にするよりも「パスワードの桁数を増やす」こと。英字 + 数字(大文字・小文字区別あり)を組み合わせた12桁以上のパスワードが望ましいとされています。

これは単純に「確率論」の問題です。英字大文字のみのパスワードであれば、1桁における正解の候補は26通り、大文字・小文字の区別ありで数字も含めれば、正解の候補は62通りになります。パスワードの桁数が増えれば候補は二乗で増えていくため、12桁なら、数十年以上掛けて62の12乗分、組み合わせを試さなければなりません。

システム・アプリケーションログの取得・保管

直接的なセキュリティ対策とはなりませんが、システムやアプリケーションのログを取得・保管しておくことは非常に重要です。なぜなら、不正アクセスはもちろん、トラブル時の痕跡を残せるため、原因究明するのに有効だから。怪しいログを発見することで、新たなセキュリティ対策を講じられる場合もあるため、定期的な確認も欠かせません。

Webサーバ周辺のネットワークセキュリティ対策

設定やアップデートなどが中心であった、プログラム周辺のホームページセキュリティ対策に比べ、Webサーバ周辺のネットワークセキュリティ対策はもう少し物理的であるのが特徴。特に、オンプレミス型で自社内にWebサーバを構築しているのであれば、以下に挙げるセキュリティ対策はすべて施しておく必要があるでしょう。

ファイアウォールでポートスキャンを防止

もっとも基本となるネットワークセキュリティ対策は、防火壁の意味を持つ「ファイアウォール」です。インターネット通信は「ポート」「プロトコル」で送受信されるのが基本ですが、実際には使われていないポート・プロトコルが多数存在します。この「使われていない」ポート・プロトコルを探して侵入を試みる「ポートスキャン」が攻撃者の手口です。

ファイアウォールを設置すれば「使われていない」ポート・プロトコルを閉じられるため、ポートスキャンによる攻撃者の侵入を防げます。ただし、ルーターなどに内蔵されている場合が多いため、ファイアウォールに無頓着な方も。キチンと設定しなければファイアウォールを設置した意味がありません。

IPSでDoS攻撃を防止

ポートスキャンによる攻撃を防げるファイアウォールでも、フラッド攻撃であるDoSや、正規なポートを使った不正アクセスは防げません。ファイアウォールをすり抜けてしまうDoS攻撃、不正アクセスをブロックするのに有効なネットワークセキュリティ対策が「IPS(Intrusion Prevention System)」です。

不正アクセスをリアルタイムに検知できるIPSなら、DoS攻撃・不正アクセスを破棄する、アクセス元のIPアドレスを遮断するなどが可能。IPSをファイアウォールと併用することで、より強固なネットワークセキュリティを実現できます。

WAFでSQLインジェクション・XSSを防止

不正アクセスをリアルタイム検知できるIPSでも、1度きりのアクセスで攻撃できるSQLインジェクション・XSSは防げません。1回だけでは通常のアクセスなのか?不正アクセスなのか?判別がつかないからです。こうしたハッキング攻撃に有効なセキュリティ対策が「WAF(Webアプリケーションファイアウォール)」の設置です。

不正な通信・攻撃を識別するシグネチャー、正常な通信を定義したホワイトリストを元に、サイバー攻撃からWebアプリケーションを守れるのがWAFの特徴。SQLインジェクション・XSSのブロックに有効なWAFとともに、ファイアウォール・IPSを設置すれば、サイバー攻撃を受けるリスクを最小化できるでしょう。

ここまでの解説で、ホームページのネットワークセキュリティ対策は理解できたが、レンタルサーバはどうなっているのか?疑問に感じた方も多いかもしれません。しかし、さほど心配することはありません。事業者によって対応は異なりますが、ほとんどのレンタルサーバがファイアウォール・IPS・WAFのサービスを提供しているからです。

ただし、ネットワークセキュリティが標準なのか?オプションなのか?事業者によって異なるのも事実。気になる企業・店舗のWeb担当者の方は、現在の契約がどうなっているのか?確認しておくといいでしょう。

