Webサイト制作のセキュリティ対策一覧|基本の対策から技術的対策まで|Webサイト制作・CMS開発|LeadGrid

Webサイト制作のセキュリティ対策一覧|基本の対策から技術的対策まで

目次

Webサイトを運用するうえで欠かせないセキュリティ対策

「サイバー攻撃は大企業が狙われるもの」「うちみたいな小規模サイトを狙うはずない」と考える中小企業も多いですが、実は近年では 中小企業がサイバー攻撃のメインターゲットとなるケースが多発しています。

とはいえWebサイトのセキュリティ対策は一つではなく、自社のサイトで何を実施するべきか決めかねているWeb担当者も多いでしょう。

そこで本記事ではそこで本記事ではカテゴリ別にセキュリティ対策について手法を解説します。よくある攻撃例についても紹介するので、セキュリティ対策にお悩みの方はぜひ最後までご覧ください。

Webサイトは脆弱性対策が必須!

Webサイトにはさまざまな脆弱性があります。

“脆弱性(ぜいじゃくせい)とは、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のことを言います。(引用:国民のための情報セキュリティサイト|総務省)”

脆弱性を放置するとサイバー攻撃の格好の餌食となり、 不正アクセスによる情報漏えいやシステムダウンによる損害を被る危険性が高まります。

特に中小企業はセキュリティ対策が十分に行われていないケースが多く、IPA(情報処理推進機構)による「2021年度中小企業における情報セキュリティ対策の実態調査報告書」では直近3期で情報セキュリティ対策投資を行っていないと回答した企業は33.1%でした。

取引先の大企業への踏み台として中小企業を狙うケースも相次いでおり、大企業だけでなく中小企業もWebサイトの脆弱性対策を徹底して実施する必要があるといえます。

サーバーセキュリティを脅かす攻撃の例

サーバーセキュリティを脅かす攻撃は多岐にわたりますが、なかでも代表的な攻撃を3つ紹介します。

  • SQLインジェクション

  • XSS(クロスサイトスクリプティング)

  • ブルートフォースアタック

SQLインジェクション

SQLインジェクションはWebアプリケーションに対し不正なSQL文(データベースを操作する言語)を注入する攻撃手法です。

おもにECサイトや会員制Webサイトがターゲットとなり、ユーザーID・パスワードを入力するフォームなどに不正なSQL文を注入されることで個人情報が盗まれる仕組みとなっています。

XSS(クロスサイトスクリプティング)

XSS(クロスサイトスクリプティング)は脆弱性のあるWebサイトに罠を仕掛け、Webサイトを訪れたユーザーの個人情報を盗む攻撃手法です。

ユーザーID・パスワードなどのフォームを利用する点はSQLインジェクションと同じですが、データベースに登録された顧客情報を狙うSQLインジェクションとは違い、XSS(クロスサイトスクリプティング)はWebサイトを訪れるユーザーを攻撃対象とする点が特徴的です。

ブルートフォースアタック(総当たり攻撃)

ブルートフォースアタック(総当たり攻撃)はパスワード解読方法の一つです。すべてのパターンの組み合わせを入力することで正しい暗証番号を突き止める手法で、「力任せ」「強引な」という意味の「ブルートフォース(Brute-force)」が語源となっています。

コンピュータの処理能力向上により短時間でパスワードが突破できるようになっており、適切な対策が必要です。

Webサイト立ち上げ時のセキュリティ対策

Webサイト立ち上げ時のセキュリティ対策としては以下のとおりです。

  • セキュアプログラミング
  • 外部の脆弱性診断、セキュリティ診断を受ける
  • 不要なファイルを公開しない

セキュアプログラミングとは、そもそも脆弱性を作らないようにするプログラミング思想のことです。脆弱性はリリース後見つかってもすぐに対処できるものばかりではなく、近年はセキュリティパッチの公開までの短い期間を狙った「ゼロデイ攻撃」も増えています。

とはいえ脆弱性をまったく作らないプログラミングも現実的には不可能なので、 公開前には外部の脆弱性診断、セキュリティ診断を受けるのもおすすめ。詳細は後述します。

またサイト立ち上げの際、外から見える必要のないファイルを公開しないことも重要です。URLの直打ちで個人情報が表示される、といったことがないように公開ページはしっかり管理しましょう。

Webアプリケーションのセキュリティ対策

Webアプリケーションを利用する場合のセキュリティ対策例は以下のとおりです。

  • アプリケーションを構成するソフトウェアの更新
  • reCAPTCHAの設置
  • 通信内容の暗号化

まずはアプリケーションを構成する要素であるソフトウェアの更新は定期的に行いましょう。ソフトウェアの脆弱性対策の可能性もあり、更新が遅れるとそれだけ攻撃の穴が攻撃者に見せている時間が増えるといえます。

