Webサイトを運用するうえで欠かせないセキュリティ対策。

「サイバー攻撃は大企業が狙われるもの」「うちみたいな小規模サイトを狙うはずない」と考える中小企業も多いですが、実は近年では 中小企業がサイバー攻撃のメインターゲットとなるケースが多発しています。

とはいえWebサイトのセキュリティ対策は一つではなく、自社のサイトで何を実施するべきか決めかねているWeb担当者も多いでしょう。

そこで本記事ではそこで本記事ではカテゴリ別にセキュリティ対策について手法を解説します。よくある攻撃例についても紹介するので、セキュリティ対策にお悩みの方はぜひ最後までご覧ください。

Webサイトは脆弱性対策が必須！

“脆弱性（ぜいじゃくせい）とは、コンピュータのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のことを言います。（引用：国民のための情報セキュリティサイト｜総務省）”

脆弱性を放置するとサイバー攻撃の格好の餌食となり、 不正アクセスによる情報漏えいやシステムダウンによる損害を被る危険性が高まります。

特に中小企業はセキュリティ対策が十分に行われていないケースが多く、IPA（情報処理推進機構）による「2021年度中小企業における情報セキュリティ対策の実態調査報告書」では直近3期で情報セキュリティ対策投資を行っていないと回答した企業は33.1%でした。

取引先の大企業への踏み台として中小企業を狙うケースも相次いでおり、大企業だけでなく中小企業もWebサイトの脆弱性対策を徹底して実施する必要があるといえます。

サーバーセキュリティを脅かす攻撃の例

• SQLインジェクション

• XSS（クロスサイトスクリプティング）

• ブルートフォースアタック

SQLインジェクション

SQLインジェクションはWebアプリケーションに対し不正なSQL文（データベースを操作する言語）を注入する攻撃手法です。

おもにECサイトや会員制Webサイトがターゲットとなり、ユーザーID・パスワードを入力するフォームなどに不正なSQL文を注入されることで個人情報が盗まれる仕組みとなっています。

XSS（クロスサイトスクリプティング）

XSS（クロスサイトスクリプティング）は脆弱性のあるWebサイトに罠を仕掛け、Webサイトを訪れたユーザーの個人情報を盗む攻撃手法です。

ユーザーID・パスワードなどのフォームを利用する点はSQLインジェクションと同じですが、データベースに登録された顧客情報を狙うSQLインジェクションとは違い、XSS（クロスサイトスクリプティング）はWebサイトを訪れるユーザーを攻撃対象とする点が特徴的です。

ブルートフォースアタック（総当たり攻撃）

ブルートフォースアタック（総当たり攻撃）はパスワード解読方法の一つです。すべてのパターンの組み合わせを入力することで正しい暗証番号を突き止める手法で、「力任せ」「強引な」という意味の「ブルートフォース（Brute-force）」が語源となっています。

コンピュータの処理能力向上により短時間でパスワードが突破できるようになっており、適切な対策が必要です。

Webサイト立ち上げ時のセキュリティ対策

Webサイト立ち上げ時のセキュリティ対策としては以下のとおりです。

• セキュアプログラミング
• 外部の脆弱性診断、セキュリティ診断を受ける
• 不要なファイルを公開しない

セキュアプログラミングとは、そもそも脆弱性を作らないようにするプログラミング思想のことです。脆弱性はリリース後見つかってもすぐに対処できるものばかりではなく、近年はセキュリティパッチの公開までの短い期間を狙った「ゼロデイ攻撃」も増えています。

とはいえ脆弱性をまったく作らないプログラミングも現実的には不可能なので、 公開前には外部の脆弱性診断、セキュリティ診断を受けるのもおすすめ。詳細は後述します。

またサイト立ち上げの際、外から見える必要のないファイルを公開しないことも重要です。URLの直打ちで個人情報が表示される、といったことがないように公開ページはしっかり管理しましょう。

