制作ガイド
ホームぺージのページ数は多い方が有利?SEO・・・
2023.04.13
TRASPコラム
制作ガイド
更新日:2023.06.14
公開日:2020.10.26
「サイバー攻撃なんて大企業だけの話でしょ?」「うちみたいな小さい会社は関係ない」
このように考えている、中小企業の方も多いのではないでしょうか?
ところが現在、大企業のセキュリティが強固になっていくなかで、サイバー攻撃・不正アクセスのターゲットが中小企業へとシフトしてきているのです。大企業を狙うための踏み台として中小企業がターゲットにされるケースもあります。
この記事では、「サイバー攻撃とは何か?」をわかりやすく解説しながら、初心者でもできる対策をご紹介します!
中小企業のホームページ制作で400社以上と取引実績のあるTRASPが、ホームページ・Webサーバー・ネットワークという3つのセキュリティ対策の手順をWeb制作会社目線からお教えします。
目次
サイバー攻撃とは、ネットワークを通じてサーバーやパソコン、スマホ等のコンピューターシステムに対し危害を加える行為です。
具体的には、個人情報や入金データの窃取、破壊、改ざん、消去などが挙げられ、インターネット上では個人・法人やその規模を問わずなんらかの被害を受ける可能性があります。テレビでも度々被害が報道されているのを目にした事もあると思います。
では、サイバー攻撃にはどのような種類があるのか、代表的な5つを解説します。
SQLインジェクションの「SQL(エス・キュー・エル)」とは、データベースを操作する代表的な「データベース言語」のこと。また「インジェクション」とは、英語で「注入」を意味します。
つまりSQLという命令文を使ってサーバーを操作し、不正な指示を注入(インジェクション)するサイバー攻撃です。SQLインジェクションの被害は、具体的には個人情報の流出やホームページの書き換え・消去など。
実際に国内外の大手サービスサイトや企業のホームページでは情報漏洩などの大きな被害事例もある、身近で怖いサイバー攻撃の一種になります。
XSSは企業のホームページに侵入し、悪意あるWebページへ誘導するような罠を張ります。
ユーザーが会員登録やコメント投稿のフォームに入力して情報を送信したり、誤ってリンクをクリックして罠を実行してしまうとフィッシングサイトなど悪意のある偽のホームページにリンクされ、ユーザーは個人情報を抜き取られてしまうのです。
偽ページでは個人情報など重要な情報の入力を促す内容の作りになっていて、ユーザーが誤ってこのスクリプトを実行すると、ユーザーの個人情報が流出する被害が発生します。XXSの場合、ホームページを利用しているユーザー、つまり見込み客やファンが被害の対象になるため、企業側の責任は重いといえるでしょう。
サイバー攻撃のなかでも、もっとも恐ろしいのが「ゼロデイ攻撃」。
ソフトウェアやWebサイト内のセキュリティホール(脆弱性)から狙う攻撃のことで、まだ公開されていないセキュリティ上の脆弱性を悪用して行われます。攻撃者は脆弱性を発見し、その情報を秘密裏に保持し、脆弱性への対策であるパッチがダウンロード可能になる1日目よりも前の0日目に攻撃をしかけるので、ゼロデイ攻撃と呼ばれます。
ゼロデイ攻撃は修正パッチを適用するまでのタイムラグを突いたサイバー攻撃のため、攻撃を受けた側は対策する時間がほとんどありません。
対策としては、ソフトウェアベンダーの公式サイトやセキュリティ情報を定期的に確認し、最新のパッチやアップデートを適用することが重要です。また、セキュリティソフトウェアやファイアなどのセキュリティツールを使用して、不正アクセスや攻撃の警告を強化することも有効です。
「ランサムウェア」という言葉を耳にすることも多いでしょう。
ランサム(Ransom)とは身代金の意味で、感染したパソコンやスマートフォンをロックしてしまい、「解除する代わりに入金しなさい」と指示をしてきます。
ランサムウェアの怖い点は、誰でも作れてしまうこと。
インターネット上でノウハウを見れば中学生でも作れるため、現在では世界中に被害が拡大し、増加の一途をたどっているのです。SQLインジェクションなどを組み合わせて企業のホームページに侵入すると、自社がランサムウェアをばら撒く感染源となってしまうおそれもあり、多大な利益損失につながってしまう可能性があります。
DDoS攻撃(ディードス攻撃)とは、一度に複数のパソコンからサーバーにアクセスを集中させて、ダウンさせるサイバー攻撃の手法です。
市町村や官公庁のサーバーが攻撃を受け、ダウンするニュースも目にしますね。
攻撃の目的は多様で、営利目的ではなく、愉快犯や何らかの政治的な抗議行動であることも。
第三者のIPアドレスを乗っ取っているケースも多く、犯人を特定しにくいのもDDoS攻撃の特徴といえます。
サイバー攻撃が成功すれば広範囲にわたってダメージを与えられ、金銭目的でも大きな利益を見込めるため、ターゲットは大企業だと思われるかもしれません。しかし、近年では実は多くの中小企業がサイバー攻撃の被害を受けているのです。
なぜなら中小企業は、セキュリティ対策の面で大企業に比べて不備があるケースが多いからです。
