制作ガイド
女性デザイナーによるホームページ制作が喜ばれ・・・
2020.08.29
TRASPコラム
制作ガイド
更新日:2023.04.02
公開日:2020.10.26
ホームページ制作において、ユーザーにとって魅力的なコンテンツや美しいデザインを採用する事、またサービスの利用を促したり売上に繋がる設計にする事等と、同様に重要なのがセキュリティ対策です。
個人や企業を問わず、インターネット上で情報提供を行い、また、数多くの製品・サービスの販売も行っており、個人情報等もやり取りする現代において、ネットワークを介してサイバー攻撃を仕掛け損害を与える犯罪が増えています。
しかも、その手口は多種多様になっています。特定の組織や企業、個人を標的にしたり、不特定多数を無差別に攻撃する場合もあり、その目的も様々です。
金銭目的のものもあれば、中にはただの愉快犯的な犯行もあります。
あらゆるホームページ制作において、セキュリティ対策は絶対に欠かせない必須事項だと言えます。
今回は、サイバー攻撃の種類やその具体的な脅威をご紹介し、その対策方法についてもご説明します。
目次
サイバー攻撃とは、ネットワークを通じてサーバーやパソコン、スマホ等のコンピューターシステムに対し危害を加える行為です。具体的には、ホームページに関わるデータの窃取、破壊、改ざん、消去などが挙げられ、インターネット上では個人・法人やその規模を問わずなんらかの被害を受ける可能性があります。テレビでも度々報道されているのを目にした事もあると思いますが、大手企業であっても、このサイバー攻撃を防ぐ事が不可能な時もあるのです。
企業が顧客との接点やサービスの提供の大部分をインターネットで提供しているのも珍しくない現代において、サイバー攻撃の被害に遭えば、顧客の信頼を失うだけでなく、甚大な損害を招きかねない事でしょう。もし被害に遭ってしまった場合、今後、製品やサービスの提供さえ危ぶまれ、企業として信用を取り戻す事はこれから先長きにわたって困難になるでしょう。多くのユーザーから支持されていればいるほど、大きな被害が企業自身だけでなく顧客にももたらされる可能性が高くなってしまいます。
その為、ホームページ運営に携わる方はどのような種類のサイバー攻撃があるのか、どのように対策を取れば良いのかを把握しておく事が極めて重要です。
「SQLインジェクション」の「SQL(エス・キュー・エル)」とは、データベースを操作する代表的な「データベース言語」のことです。
またSQLインジェクションの「インジェクション」とは、英語で「注入」を意味します。SQLという命令文を使いサーバーを操作し、不正な指示を注入(インジェクション)するサイバー攻撃です。SQLインジェクションの被害とは、具体的には個人情報の流出やホームページの書き換え・消去等です。
また、サーバー自体を乗っ取られる危険性も。実際にすでに国内外の大手サービスサイトや企業のホームページも内容の改ざんや情報漏洩等、大きな被害に遭っています。
掲示板サイトやTwitterのようなSNSは、ユーザーからの入力内容をWebページに表示するWebアプリケーションやホームページです。そのようなWebアプリやホームページは本来であれば健全なものですが、セキュリティ上の不備を利用されることも。
XSSはユーザーの個人情報を盗み取ろうと、悪意あるWebページへ誘導するような罠を張ります。
ユーザーが会員登録やコメント投稿のフォームに入力して情報を送信したり、誤ってリンクをクリックして罠を実行してしまうとフィッシングサイトなど悪意のある偽のホームページにリンクされ、ユーザーは個人情報を抜き取られてしまうのです。
偽ページでは個人情報など重要な情報の入力を促す内容の作りになっていて、ユーザーが誤まってこのスクリプトを実行すると、ユーザーの個人情報が流出する被害が発生します。XXSの場合、ホームページを利用しているユーザー、つまり見込み客やファンが被害の対象になります。
CSRFもXSSと同様、掲示板や問い合わせフォームなどを処理するWebアプリケーションが、他サイトからのリクエストを受信、処理してしまい、被害に遭うサイバー攻撃です。
リクエスト強要とも呼ばれており、罠を張られたWebページにユーザーがアクセスした途端に仕掛けが作動し、本人が意図しない形で情報・リクエストを送信されてしまうので、ユーザー側は何が起きたのか気が付く事もなく、後から被害にあった事に気が付きます。
CSRFの被害に遭えば、そのユーザーになりすまし勝手にSNSを投稿する、オンラインショップで買い物をする等、ユーザーの知らない間にインターネット上で悪用されてしまいます。