またreCAPTCHAをお問合せフォームのページなどに設置することにより、botによるWebサイトへの攻撃を防ぐことができます。

通信の暗号化、具体的にはSSLサーバ証明書の取得も忘れないようにしましょう。 SSLサーバ証明書は「通信の暗号化」「サイトの運営者・運営組織が実在していること」を証明する電子証明書です。SSLサーバ証明があると、URLが「https~」となるのが特徴です。SSLサーバ証明書を取得しているサイトは信頼性向上にもつながるため、SEOにも良い影響をもたらすと考えられています。Webサイト全体をHTTPSをする「常時SSL」もあわせて行いましょう。

Webサーバのセキュリティ対策

Webサーバ周りのセキュリティ対策例としては、以下のとおりです。

  • 不要なプログラムの定期的な削除
  • ページ閲覧・編集の定期的な権限管理
  • システム・アプリケーションログを残す

不要なプログラムの削除については、システムの運用をきちんと定め定期的に行えるようにしましょう。使っていかなったプログラムが穴となって攻撃を受けることを防ぎます

またWebサーバ上のファイルの閲覧・編集権限も定期的に変更しましょう。不要にもかかわらず権限が与えられていた社員のパソコンが乗っ取られたような場合に、Webサーバにダメージが波及するのを避けられます

さらに「誰がいつどこで何をした」がわかるサーバー上のログも残しておきましょう。いざ不具合が起きた時に原因を探ることができます。

ネットワークのセキュリティ対策

ネットワークのセキュリティ対策としては、以下の例があります。これらがおざなりの場合、社内のパソコン経由でWebサイトが攻撃を受ける可能性があります。

  • ファイアウォール
  • WAF、IDS/IPS、UTMの導入
  • ルーターの設置

ファイアウォールとはインターネットからの不正アクセスを防ぐシステムの総称のこと。ネットワークから送られてくるデータの安全性を判断し、不正な侵入を遮断することから「防火壁」を意味する「ファイアウォール」と名付けられました。企業においてはインターネットと社内LANの間に設置することで、外部からの攻撃を未然に防ぐことができます。

IDS/IPSもファイアウォールと同様に、不正な侵入を検知・防御します。ファイアウォールとの違いは以下のとおりです。

  • ファイアフォール:ネットワークのアクセス制御を超える攻撃を防ぐ
  • IDS/IPS:サーバの脆弱性をついた攻撃を防ぐ

ちなみにIDSが不正侵入検知システムのこと、IPSが不正侵入防御システムのことです。

またUTMとはファイアウォールやIDS/IPS機器をワンパッケージにした製品です。セキュリティの一元管理が可能になります。ルーター(インターネットと社内LANをつなぎ、社内のパソコンに通信を振り分けつつ不正な通信を弾く役割をもつ)直下にUTMを設置しましょう。

またWAFはファイアウォールの一つで、ファイアウォールやIDS/IPSがカバーするセキュリティの範囲を補完します(OSI参照モデルにおいて、6層や7層をカバー)。WAFによりSQLインジェクション、XSS(クロスサイトスクリプティング)、ブルートフォースアタック(総当たり攻撃)など、ファイアウォールやIPSでは検知できない攻撃を防げます。

CMSのセキュリティ対策

CMSで行うべきセキュリティ対策は次の5つです。

  • 常に最新に状態にする

  • 拡張機能をいたずらに増やさない、定期的に見直す

  • 管理ページのダッシュボードへのアクセス制御

  • 複雑なパスワードの設定

  • 脅威や攻撃の手口を知る

常に最新に状態にする

脆弱性を突く悪質なサイバー攻撃からWebサイトを守るためには、 常にCMSを最新の状態にし、脆弱性を塞ぐことが重要です。常に更新情報を収集し、迅速にアップデートを行いましょう。可能なら、CMS選定の際に「自動でアップデート可能」なCMSを選んでおくと、この点は安心です。

拡張機能をいたずらに増やさない、定期的に見直す

WordPressのようにサードパーティ製の拡張機能でどんどん機能を増やせるタイプのCMSは、拡張機能の増やしすぎに注意しましょう。

CMS自体に脆弱性の穴がなくとも、拡張機能側の穴から攻撃を受ける可能性があります。また拡張機能自体、セキュリティパッチの公開などのアップデートがある保証もありません。つまり可能な限り拡張機能は増やさないことで、セキュリティリスクを高められるのです。

設計段階で実装でカバーできる部分は実装でカバーし、使用することになった拡張機能についても、定期的にアップデートはあるか、そもそも使用する必要があるのかなどを定期的に見直しましょう。

管理ページのダッシュボードへのアクセス制御

アカウントのなりすましによる不正アクセスを防ぐため、 退職者のアカウントやテストアカウントなど不要なアカウントは必ず削除しましょう。

またデータにアクセスできる権限を制御することも不正アクセス防止に有効です。事務所外からのアクセスを制限するなど、自社の体制に合わせて最適な制御方法を検討するようにしましょう。

