ホームページ制作のセキュリティとは？サイバー攻撃から守る3つのWEB対策

新聞やテレビで、サイバー攻撃による不正アクセス問題など、インターネット上で起こるトラブルがニュースになることがありますよね。

サイバー攻撃はインターネットの通信機能を悪用し、ネットワーク上にある企業などのサーバー（情報やサービスを提供するコンピューターのこと）に不正侵入し、サイトに有害な操作をおこなうことです。

しかし
「うちは事業規模も小さいから大丈夫」
「大企業や官公庁のような大きな会社が狙われるものだ」

と思ってはいませんか？

実は企業の事業規模や知名度に関わらず、サイバー攻撃の脅威は誰にでもあります。地方だから狙われにくいということでもありません。
そして中小企業こそセキュリティ対策を怠ると、事業継続の危機にまでつながりかねない問題に発展する可能性もあります。

この記事では自社のホームページサイトをこれから作りたい方やこれまでセキュリティ対策をおこなっていなかった方にこそ知っておいていただきたい、サイバー攻撃の種類や対策などを紹介していきます。

中小企業こそホームページのセキュリティ対策が必須

ホームページのセキュリティ対策は中小企業の場合は特に、売上げや資金繰りなどに比べると対応の優先順位は低くなりがちですが、怠ってはいけないポイントです。
なぜ中小企業がサイバー攻撃の対象になりやすいのか解説します。

中小企業こそ狙われやすい

サイバー攻撃のターゲットは、主に大手企業や官公庁だと思われることが多いでしょうが、実は中小企業こそ狙われやすいと言われてます。

以下のグラフは、デジタル・インフォメーション・テクノロジー株式会社がおこなった「中小企業のサイバー攻撃対策」に関する実態調査です。

従業員100名以上の企業のWEB事業者の経営者やセキュリティ担当者、情報システム部門を対象に調査をおこないました。
結果を見ると、およそ7割もの企業が何かしらのサイバー攻撃を受けたことがあると答えています。

（参照：PR TIMES「【サイバー攻撃を受けたことがある中小企業は約7割】サイバー攻撃による被害の大きさが明らかに！」）

中小企業が狙われやすいのは、いくつかの理由が考えられます。

前述したように「うちは事業規模も小さいから大丈夫」と考えている企業が依然として多く、セキュリティの知識がないところやガードが甘いところが多いからです。

またサイバー攻撃をする側は、大手企業や官公庁をターゲットにしても、大手はセキュリティがしっかりしているので、最初から狙うのではありません。

取引先のなかでもセキュリティが甘い中小企業に攻撃をしかけ、取引メールなどを経由して大手を攻撃するなど、大手の踏み台として中小企業が狙われる場合もあります。

セキュリティ対策はあと回しになりがちですが、トラブルが起きてからでは遅いのです。

サイバー攻撃から守るためにも、企業規模に関わらずホームページのセキュリティの知識を持ち、対策をしっかりおこなう必要があります。

和歌山県の南紀白浜観光局も不正アクセス被害に

和歌山県白浜町周辺の観光情報を発信する「南紀白浜観光局」が、過去にサイバー攻撃を受けた事例を紹介します。

発生したのは2018年12月31日17時35分～2019年1月1日16時のあいだで、ホームページ管理システムが外部から侵入され、不正な書き込みがされました。

不正アクセスを受けて同局は2019年1月2日午前11時にサイトを一時的に閉鎖し、セキュリティを強化する対応を取り、1月10日には復旧したようです。

侵入経路としては「外部からCMSの管理画面にアクセスできる状態だったため、第三者に管理者のIDとパスワードを入力されて侵入された」とのことです。
サイトの改ざんはあったものの、個人情報の流出などは無かったと発表しています。

年末年始でサイトの管理者が休暇に入るのを狙って、不正アクセスが実行されたとも考えられます。
同局のような事例は、事業規模に関わらず全国各所で報告されており、いつ自分の身に起こるとも限らない問題です。

サイバー攻撃によって起きること

近年のサイバー攻撃は件数の増加だけでなく、種類や手口も増えてきています。
南紀白浜観光局のホームページ改ざんの例も紹介しましたが、サイバー攻撃によって具体的にどのようなことが引き起こされるのか、代表的なものを解説します。

個人情報や機密事項の情報漏洩

情報漏洩とは、サイバー攻撃によって個人情報や機密情報が漏れてしまうことや盗み見られてしまうことです。企業にとって情報漏洩はかなり深刻なダメージにつながります。

発生した経緯のプレスリリースをおこなったり、情報が流出した個人へ補償などに対応したりしなければなりません。修復するまでに時間やコストがかかるため機会損失も発生するでしょう。

情報漏洩が発生した場合は新聞などで報道されることも多く、企業のイメージや社会的信用が落ちてしまいます。
取引先からの信用がなくなれば取引が停止になることもあり、最悪の場合は事業を続けることが難しくなってしまうことも考えられます。

ホームページの情報改ざんやサイトがダウンする

不正アクセスなどのハッキングによってホームページの情報が書き換えられたり、ファイルが消去されたり、サイトがダウンしたりする被害も多くあります。

最近目立って報告されているものに、改ざんされたサイトから詐欺サイトや不審な商品販売サイトなどに誘導されるケースがあります。
怪しいサイトへの誘導は、ハッカーによってサイトに不正なコードが埋め込まれることが原因です。

