「Webはどのようなリスクがある?」
「Webサイトに必要なセキュリティ対策とは?」
PCのモバイル化やスマートデバイスの普及に伴い、今やWebを使わない日は無いほど、ビジネスの一部となっています。Webを有効活用すれば、ビジネスチャンスの拡大につながるものの、セキュリティ対策が手薄であれば、逆に組織の信頼低下を招いてしまう危険性があります。
そこで本記事では、以下の内容について解説します。
- Webサイトにひそむセキュリティリスク
- Webサイトの運用形態によるセキュリティ対策の違い
- Webサイトのセキュリティ対策
本記事を読むことで、Webサイトを安全に構築・運用するためのコツが分かります。組織のWebサイトを安全に運用したい組織の方は、ぜひご一読ください。
Webサイトを安全に運用したい組織の方、必見!
Webサイトのセキュリティ、どのような対策が必要?
Webサイトは運用形態によってセキュリティ対策の方法や要点もさまざまです。セキュリティを強固にするため、また効率よく実施するためにも、まずはWebサイトの運営形態に適したセキュリティ対策を把握するところから始めましょう。まずは、こちらの資料をご覧ください。
Webサイトに必要なセキュリティ対策
Webサイトへのセキュリティ対策は必須です。Webサイトを経営に役立てている組織は多いものの、セキュリティ対策が不足している場合も少なくありません。
とはいえ、セキュリティ対策の方法が分からない方も多いでしょう。Webサイトへのセキュリティ対策は、主に以下の3つの段階に分けて検討するのがおすすめです。
- Webサイト検討段階での対策
- Webサイト構築段階での対策
- Webサイト運用段階での対策
Webサイトへのセキュリティ対策は、検討・構築・運用の3段階で分けて実施するのが基本的な考え方です。とはいえ、構築・運用段階で必要な対策には共通するものも多く、実際には「検討段階」と「構築・運用段階」の2段階で取り組むと良いでしょう。
知っておきたいWebのセキュリティリスク
セキュリティ対策を実施するには、まずはWebサイトにどのようなセキュリティリスクが潜んでいるのか知る必要があります。ここでは、代表的なセキュリティリスクを外部・内部に分けて紹介します。
外部のセキュリティリスク
外部にある主なセキュリティリスクとして、以下が挙げられます。
- サイバー攻撃
- 不正ログイン
- マルウェア感染
1. サイバー攻撃
Webサイトには、セキュリティ上の欠陥である脆弱性がしばしば存在します。悪意のある第三者は、インターネットを介してWebサイトの脆弱性を突くサイバー攻撃を仕掛けてきます。サイバー攻撃を仕掛けられると、情報漏えいやデータの破壊など、さまざまな被害につながる恐れがあります。
2. 不正ログイン
不正ログインは、他人のログイン情報を不正に入手し、その情報を利用してWebサイトへアクセスする手法です。
パスワード管理の甘いユーザーにサイバー攻撃をしかけて不正に窃取するケースや、フィッシングサイトの利用、デバイスの覗き見(ショルダーハッキング)など、攻撃者はさまざまな手口でIDとパスワードを入手します。不正ログインが実現してしまうと、インターネットバンキングでの不正送金や情報の不正入手、ECサイトでの不正購入など、さまざまな被害につながる恐れがあります。
3. マルウェア感染
マルウェア感染は、悪意のあるソフトウェアをサーバーや端末に送り込むことで遠隔操作を可能としたり、情報を窃取したりする手法です。
メールに添付したファイルの開封や、不審なURLのクリックをトリガにして感染させる手口が一般的です。また、USBデバイス経由で侵入したり、感染した端末から他の端末へとネットワークを通じて感染を広げるタイプのマルウェアもあるため、被害が広範囲に及ぶこともあります。
Webサイトを運用しているWebサーバーや管理者の端末がマルウェアに感染してしまうと、Webサイトの情報を窃取されたり、データを破壊されたりといった被害につながる恐れがあります。
内部のセキュリティリスク
セキュリティリスクは外部のみとは限りません。組織内部における不正やミスも、Webサイトを危険にさらす要因の一つです。内部のセキュリティリスクとして、以下が挙げられます。