自身のホームページが上述したようなサイバー攻撃の被害に遭ってしまったら、受けるダメージは非常に大きなものとなる事は容易に想像出来るでしょう。
例えば会社のホームページの内容が書き換えられたり消去されると、ユーザーに間違った情報を伝えてしまったり、見込み客へのアピールも出来なくなります。また、サーバーをパンクさせるような大量の情報を送って負荷をかけるような攻撃を受けると、ダウンしてしまいホームページへのアクセスさえ不可能となるのです。
もし、収益の大半をオンラインショップ等インターネット上で販売している製品やサービスが大半の場合、企業が多大な損失を被ることは免れません。個人の情報漏洩が発覚でもすれば、もちろん社会的な信用も失います。優れた製品やサービスを扱っているにも関わらず、ユーザーはアクセスを躊躇するようになり、一度そうなってしまうと信用を回復するのは至難の業です。
ユーザーが受ける被害として1番多いのは、個人情報の流出でしょう。
データベースに侵入されて、氏名や住所、メールアドレス、電話番号が奪われ、悪質な業者の手に営業リストとして情報が渡る可能性があります。それを詐欺に加担するのに利用されでもしてしまったら、えん罪に巻き込まれる可能性もあり、社会的な信用を損なうだけでは済まない場合もあります。
このような重大な被害を受けなくても、書き換えられたホームページから間違った情報を覚えてしまったり、日用品や食料品を購入しているオンラインショップが利用出来なくなれば日常生活にも支障が出てきますよね。
サイバー攻撃が成功すれば広範囲にわたってダメージを与えられ、金銭目的でも大きな利益を見込めるであろうターゲットは大企業だと思われるかもしれません。しかし、近年では実は多くの中小企業がサイバー攻撃の被害を受けているのです。
なぜなら、セキュリティ対策の面で大企業に比べて不備があるケースが多いからです。
大企業は防御が固く攻撃の難しい為、中小企業を狙う方が成果を得易いと攻撃者は考えるからです。
また、ネットワーク上で大企業との繋がりがある傘下の会社や取引関係がある会社も狙われやすくなります。
最初から大企業に攻撃を仕掛けるのではなく、セキュリティに甘い中小企業経由で大企業のデータベースに侵入するという手口を利用するのです。
ホームページ制作を行う上では、積極的にセキュリティ対策を行う責任があります。
Webサイト立ち上げ時は、脆弱性を出さない開発を行う事が大切です。
正直なところ100%防ぐのは難しいですが、制作過程において意識付けてきちんとテストや設計を行う事で、ある程度、防ぐ事が出来ます。また、Webサイトを公開してからプログラムの不具合や設計ミス等の脆弱性を発見した場合は、直ぐに更新出来るような仕組みを用意して、出来る限り早く改修を行うべきでしょう。
アプリケーションを作る上で、どうしても必要なファイルが出てきます。
そのようなファイルはインターネット上からアクセス出来ない場所に保管する、削除するといった対策をとりましょう。それだけで悪意ある第三者がアクセスし、ファイルやページを書き換える事を防ぎ、セキュリティ対策をしている事になります。
Webアプリケーションの作成の為に、さまざまなソフトウェアやフレームワークが利用されています。
その各ソフトフェアのバージョンアップの対応が必要です。
最新のバージョンにしておく為にも、どのようなソフトウェアが使用されているのかを把握して、迅速な脆弱性対策を取れるようにしましょう。
動作しているWebアプリケーションから、必ずログ出力、保管をし、定期的に内容を確認しましょう。
怪しい起動ログがあったり、書き換えログがあったりすれば、事件や事故、トラブルが発生したときに原因を追求することができます。大切な情報源になるので、ログ保管はWebアプリケーションを作る上で必須の対策です。
Webサーバーが攻撃対象となって大きな打撃を受けない為にも、セキュリティ対策は必ずしなければなりません。
悪用されるという事態を避ける為に、あれもこれもとむやみにアプリやサービスをインストールしないように。
インストールされているアプリ・サービスからサイバー攻撃を受けやすくなってしまうからです。
利用していないアプリやサービスは停止、もしくは削除しましょう。
テストアカウント等、現在は使用していないアカウントがあった場合は、削除し悪用されるのを避けましょう。このような不要なアカウントはパスワードが単純な場合が多いからです。
出来るだけパスワードの文字数を増やし、複雑かつ覚えにくい文字の組み合わせにし、セキュリティ対策をしましょう。推測され易い安易なパスワードで不正にログインされる可能性が高まります。
管理者権限を持つアカウントは特に狙われやすいので注意が必要です。