Webアプリケーションのセキュリティ対策

Webアプリケーションを利用する場合のセキュリティ対策例は以下のとおりです。

• アプリケーションを構成するソフトウェアの更新
• reCAPTCHAの設置
• 通信内容の暗号化

まずはアプリケーションを構成する要素であるソフトウェアの更新は定期的に行いましょう。ソフトウェアの脆弱性対策の可能性もあり、更新が遅れるとそれだけ攻撃の穴が攻撃者に見せている時間が増えるといえます。

またreCAPTCHAをお問合せフォームのページなどに設置することにより、botによるWebサイトへの攻撃を防ぐことができます。

通信の暗号化、具体的にはSSLサーバ証明書の取得も忘れないようにしましょう。 SSLサーバ証明書は「通信の暗号化」「サイトの運営者・運営組織が実在していること」を証明する電子証明書です。SSLサーバ証明があると、URLが「https～」となるのが特徴です。SSLサーバ証明書を取得しているサイトは信頼性向上にもつながるため、SEOにも良い影響をもたらすと考えられています。Webサイト全体をHTTPSをする「常時SSL」もあわせて行いましょう。

Webサーバのセキュリティ対策

Webサーバ周りのセキュリティ対策例としては、以下のとおりです。

• 不要なプログラムの定期的な削除
• ページ閲覧・編集の定期的な権限管理
• システム・アプリケーションログを残す

不要なプログラムの削除については、システムの運用をきちんと定め定期的に行えるようにしましょう。使っていかなったプログラムが穴となって攻撃を受けることを防ぎます。

またWebサーバ上のファイルの閲覧・編集権限も定期的に変更しましょう。不要にもかかわらず権限が与えられていた社員のパソコンが乗っ取られたような場合に、Webサーバにダメージが波及するのを避けられます。

さらに「誰がいつどこで何をした」がわかるサーバー上のログも残しておきましょう。いざ不具合が起きた時に原因を探ることができます。

ネットワークのセキュリティ対策

ネットワークのセキュリティ対策としては、以下の例があります。これらがおざなりの場合、社内のパソコン経由でWebサイトが攻撃を受ける可能性があります。

• ファイアウォール
• WAF、IDS／IPS、UTMの導入
• ルーターの設置

ファイアウォールとはインターネットからの不正アクセスを防ぐシステムの総称のこと。ネットワークから送られてくるデータの安全性を判断し、不正な侵入を遮断することから「防火壁」を意味する「ファイアウォール」と名付けられました。企業においてはインターネットと社内LANの間に設置することで、外部からの攻撃を未然に防ぐことができます。

IDS／IPSもファイアウォールと同様に、不正な侵入を検知・防御します。ファイアウォールとの違いは以下のとおりです。

• ファイアフォール：ネットワークのアクセス制御を超える攻撃を防ぐ
• IDS／IPS：サーバの脆弱性をついた攻撃を防ぐ

ちなみにIDSが不正侵入検知システムのこと、IPSが不正侵入防御システムのことです。

またUTMとはファイアウォールやIDS／IPS機器をワンパッケージにした製品です。セキュリティの一元管理が可能になります。ルーター（インターネットと社内LANをつなぎ、社内のパソコンに通信を振り分けつつ不正な通信を弾く役割をもつ）直下にUTMを設置しましょう。

またWAFはファイアウォールの一つで、ファイアウォールやIDS／IPSがカバーするセキュリティの範囲を補完します（OSI参照モデルにおいて、6層や7層をカバー）。WAFによりSQLインジェクション、XSS（クロスサイトスクリプティング）、ブルートフォースアタック（総当たり攻撃）など、ファイアウォールやIPSでは検知できない攻撃を防げます。

CMSのセキュリティ対策

• 常に最新に状態にする

• 拡張機能をいたずらに増やさない、定期的に見直す

• 管理ページのダッシュボードへのアクセス制御

• 複雑なパスワードの設定

• 脅威や攻撃の手口を知る

常に最新に状態にする

脆弱性を突く悪質なサイバー攻撃からWebサイトを守るためには、 常にCMSを最新の状態にし、脆弱性を塞ぐことが重要です。常に更新情報を収集し、迅速にアップデートを行いましょう。可能なら、CMS選定の際に「自動でアップデート可能」なCMSを選んでおくと、この点は安心です。

