何をやるべき?ホームページ・システムのセキュリティ対策

ホームページ・システムのセキュリティ対策

近年デジタル化や経済のグローバル化に伴い、さまざまな業種でビッグデータの活用・収集が一般的になりました。業種を問わずほとんどの事業者が「個人情報取扱事業者」に該当することとなり、誰もが「Webセキュリティ対策」は怠ることはできません。
また、2022年4月からは情報流出事案の問題の公表が義務化。違反業者には最大1億円の罰金が課せられることも決定しました。

このようにWebセキュリティの制度が厳格化していくなか、直接の営業機会の減少にともない自社サイトからの問い合わせを増やそうとしたものの、Webセキュリティ対策が不十分なまま今日を迎えてしまった方もいるかもしれません。
かといって、「Webセキュリティ対策と言っても何をやるべき?」という疑問をお持ちの方のために

  • 有効なセキュリティ対策を講じるためのポイント
  • 主なWebセキュリティ対策の例
  • 定期的にチェックすべきWebセキュリティ項目

をご紹介いたします。

 

有効なセキュリティ対策を講じるには

情報セキュリティの脅威を分析し、有効な対策を講じるポイントとして示されているのが、「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」です。それぞれの頭文字を取ってCIAと略されます。
現在はさらに4つの要素が加わり、「情報セキュリティの7要素」とされています。

Webセキュリティ対策は、情報セキュリティの7要素を確保しつつ対策を行う必要があります。

情報セキュリティの7要素

  1. 機密性(Confidentiality)

    許可した人のみ情報にアクセスできるようにすること
    →許可されていない人からアクセスされないようにする

  2. 完全性(Integrity)

    情報が改ざんされず信頼に足る状態を保持すること
    →情報が破壊、消去、改ざんされないようにする

  3. 可用性(Availability)

    許可した人はいつでもその情報にアクセスできるようにすること
    →許可した人がエラーやアクセス禁止などにならず、常にその情報にアクセスできるようにする

  4. 真正性(Authenticity)

    署名や認証などを用いて、利用者が適正であることや、データが改ざんなど施されていないこと
    →なりすましや、偽の情報でないことを証明する

  5. 責任追求性(Accountability)

    システムにのされている記録などの証跡を用いて、何が起こったのかを適切に追跡できるようにすること
    →利用者やシステムの責任を説明することができる

  6. 否認防止(Reliability)

    発生事象や作成されたデータを、後でなかったことにされないようにすること
    →タイムスタンプや署名の技術などで証明する

  7. 信頼性(Non-repudiation)

    システムの処理が適切で、矛盾なく動作できるような構成であること
    →システムを安心して使うことができる

 

主なWebセキュリティ対策の例

常時SSL化(SSL/TLS)

SSL(Secure Sockets Layer)/TLS(Transport Layer Security)とは、インターネットで通信を行う際の認証および通信暗号化の仕組みです。通信内容が暗号化されていないと、攻撃者に内容を盗み見される危険性があります。
また、SSLがバージョンアップし改称したものがTLSになります。TLSはSSLに比べ、安全な暗号を使えるようになっており、SSLに存在していた脆弱性が解決されているなどの優位性もあります。

Webセキュリティ上の理由からWebサイトの常時SSL化が推奨されています。ChromeブラウザなどではSSL化されていないWebサイトを閲覧すると、アドレスバーに「保護されていない通信」と表示される他、Googleは常時SSL化を行なっているWebサイトをSEOで優遇するロジックを実装しています。常時SSL化はWebサイトを作る上での必須条件と言っても良いでしょう。

過去のブログでもSSL化について詳しく説明しています。

IP制限

IP制限(アクセス制限)とは、接続元IPアドレスによってアクセスを制限する方法です。会社からのアクセスのみにしたい場合によく使われます。利用できる場所を限定することで、社外からのアクセスを遮断し、第三者による不正アクセスを防ぐことができます。

悪意あるスクリプトが実行されないようにする

XSS(クロスサイトスクリプティング)とは動的なWebページやWebアプリケーションの脆弱性を悪用した攻撃方法です。
お問い合わせフォームなどの動的なWebページはHTMLやJavaScriptなどで組み立てられます。そこに攻撃者が悪意のあるスクリプトを埋め込むことで、フォームに入力した情報を攻撃者が用意したデータベースに送信されてしまいます。
また、管理者のデータベースにも情報が正常に送信されるため、ユーザーはもちろん、Webサイトの管理者もフォームの異常に気づかないことがあります。

Webサイトの管理者が意図しないうちに加害者になってしまう可能性もあるため、十分な注意と対策が必要です。
対策としては、入力値を制限する・サニタイジング(スクリプトの無害化)・WAFの導入などがあります。

 

チェックすべきWebセキュリティ項目

下記のような点を定期的にチェックすべきでしょう。

  • 不要なファイルや公開するべきでないページやファイルを公開しない
  • Webアプリケーション、サーバのログを保管・確認する
  • 不要なアプリケーションやサービスを削除する
  • Webサイトの脆弱性診断・セキュリティ検査を行う

加えて、Webサイトだけではなく、WebアプリケーションやWebサーバ、システム、ネットワーク、それぞれにおいて対策を行う必要があります。

 

Webセキュリティ対策で不安なことがある場合は

Webセキュリティ対策は、専門のパートナーやWeb制作会社に相談することをおすすめいたします。

私たち株式会社サービシンクは、先ほど述べてきたようなWebセキュリティに関しての実績を多く保有するWeb制作・システム開発会社です。
サービシンクではお客様の重要な顧客情報や個人情報を扱うWebサイト・システムを開発することが多いため、Pマークも取得しております。その知見・経験からお客様のWebサイトや開発環境のWebセキュリティ対策状態を診断し、実装しておくべき施策をご提案いたします。
無料で概算見積もりをご提出します、不安なことがある場合はまずは一度ご相談ください。

Webサイト・システムの
お悩みがある方は
お気軽にご相談ください

お問い合わせ 03-6380-6022(平日09:30~18:30)

出張またはWeb会議にて、貴社Webサイトの改善すべき点や
ご相談事項に無料で回答いたします。

無料相談・サイト診断 を詳しく見る

多くのお客様が気になる情報をまとめました、
こちらもご覧ください。