複雑なパスワードの設定

ブルートフォースアタック(総当たり攻撃)を避けるためにも パスワードは「長く」「複雑に」「使い回さない」ことを徹底しましょう。具体的には下記の工夫が必要です。

  • パスワードは英数字記号含めて10桁以上にする

  • 名前、電話番号、誕生日、簡単な英単語などは使用しない

  • 同じID・パスワードを複数のサービスで使い回さない

ソリトンシステムズによる「日本人のパスワードランキング2021」によると、2021年に漏えいした日本のパスワードは1位「123456」、2位が「password」、3位が「000000」であることがわかっています。

このような単純なパスワードは簡単に突破できてしまうため、パスワードは複雑かつ推察できない文字列を設定しましょう。

脅威や攻撃の手口を知る

サイバー攻撃は多様化・高度化しており、Webサイトを安全に運用するには社員一人ひとりのリスク管理が重要です。 セキュリティ専門機関のWebサイトやメールマガジンを通じて最新の脅威や攻撃の手口を確認するようにしましょう。

ウイルス添付メールや偽サイトへの誘導などは手口を知っていれば回避できる可能性もあります。会社全体として対策に取り組めるよう、全社員にセキュリティの重要性を周知することも大切です。

Webセキュリティ診断・セキュリティチェックの活用もおすすめ

Webセキュリティ対策を施していても、自社の対策が万全かどうかわからない企業も多いでしょう。 自社のセキュリティレベルに不安がある場合はWebセキュリティ診断(セキュリティチェック)がおすすめです。

下記はWebセキュリティ診断で診断できる項目の一例です。

  • クロスサイトスクリプティング(XSS)

  • SQLインジェクション

  • OSコマンドインジェクション

  • クロスサイトリクエストフォージェリ(CSRF)

  • CRLFインジェクション

  • パストラバーサル

  • クリックジャッキング

  • CORSの設定不備 など

Webセキュリティ診断には無料ツールもありますが、専門家によるアドバイスを受けられる有料ツールの導入を検討しましょう。

価格は数十万円~数百万円までとさまざまで、診断項目もサービスによって異なります。それぞれのサービスを比較し、自社のニーズに合致しており、かつ費用対効果が高いサービスを選択するとよいでしょう。

Webサイト・ホームページ制作ではセキュリティ対策も最重要課題

中小企業こそWebサイトのセキュリティ対策が必要な状況になった今、 正しい知識でセキュリティリスクを正しく理解し、万全の対策を講じることは企業の社会的責任の一つといえます。経営者を筆頭に企業が一体となり、会社を挙げてセキュリティ対策を実施していくべきでしょう。

ただしセキュリティ対策を自社だけで実行することは簡単なことではありません。特にCMSシェア世界一位のWordPressは脆弱性を発見しやすく、サイバー攻撃に狙われやすいといわれています。 セキュリティのレベルを引き上げ、安全なWebサイト運営を行うには「LeadGrid」の導入がおすすめです。

LeadGridは改ざん検知、WAFなど、最高レベルのセキュリティ基準に対応したCMS。アカウント権限設定や自動アップデート、SSL対応、IP制限などさまざまなセキュリティ機能を搭載しているため、サイト運営に専念できます。上場企業の導入実績も豊富です。

さらに顧客管理機能や資料ダウンロード機能などリード獲得に特化した機能が充実している点や、ページを直感的に編集できる「見たまま編集」に対応している点も大きな強み。高レベルなセキュリティ対策に加え、集客を加速させる仕組みで貴社の課題に合わせたご支援が可能です。

LeadGridの詳細はこちら

60以上のCMSから32のサービスを厳選し、それらを表で比較しました

CMS比較一覧表を見る

リード獲得に強いCMS・Webサイト運用ツール LeadGrid

LeadGridを使えば、Webマーケティングに強いサービスサイト、オウンドメディア、コーポレートサイト制作をスピーディに制作可能です。

ページを見たまま編集できる「ページ編集機能」や「フォーム管理機能」など、Webの知識がなくても担当者ベースで施策が実行できます。

くわえてご希望の方には、WebマーケティングやSEOコンテンツの設計、運用、分析までトータルでご支援しています。

Webサービスやオウンドメディアの立ち上げ、コーポレートサイトリニューアルなど、御社のプロジェクトをお気軽にご相談下さい。

得意領域

  • Webマーケティングに強いWebサイト制作
  • サービスサイト、オウンドメディアサイトの立ち上げ
  • Webマーケティングの戦略設計、運用支援

記事を書いた人

LeadGrid BLOG編集部

LeadGrid BLOG編集部

LeadGrid BLOG(リードグリッド ブログ)は、リード獲得に役立つ情報を発信するWebマーケティングメディアです。

お役立ち資料

サイト制作、マーケティング戦略設計、コンテンツ制作、Webコンサルティング
関連のお役立ち資料をご紹介します。

Web制作・CMS開発・Webマーケティングに関してお気軽にご相談ください。

多くのWeb制作、オウンドメディア制作、Webコンサルティング、コンテンツマーケティングの実績から制作から運用・改善までトータルでサポートします。