大企業は防御が固く攻撃が難しいため、中小企業を狙うほうが成果を得やすいのです。
また、ネットワーク上で大企業との繋がりがある傘下の会社や取引関係がある会社も狙われやすくなります。最初から大企業に攻撃を仕掛けるのではなく、セキュリティに甘い中小企業経由で大企業のデータベースに侵入するという手口を利用するのです。
では、実際にサイバー攻撃を受けた場合、どのようなことが起きるのかをわかりやすく解説していきます。
例えば会社のホームページの内容が書き換えられたりサーバーが乗っ取られたりすると、入金先や取引先に多大な迷惑をかけ、企業としての信頼が落ちて今後の取引がなくなってしまう可能性があります。
もしオンラインショップなどの場合、業務が停止すれば利益に直結するため企業は多大な損失を被るでしょう。
個人の情報漏洩が発覚すれば、もちろん社会的な信用も失います。
また、サーバーをパンクさせるような大量の情報を送って負荷をかけるような攻撃を受けると、ダウンしてしまいホームページへのアクセスさえ不可能となるのです。
サイバー攻撃を受けた結果
一度失った信頼を取り戻すのは、簡単なことではありません。これまで築き上げてきた信頼や実績を一瞬で失くしてしまうサイバー攻撃から会社を守るために、セキュリティ対策はきちんと行いましょう。
ユーザーが受ける被害として1番多いのは、個人情報の流出でしょう。
企業のデータベースに侵入され、氏名や住所、メールアドレス、電話番号が奪われ、悪質な業者の手に営業リストとして情報が渡る可能性があります。
またサイバー攻撃により書き換えられてしまったホームページにアクセスすると、ID、パスワード、クレジットカードなどの情報を抜き取られてしまうおそれがあります。
自社の顧客に被害を与えないためにも、企業としてセキュリティ対策は責任をもって行うべきだといえます。
ホームページのセキュリティ対策は、次の4つです。
ホームページのアドレスには「http」と「https」があることをご存知でしょうか?
httpやhttpsは通信規格(プロトコル)のこと。httpsでは、セキュリティを高めるために、SSL「Secure Sockets Layer(セキュア・ソケッツ・レイヤー)」という暗号化技術を用いて通信を行うため、個人情報の漏洩を防ぐことが可能。
httpとhttpsの違い
第三者が通信を傍受した場合、ハガキであれば、内容を簡単に盗み見ることができる。
第三者が通信を傍受しても、封筒に守られているため、その内容を盗み見ることはできない。
このように、不正アクセスなどの悪意ある第三者による攻撃があった際に、情報漏えいのリスクを低減するためにhttpsが推奨されています。httpsを使用するには、サイトの運営者情報を記したSSLサーバ証明書を発行する必要があり、SSLサーバ認証書が発行されると、URLの左側に南京錠のマークが付与されるようになり、「この接続は保護されています」という認証を得られることになります。
自社のWebサイトをHTTPS化するには、以下の手順が必要です。
自分でやってできないことはありませんが、信頼できる認証できる先から入手する必要があり、証明書の設定方法は、使用しているウェブサーバー ソフトウェアによって異なるため、プロにお任せするのもひとつの手でしょう。
お問い合わせはこちら
使っていないプログラムは削除しましょう。
プログラムの数が多くなればなるほど、侵入経路が広がってしまいます。なぜならプログラムにはセキュリティホール(脆弱性)が見つかることがあり、そこから攻撃を受けやすくなるため。
管理しきれないプログラムやサービスは、更新作業やアップデートが滞りがちになるため、放置しているプログラム・アプリケーションがないかチェックしましょう。
社内で使用しているプログラムやアプリケーション、システムなどのアップデートは欠かさないようにしましょう。
アップデートには、脆弱性に対処するパッチが含まれていることがあります。放置していればサイバー攻撃を受けやすい状態になってしまいます。
サイバー攻撃の手口やマルウェアは、日々新しいものが生み出されています。古いままでは対応できないため、バージョンアップの通知が来たらすぐに対処するのがおすすめです。
動作しているWebアプリケーションから、必ずログ出力、保管をし、定期的に内容を確認しましょう。
怪しい起動ログがあったり、書き換えログがあったりすれば、事件や事故、トラブルが発生したときに原因を追求することができます。大切な情報源になるので、ログ保管のルールを制定することが重要です。
Webサーバー・ネットワークのセキュリティ対策をそれぞれご紹介します。
前述したSSL化やログの保管といったことはサーバーやネットワークでも当てはまるため、対応を検討しましょう。
1.不要なアカウントは消す
テストアカウントなど、現在は使用していないアカウントがあった場合は、削除しましょう。アカウントが多ければ多いほど悪用される可能性も高くなるためです。また、このような不要なアカウントはパスワードが「0000」や「1234」といった単純な場合が多いため、より狙われやすいといえます。
2.長いパスワードを使用する