- 内部不正
- 人的ミス
1. 内部不正
従業員による意図的な不正アクセスや・操作によって、情報漏えいなどの被害につながる恐れがあります。たとえば、転職前に機密情報を不正に入手して持ち去り、転職先での営業活動に悪用する、会社への恨みを動機として情報を故意に破壊・流出させるといった行為が該当します。IPA(独立行政法人情報処理推進機構)が発表している「情報セキュリティ10大脅威 2024」でも「内部不正による情報漏えい等の被害」は組織の脅威の中で第3位に位置しています。
2. 人的ミス
従業員によるミスがセキュリティリスクに発展することも珍しくありません。PCの誤操作によって個人情報が公開されてしまったり、機密情報が入ったスマートフォンやUSBデバイスなどを外に置き忘れて紛失してしまうニュースを目にしたことがある方は多いでしょう。IPAが発表している「情報セキュリティ10大脅威 2024」でも「不注意による情報漏えい等の被害」は組織の脅威の中で第6位に位置しています。
Webサイトの運用形態によるセキュリティ対策の違い
Webサイトの運用形態によって、自社で実施すべきセキュリティ対策は異なります。Webサイトの主な運用形態は以下の3つです。
- オンプレミス
- PaaS
- ASP
各運用形態の特徴は以下の通りです。
1. オンプレミス
オンプレミスは、ネットワークやサーバーなどのインフラ構築からWebサイトの構築・運用まで、すべてを組織内で実施する方法です。費用はかかりますが、外部と境界線を引いた組織内で管理することから物理的なセキュリティ対策も施せるため、個人情報を取り扱うWebサイトの場合におすすめです。また、自由度が高く柔軟な運用が可能な反面、セキュリティ対策が複雑になることも多く、環境やルールを熟知したセキュリティ対策の担当者が必要となるでしょう。
2. PaaS
PaaSは、ネットワークやサーバーなどのプラットフォームにクラウドサービスを利用し、Webサイトは組織で構築・運用する方法です。インフラ部分のセキュリティ対策はクラウドベンダーに任せられますが、データからWebアプリケーションまでの対策は組織で実施する必要があります。オンプレミスのように広範囲には及びませんが、必要な知識を有したセキュリティ対策の担当者が必要となるでしょう。
3. ASP
ASPは、「アプリケーションサービスプロバイダー」の略で、インターネットを介してソフトウェアを提供する事業者を指します。また、ASPが提供するサービスそのものも、ASPと呼ばれます。Webサイトの構築・運用に必要な機能を一括して任せることができるので、たとえば、「Shopify」のようにECサイトを簡単に構築できるパッケージなど、コンテンツのみを組織で作成するタイプのサービスが登場しています。カスタマイズやプラグインの導入、外部サービス利用のための認証情報の管理など、気を配るべきポイントもありますが、組織でセキュリティ対策すべき箇所は少なくなるため負担は減るでしょう。
ECサイトのセキュリティについては「ECサイトのセキュリティ|重要な対策方法をわかりやすく解説」にて紹介しているので、ぜひご覧ください。
Webサイトのセキュリティ対策
Webサイトのセキュリティ対策も、外部・内部に分けて考えてみましょう。ここでは、Webサイトを安全に運用するために必要な対策を紹介します。
外部のセキュリティリスクへの対策
外部のセキュリティリスクへの対策は、主に以下の4つです。
- 脆弱性診断の実施
- WAFの導入
- サーバーOS・ソフトウェアのアップデート
- パスワードポリシーの適用
1. 脆弱性診断の実施
Webサイトのセキュリティ対策として欠かせないのが脆弱性診断です。脆弱性を放置していると、サイバー攻撃に利用されてしまい多大な被害を被る恐れがあります。
また、攻撃手法は常に進化しているため、定期的な実施が推奨されています。脆弱性診断を定期的に行うことで、新たに発見された脆弱性の検出はもちろん、システムのバージョンアップ漏れなども検出できます。セキュリティベンダーに診断を依頼するコストが気になる場合は、ツールでの診断をおすすめします。コストを抑えながら、組織の都合の良いタイミングで診断ができるでしょう。