サーバーに置いている重要なファイルを守るために、適切なアクセス権限を付けて管理する事が大切です。
悪意ある第三者に各種パソコンの情報盗まれてしまった場合、被害が一気に広がってしまいます。
事故やトラブルが発生した場合や不審な動きがあった時、サーバへのアクセスログが原因を追求出来ます。
サーバを起動、シャットダウンした時間、アクセスした者は誰か?といった詳細な情報が残っています。
これを定期的に確認する事で対策が出来ます。
境界ルーターなどのネットワーク機器を用いることで、見知らぬ不審なIPアドレスでルーターを介して外部から内部へ向けた不審な通信を遮断しましょう。ルーターを介してネットワークに接続してきた機器情報としてIPアドレスなどの個人情報を持ち出される可能性があります。
不要な通信は通さないようにする事でネットワークのセキュリティを強固に出来ます。
ファイアウォールは、ネットワークとネットワークの間に壁を作り、不正アクセスがないか外部からのアクセスを常に監視し、もしそのようなアクセスがあった場合、ブロックするシステムです。スタンダードなセキュリティ対策でありながら、簡単に高い効果を得られる方法でもあります。
Webアプリケーション、Webサーバーのセキュリティ対策でもお話しした通りです。
定期的なログの確認と保管は重要です。
WAF(ワフ)は、『Web Application Firewall』の略で、ユーザーとホームページ間の通信を検査、不正な通信があれば自動的に検知、遮断します。サイバー攻撃による被害を出す可能性を低減出来る非常に効果的な手段で、ホームページやWebアプリケーションを保護することに特化した対策となります。
脆弱性が出ないように構築しホームページやWebアプリケーションを立ち上げる事が理想です。
しかし、全く脆弱性がないホームページを作り出すのは非常に難しい事です。
外部の脆弱性診断やセキュリティチェックで、ネットワークの脆弱性の診断を受ける手段も有効です。
脆弱性診断アプリケーション等を活用し、見つけた脆弱性の対策をする事でセキュリティ強化に繋がります。
データ通信を暗号化する仕組みをSSLと言います。
暗号化することによって、第三者からデータを参照されたり、改ざんされたりすることを防ぎます。常時SSL化を行う事でWebサイトの評価も上がるでしょう。
SSLは、非常に強固な手法で暗号化している為、セキュリティ対策として積極的に導入する事をお勧めします。
WordPressはCMSと呼ばれるものの一つで、プログラミングをしなくても簡単にホームページを作ることが出来ます。
CMSとはコンテンツ管理システムのことで、Webサイトを構成する要素を管理しています。様々なCMSが開発されましたが、WordPressは世界シェアトップとなっています。
WordPressを利用してホームページを立ち上げる人は多いので、その際にはやっておくべきセキュリティ対策の方法をいくつか紹介しましょう。
WordPress自体がバージョンアップがよく行われ、セキュリティ対策を行う事は多いです。
その為、WordPressを使ってホームページを作っているのであれば、バージョンアップの自動更新が設定出来るので、バージョンを常に最新に保つだけでも、かなり有効なセキュリティ対策になります。
WordPressには、様々なプラグインが提供されています。
まず、プラグインが最新のバージョンに対応しているか確認しましょう。
セキュリティアップデートはそれから行いましょう。
また、セキュリティ対策用のプラグインも存在し、これを上手く活用するという手も有効なセキュリティ対策になります。
昨今のパスワード解除ツールは、1秒も満たない時間で7文字程度のパスワードは解除出来てしまうぐらい進歩しています。そこで提唱されているのが、『長いパスワードを設定する』事です。複雑よりも『長さ』を意識するだけでセキュリティ対策となり、お勧めです。
ホームページを立ち上げる際にやっておくべきセキュリティ対策について解説しました。
インターネットによるサービスの提供やインフォメーション案内、ネットワーク上での顧客管理などがメジャーとなった現代、サイバー攻撃によるダメージは企業において致命傷となる危険性さえはらんでいます。
ユーザーにも被害が及ぶ可能性がある以上、企業が100%被害者として振る舞うことも許されません。
管理責任を問われることは免れないでしょう。
ホームページの立ち上げの段階でセキュリティ対策を実施する・計画する事でより安全なホームページを運営出来ます。
脆弱性を放置する事は個人情報漏洩や不正アクセス、Web改ざんを招き兼ねません。
もし、脆弱性が発覚した場合は速やかな対策を実施し、盤石なWeb体制を整えていきましょう。