Webサイトのセキュリティ対策は大丈夫? 対策の基本を知って安全性を高めよう

保守・セキュリティ対策

Webサイト(ホームぺージ)の運用に、セキュリティ対策は不可欠です。対策を怠ってサイバー攻撃に遭えば、顧客情報・機密情報の漏えいや、改ざんによる不正サイトへの誘導など、お客様や取引先、系列会社などにも被害を及ぼす深刻な事態になりかねません。今の対策で大丈夫と、自信をもって言えますか? 今回は、まず知っておきたいWebサイトのセキュリティ対策の基本を取り上げます。自社サイトの安全な運用のためにお役立てください。

Webサイトのリスクを知ろう

セキュリティ対策を行うには、Webサイトのリスクについて知っておくことが大切です。主なリスクについて説明します。

マルウェア感染

マルウェア(malware)は「悪意のあるソフトウェア」の総称。“悪意がある”という意味の英語maliciousとsoftwareを組み合わせた造語です。
代表的なマルウェアを紹介します。

  • ウイルス
    コンピューターに侵入し、ファイルやソフトウェアなどに感染して、ファイルの破壊や情報窃取などの被害をもたらす悪質なプログラム。他のコンピューターに感染させる危険性もあります。
  • ランサムウェア
    感染したコンピューター内のデータを暗号化して利用不可能な状態にし、データを元に戻すことと引き換えに身代金を要求します。
  • スパイウェア
    利用者が知らないうちに不正侵入し、通信状況を監視。犯罪者にあらゆる情報が送信され続けます。
  • スケアウェア
    画面に「ウイルスが検出されました」など偽の警告を表示して不安をあおり、解決策と称してソフトウェアの購入を促します。誘導に従うと、マルウェアに感染したり、情報が盗まれたりします。
  • ワーム
    ファイルなどに寄生せず、単体で活動できることと、感染したコンピューターから別のコンピューターへ自己増殖が可能という特徴により、被害が拡大しやすいマルウェアです。
  • トロイの木馬
    無害なプログラムやソフトウェアを装い、利用者にインストールさせ、情報窃取、データ改ざん、マルウェアのダウンロードなどを行います。乗っ取られると、他のコンピューターのデータ破壊や改ざんなどに悪用されることもあります。
  • ボット
    感染したコンピューターを遠隔操作し、サーバーからデータを盗んだり、迷惑メールを配信したり、ほかのコンピューターを攻撃したりします。

<主な感染経路>
感染経路としては、電子メールの添付ファイルやURLへのアクセス、Webサイトの閲覧、ソフトウェアやアプリケーションのインストール、共有ソフトの利用、USBメモリなどがあります。

脆弱性のリスク

脆弱性とは、OSやアプリケーションなどのセキュリティ上の欠陥のことです。プログラムの不具合や設計ミスによって起こり、インターネットに関するあらゆるものには脆弱性のリスクがあります。「セキュリティホール」とも呼ばれます。

設計やプログラミングのミスをゼロにすることは困難で、次々と新しい脆弱性が発見されます。脆弱性が見つかると、開発元やメーカーから更新プログラムが提供されますので、対応が必要です。脆弱性を放っておけば、マルウェアに感染したり、外部から攻撃を受けたりする危険性が高まります。

不正アクセス

アクセス権限のない者が、サーバーやコンピューターに侵入すること。Webサイトの改ざん、情報漏えい、ファイルの消去などが起こるほか、他のコンピューターへの攻撃者としてマルウェア感染や迷惑メール配信などに利用される恐れもあります。
不正アクセスの原因は、マルウェア感染、脆弱性を狙った攻撃、ログイン情報の漏えいなどがあります。

その他のリスク

機器やシステムの故障、事故・自然災害のリスクのほか、操作や設定を誤るなど人為的なミスによっても安全性が損なわれます。

最低限やっておくべき、Webサイトのセキュリティ対策

多くのセキュリティ対策の中から、これだけはやっておきたいという対策を紹介します。

  1. パスワードの強化
    文字の組み合わせをすべて試していく「総当たり攻撃」などから守るためにも、パスワードは長く複雑にして安全性の高いものに設定することが大事です。内閣サイバーセキュリティセンター(NISC)では、「英大文字・小文字+数字+記号」混じりで少なくとも10桁以上をすすめています*。
    *NISC『インターネットの安全・安心ハンドブック』より
  2. OSやソフトウェアを最新の状態に
    OSやアプリケーション、ソフトウェアなどの脆弱性が見つかれば、開発元やメーカーが更新プログラムを提供します。アップデートを行い、最新の状態にしておきます。
  3. 定期的にデータのバックアップを取る
    しっかりセキュリティ対策を行ってもリスクゼロとは言い切れません。定期的にバックアップを取っておけば、万一サイバー攻撃に遭ったとしても、復旧できる可能性があります。
  4. 共有設定を見直す
    ネットワーク上でデータを共同で利用する場合、必要な人のみアクセスできるように設定します。また、「閲覧のみ」「閲覧・編集ができる」などの許可も設定しておくと、より安全に利用できます。
  5. セキュリティツールの導入
    セキュリティツールの導入により、外部からの侵入や情報漏えいなどのリスクを減らせます。ワードプレスを利用している場合は、セキュリティ対策ができるプラグインを入れておきます。

ワードプレスのセキュリティは要注意

自社サイトの構築にワードプレスを利用している会社も多いでしょう。ワードプレスは利便性が高く、世界でもっとも利用されているCMS(コンテンツ管理システム)です。そのため攻撃数も多く、常にメンテナンスが行われていますから、ワードプレス本体やテーマ、プラグインをアップデートすることが必要です。

なお、アップデート後に不具合が生じ、記事投稿できなくなるなどのトラブルが起こる可能性もあり、アップデート前のバックアップは必須です。適切なメンテナンス方法などに関して、記事『WordPressやプラグインをアップデートしてセキュリティを強化しよう』にまとめていますので、ぜひお読みください。

中小企業こそ、セキュリティ対策は万全に

サイバー攻撃は年々増加し、組織規模に関わらず、被害が出ています。警視庁の「令和5年におけるサイバー空間をめぐる脅威の情勢等について」によると、「ランサムウェア被害の企業・団体等の規模別報告件数」の被害件数197件のうち、大企業71件、中小企業102件、団体等24件と、中小企業の被害が大企業を上回っています。

万一、被害を受けると金銭的損失だけでなく、会社の信用も大きく揺らぎます。そうならないために、対策が不可欠です。自社サイトのセキュリティに不安を感じるときは、プロに相談してみましょう。

プラソルが提供するWeb活用サービス「to-ch(トーチ)」では、制作から運用・保守まで広く対応。セキュリティ対策のサポートも行っています。セキュリティ対策の進め方やお困りのことなどありましたら、どのようなことでも気軽にご相談ください。

to-chお問い合わせフォーム