できるだけパスワードの文字数を増やし、複雑かつ覚えにくい文字の組み合わせにし、セキュリティ対策をしましょう。推測されやすい安易なパスワードでは、不正にログインされる可能性が高まります。
管理者権限を持つアカウントは特に狙われやすいので注意が必要です。
3.サーバーファイルやディレクトリへのアクセスを制限する
サーバーに置いている重要なファイルを守るために、適切なアクセス権限を付けて管理することが大切です。
業務委託や外注、取引先といった外部からは入れない領域を設定しておくことも効果的。共有ドライブや共有ファイルには十分注意をしましょう。
1.ルーター機器で不審な通信を遮断する
境界ルーターなどのネットワーク機器を用いることで、見知らぬ不審なIPアドレスでルーターを介して外部から内部へ向けた不審な通信を遮断できます。ルーターを介してネットワークに接続されてしまうと、IPアドレスなどの個人情報を持ち出される可能性があります。
不要な通信は通さないようにすることで、ネットワークのセキュリティを強固にできます。
2.ファイアーウォールを利用して不正アクセスをブロックする
ファイアウォールは、ネットワークとネットワークの間に壁を作り、不正アクセスがないか外部からのアクセスを常に監視します。そして、もしそのようなアクセスがあった場合、ブロックするシステムです。
スタンダードなセキュリティ対策でありながら、簡単に高い効果を得られる方法でもあります。
ただファイアウォールの壁が高すぎると必要な通信さえもブロックされてしまい、業務に支障をきたすおそれがあります。適宜開放する必要があり、そこから悪意ある侵入を許してしまう可能性も。またSQLインジェクションやクロスサイトスクリプティングなど、ホームページの脆弱性を狙った攻撃はファイアウォールでは防げません。
ファイアウォールだけでなく、ウイルス対策ソフトを組み合わせて利用するのがおすすめです。
3.脆弱性診断やセキュリティ検査をする
まったく欠陥のない強固なセキュリティを作り出すことは、至難の業です。
そこで外部の脆弱性診断やセキュリティチェックを受けることも検討しましょう。
ホワイトハッカーへ自社ホームページやWebアプリケーションへの侵入を依頼し、脆弱性を見つけてもらう方法もあります。また自社サイトがどのような状態になっているのかを、Webの専門家に調べてもらうことも大切です。特にホームページを「知り合いに作ってもらった・自作した」「格安で作った」という場合は、セキュリティ対策が何もされていない可能性もあるため、早急にリニューアルすることをおすすめします。
WordPressはCMSと呼ばれるものの一つで、HTML・CSSといった専門知識がなくても、WordやPowerPointのような感覚で、手軽かつ効率的にホームページが作れるツールです。
WordPressは世界シェアトップとなっており、企業のホームページにも多く使われています。
しかし、ユーザー数が多い・使いやすいということは狙われやすいということになるため、やっておくべきセキュリティ対策の方法をいくつか紹介しましょう。
WordPressはバージョンアップがよく行われ、セキュリティ対策を行っています。
そのため、WordPressを使ってホームページを作っているのであれば、バージョンアップの自動更新を設定し、バージョンを常に最新に保つのがおすすめ。これでかなり有効なセキュリティ対策になるでしょう。
またプラグインのアップデートも忘れずに行いましょう。
WordPressでは、セキュリティ対策用のプラグインがいくつもリリースされています。
おすすめは「SiteGuard」というプラグイン。
https://ja.wordpress.org/plugins/siteguard/
「SiteGuard」は、WordPressサイトのセキュリティを強化してくれるプラグインです。このプラグインを利用すれば、「ログインURLを変更する」「画像認証を追加してセキュリティレベルを上げる」などの設定を手軽に行えます。使い方は、下記のように非常にシンプルです。
セキュリティの強化を考えるのであれば、ぜひこちらを導入すると良いでしょう。
使っていないプラグインは、速やかに削除しましょう。
なぜなら、自社でアップデートの手が回らないだけでなく、途中でアップデートがされなくなるプラグインもあるため。
今一度、プラグインの見直しを実施してみることをおすすめします。
昨今のパスワード解除ツールは、7文字程度のパスワードであれば1秒も満たない時間で解除できてしまうぐらい進歩しています。そこで提唱されているのが、「長いパスワード」です。
複雑さもある程度有効ではありますが、より「長さ」を意識するだけでセキュリティ対策となるのです。
ホームページのセキュリティ対策を強化するためには、以下のポイントに留意すること。
これらの対策を継続的に実施し、ホームページのセキュリティを強化することで、サイバー攻撃やデータ漏洩などのリスクを軽減することができるでしょう。
ホームページのセキュリティ対策・リニューアルは、400社以上の中小企業と取引実績のあるTRASPにおまかせください。
お問い合わせはこちら