2. WAFの導入
WAFの導入も、有効なセキュリティ対策の1つです。WAFは「Web Application Firewall」の略称で、攻撃性のある通信をWebアプリケーション層で監視・遮断することで、サイバー攻撃からWebサイトを保護する仕組みです。
本来は、「1.脆弱性診断の実施」が、根本的なセキュリティ対策です。しかし、脆弱性の発見から対応までに時間がかかる場合や、ゼロデイ攻撃など、まだ診断対象として登録されていない脆弱性もあるため、WAFは保険的対策として効果があります。
WAFの詳細は「WAFとは|どこまで守れる?セキュリティ対策の効果をわかりやすく解説」にて紹介しているので、ぜひご覧ください。
3. サーバーOS・ソフトウェアのアップデート
Webサイトを運用しているサーバーOSやソフトウェア、外部プラグインなどのアップデートを実施しましょう。古いバージョンのまま使い続けていると、脆弱性が存在する危険性があるため、攻撃を受けるリスクが高まります。
Webサイトに利用しているソフトウェアを管理し、各ベンダーのアップデート情報を見逃さないようにしましょう。
4. パスワードポリシーの適用
不正ログインに有効な対策として、パスワードポリシーの適用が挙げられます。「1234」や「password」といった簡単なパスワードを設定できるWebサイトでは、不正ログインのリスクが高まります。攻撃者から推測されやすいパスワードをユーザーが設定してしまわないよう、制限を加える必要があります。
以下のようなパスワードポリシーを設定すると良いでしょう。
- 英大文字・小文字・数字・記号から3種類以上を使用
- 10桁以上
- IDと同じ文字列は設定不可
上記のようなパスワードポリシーに加え、3ヶ月に1回など定期的にパスワードの変更をうながす仕組みも有効です。
内部のセキュリティリスクへの対策
内部のセキュリティリスクへの対策は、主に以下の3つです。
- 従業員へのセキュリティ教育
- ログ監視
- 権限付与・アクセス制御
1. 従業員へのセキュリティ教育
従業員へのセキュリティ教育を徹底することで、セキュリティリスクの軽減につなげられます。強固なセキュリティ対策を実施していても、運用に携わる従業員が十分な知識をそなえていなければ、インシデントは避けられません。
不審なメールやWebサイトへのアクセスに対して注意をうながし、デバイスやデータの持ち出しにルールを設けるなど、研修や組織内ルールの厳格化によって対応しましょう。
2. ログ監視
ログ監視は、Webサイトのセキュリティを強化するうえで有効な手段の1つです。Webサイトやデバイス、ネットワークへのアクセス・操作を記録しておくことで、有事の際の原因特定に役立つのはもちろん、内部不正の抑止にもなります。
ログ監視システムの導入にはコストもかかるため、比較的安価に抑えられるクラウド型のログ監視システムなど、予算に合わせて検討してみましょう。
3. 権限付与・アクセス制御
従業員への権限付与やアクセス制御によって、内部不正や人的ミスによる情報漏えいのリスクを軽減できます。全従業員が機密情報にアクセスできる状態にしておくのは大変危険です。特定の人物に限定するなど、アクセス権限を設定しておきましょう。
まとめ|セキュリティ対策を見直し、適切な方法でWebを攻撃から守ろう
今やWebサイトの利活用はビジネスに必要不可欠となっています。一方で、必要なセキュリティ対策が不足しているというケースも見受けられます。対策を講じずにいると、情報漏えいやWebサイトの停止など、組織をゆるがす大きな事故につながる恐れもあります。
適切なセキュリティ対策を講じるには、内部・外部の両側面から存在するさまざまなリスクを正しく捉えること、また採用しているWebサイトの運用形態によって必要な対策を理解することが大切です。想定されるリスクをもとに、必要なセキュリティ対策を実施しましょう。
- 外部のセキュリティリスクへの対策
- 脆弱性診断の実施
- WAFの導入
- サーバーOS・ソフトウェアのアップデート
- パスワードポリシーの適用
- 内部のセキュリティリスクへの対策
- 従業員へのセキュリティ教育
- ログ監視
- 権限付与・アクセス制御