WordPressサイトのセキュリティ対策

Webアプリケーションそのものといえる「WordPressサイト」の場合、基本的なホームページセキュリティ対策はプログラム周辺と同様だと考えれば問題ありません。ただしWordPressならではのセキュリティポイントがあるのも事実。数多くが存在するWordPressユーザーに向けて、要点を絞って解説しておきます。

WordPress・プラグインのバージョンは常に最新に

オープンソースCMSであるWordPressは、巧妙化するサイバー攻撃を踏まえたセキュリティパッチなど、定期的にアップデータが公開されています。システムの脆弱性を修正して攻撃のリスクを避けるためにも、自動アップデートを有効化し、常に最新版のWordPressを活用できるようにしておくことが肝心です。

ただし、自動アップデートを有効化してもプラグインまでアップデートされるわけではありません。どのようなプラグインをインストールしているかを把握し、最新版を適用できるようアンテナを張り巡らせておくのも重要でしょう。

セキュリティプラグインの導入

世界でもっとも活用されるCMSであるため、WordPressサイトはサイバー攻撃の標的にされやすいのが現実。攻撃された場合の被害を最小限に抑えるためにも、WordPressにはセキュリティプラグインを導入するのがおすすめです。「SiteGuard WP Plugin」など、日本語化されているセキュリティプラグインも選べます。

https://ja.wordpress.org/plugins/siteguard

SSL導入で個人情報のセキュリティ対策も

ここまではWebサーバ・ネットワーク周辺を含む、ホームページを守るためのセキュリティ対策を解説してきました。しかし、これらのセキュリティ対策では、Wi-Fiなどを利用してホームページにアクセスしてくれる「ユーザー」は守れません。ユーザーが安心してアクセスできる環境を提供するためにも、ホームページの常時SSL(Secure Sockets Layer)は必須の対策です。

ユーザーとサーバ間の通信を暗号化するSSLを導入すれば、ユーザーが個人情報やCookie情報を搾取される心配がなくなります。Googleは常時SSLのホームページを優遇する傾向にあるため、SEOの観点でも非常に有効です。

ssl化はどうして必要なの?その重要性と導入にかかる費用を解説!には導入にかかる費用相場や導入の仕方を説明していますので、参考にしてみてください。

ホームページのセキュリティ診断の利用もおすすめ

ホームページセキュリティ対策の基本から、巧妙化するサイバー攻撃の種類、攻撃される仕組みを踏まえた個別の対策ポイントまで、知っておきたいWebセキュリティを網羅的に解説してきました。対策ポイントが多岐に渡るWebセキュリティは、どこから手をつけていいかわからなくなりがちなのも事実。そんなときは、プロフェッショナルであるインターネットセキュリティ会社に相談するのもひとつの方法。セキュリティ診断を受けたうえで、適切なアドバイスも得られます。

「比較ビズ」なら、必要事項を入力する2分程度の手間で、優良なインターネットセキュリティ会社をスピーディーに探せます。複数の会社に無料で相談できるのもポイント。インターネットセキュリティ会社の選定に迷うようなことがあれば、是非利用してみてください。

ホームページ制作・デザインを一括見積もりで発注先を楽に探す
比較ビズへ掲載しませんか?

ホームページ制作・デザインの案件一覧

ホームページ制作・デザインのお見積り案件の一覧です。このような案件に対応したい場合は「資料請求フォーム」よりお問い合わせください。

一括見積もりで発注業務がラクラク!

  • 無料一括見積もりで募集開始
  • 複数の業者・専門家から提案が入る
  • ピッタリの一社を見つけよう

不透明な見積もりを可視化できる「比較ビズ」

比較ビズは「お仕事を依頼したい人と受けたい人を繋ぐ」ビジネスマッチングサービスです。
日本最大級の掲載企業・発注会員数を誇り、今年で運営15年目となります。
比較ビズでは失敗できない発注業務を全力で支援します。

日々の営業活動で
こんなお悩みはありませんか?

営業活動でよくある悩み

そのお悩み比較ビズが解決します!

詳しくはこちら
お電話での見積もりはこちら