拡張機能をいたずらに増やさない、定期的に見直す

WordPressのようにサードパーティ製の拡張機能でどんどん機能を増やせるタイプのCMSは、拡張機能の増やしすぎに注意しましょう。

CMS自体に脆弱性の穴がなくとも、拡張機能側の穴から攻撃を受ける可能性があります。また拡張機能自体、セキュリティパッチの公開などのアップデートがある保証もありません。つまり可能な限り拡張機能は増やさないことで、セキュリティリスクを高められるのです。

設計段階で実装でカバーできる部分は実装でカバーし、使用することになった拡張機能についても、定期的にアップデートはあるか、そもそも使用する必要があるのかなどを定期的に見直しましょう。

管理ページのダッシュボードへのアクセス制御

アカウントのなりすましによる不正アクセスを防ぐため、 退職者のアカウントやテストアカウントなど不要なアカウントは必ず削除しましょう。

またデータにアクセスできる権限を制御することも不正アクセス防止に有効です。事務所外からのアクセスを制限するなど、自社の体制に合わせて最適な制御方法を検討するようにしましょう。

複雑なパスワードの設定

ブルートフォースアタック（総当たり攻撃）を避けるためにも パスワードは「長く」「複雑に」「使い回さない」ことを徹底しましょう。具体的には下記の工夫が必要です。

• パスワードは英数字記号含めて10桁以上にする

• 名前、電話番号、誕生日、簡単な英単語などは使用しない

• 同じID・パスワードを複数のサービスで使い回さない

ソリトンシステムズによる「日本人のパスワードランキング2021」によると、2021年に漏えいした日本のパスワードは1位「123456」、2位が「password」、3位が「000000」であることがわかっています。

このような単純なパスワードは簡単に突破できてしまうため、パスワードは複雑かつ推察できない文字列を設定しましょう。

脅威や攻撃の手口を知る

サイバー攻撃は多様化・高度化しており、Webサイトを安全に運用するには社員一人ひとりのリスク管理が重要です。 セキュリティ専門機関のWebサイトやメールマガジンを通じて最新の脅威や攻撃の手口を確認するようにしましょう。

ウイルス添付メールや偽サイトへの誘導などは手口を知っていれば回避できる可能性もあります。会社全体として対策に取り組めるよう、全社員にセキュリティの重要性を周知することも大切です。

Webセキュリティ診断・セキュリティチェックの活用もおすすめ

下記はWebセキュリティ診断で診断できる項目の一例です。

• クロスサイトスクリプティング（XSS）

• SQLインジェクション

• OSコマンドインジェクション

• クロスサイトリクエストフォージェリ（CSRF)

• CRLFインジェクション

• パストラバーサル

• クリックジャッキング

• CORSの設定不備 など

Webセキュリティ診断には無料ツールもありますが、専門家によるアドバイスを受けられる有料ツールの導入を検討しましょう。

価格は数十万円～数百万円までとさまざまで、診断項目もサービスによって異なります。それぞれのサービスを比較し、自社のニーズに合致しており、かつ費用対効果が高いサービスを選択するとよいでしょう。

Webサイト・ホームページ制作ではセキュリティ対策も最重要課題

ただしセキュリティ対策を自社だけで実行することは簡単なことではありません。特にCMSシェア世界一位のWordPressは脆弱性を発見しやすく、サイバー攻撃に狙われやすいといわれています。 セキュリティのレベルを引き上げ、安全なWebサイト運営を行うには「LeadGrid」の導入がおすすめです。

LeadGridは改ざん検知、WAFなど、最高レベルのセキュリティ基準に対応したCMS。アカウント権限設定や自動アップデート、SSL対応、IP制限などさまざまなセキュリティ機能を搭載しているため、サイト運営に専念できます。上場企業の導入実績も豊富です。

さらに顧客管理機能や資料ダウンロード機能などリード獲得に特化した機能が充実している点や、ページを直感的に編集できる「見たまま編集」に対応している点も大きな強み。高レベルなセキュリティ対策に加え、集客を加速させる仕組みで貴社の課題に合わせたご支援が可能です。

LeadGridの詳細はこちら