サイトの利用者からは見てわかるものではなく、有害サイトへ転送するほかにも悪質なプログラムを勝手にダウンロードさせるなどさまざまな手法があり、年々手口が巧妙化してきています。

ウイルスなどのマルウェアに感染する

マルウェア（Malware）とは、パソコンに取り込むと有害な動作をおこなうように作られた、悪意のあるソフトウェアやコードのことです。
悪質なプログラムやファイルにもさまざまな種類があり「ウイルス」や「ワーム」、「トロイの木馬」などを総称してマルウェアと呼びます。

そのなかでもランサムウェアと呼ばれる攻撃では、サイトの管理者が操作できないようにデータに鍵をかけ、企業の重要なデータと引き換えに身代金（Ransom）を要求されます。
身代金の支払いを断るとデータは戻って来ません。

多額の身代金の支払いだけでなく、データがロックされている期間は業務ができないため機会損失になります。マルウェア感染は近年増加しており、被害額が拡大しています。

代表的なサイバー攻撃3種類

セキュリティ対策をおこなう前に、どのような攻撃があるのか知らないことには対策のしようがありません。
ここからは、代表的なサイバー攻撃の種類を3つ紹介します。

データベースを攻撃する「SQLインジェクション」

SQLとはデータベースに使われるプログラミング言語のことで、インジェクションとは英語で「注入する」という意味があります。
SQLインジェクションとは、攻撃対象のサイトが持つデータベースに、不正な指示をだすプログラムを勝手に注入することです。

データベースには顧客の名前や住所、ID、パスワード、メールアドレス、クレジットカード情報など、絶対に漏洩してはならない重要な情報が多く格納されてます。

重要な情報を狙って攻撃者は、サイト内の検索フォームなどから不正なSQL言語を打ち込んで検索をかけ、情報を引き出します。
たとえば、検索フォームにプログラミング言語で「会員情報を教えて」と指示する言語を打ち込むと、セキュリティが甘いサイトでは重要な情報が表示されてしまうなどです。

脆弱性を攻撃する「XSS」

XSS(Cross Site Scriptingの略、クロスサイトスクリプティング)とは、ホームページの脆弱性を利用して行われるサイバー攻撃です。

攻撃者は主に掲示板などの書き込みサイトに悪意のあるプログラムをしかけ、訪れたユーザーにそのプログラムを実行させます。

そのプログラムによってユーザーは本物そっくりの偽サイトに誘導されたり、マルウェアに感染させられたりします。

もし偽サイトだと気付かずに個人情報などを入力してしまうと、攻撃者に個人情報が盗み取られてしまい、そこからさらに被害が大きくなることは容易に想像できるでしょう。

パスワードを解読する「ブルートフォースアタック」

ブルートフォースアタックとは「総攻撃」を意味するサイバー攻撃で、IDやパスワードなどを大量に自動生成し、ログインできるまでパターンをひとつずつ試す攻撃のことです。

以下の表はパスワードの桁数とアルファベット小文字、大文字、記号の組み合わせ方によって、解読されるまでの時間を調べたものです。

（参照：HIVE SYSTEM「World Password Day 2021」より抜粋）

パスワードは8文字以上を推奨しているサイトが多いですが、最近では複雑にしても8時間ほどで見つけられてしまうようです。
覚えにくくはなりますが、桁数を増やし、複雑に設定するのがよいでしょう。

セキュリティ対策①WordPressのアップデートをこまめにおこなう

WordPress（ワードプレス）は、ホームページやブログを無料から作成できる人気のサイト構築サービスで、世界のWEBサイトの42％がWordPressによって作られているそうです。

WordPressはCMS（Contents Management System）と呼ばれるシステムで動きます。
CMSとは、データベース上に保存されているテキストや画像、テンプレートなどをCMSが必要に応じてデータベースから取り出し表示させる仕組みです。

データベースとプログラムを連携させて動くので、専門知識がなくても扱える利点があり、多くの個人や企業が利用しています。
しかし、データベースとプログラムが連携されている仕組みは攻撃対象にされやすく、前述したマルウェアや情報改ざんプログラムを仕込まれることがあります。

もちろん、WordPress側もサイバー攻撃の対策をおこなっていないわけではありません。
プログラムに脆弱性が見つかると、迅速にエンジニアが対応し「最新版」を配布します。

最新版ではプログラムの問題だけではなく、新機能の追加などもありますので、セキュリティ性を高める以外にも使いやすくなるなどのメリットがあります。
こまめにアップデートをおこなうこともセキュリティ対策の一環です。

詳細はこちら → WordPressのアップグレード（WordPressの公式ページが開きます）

セキュリティ対策②レンタルサーバーのセキュリティ対策

レンタルサーバーのセキュリティ対策を、ここでは3種類紹介します。
それぞれ対処できることが違うためどれか1つを選んで利用するのではなく、サイトの仕様に合わせ併用して使うことで、よりセキュリティの高いサイトにできます。

ネットワークの入り口に立つ警備員「Firewall」

Firewall（ファイアウォール）は、インターネットを通じたネットワーク攻撃や不正アクセスなどから、企業や家庭のネットワークを守るためのソフトウェアやハードウェアのことです。

ネットワークの入り口に立つ警備員のような存在で、発信元とあて先の情報をチェックして、通信を許可するかしないかを判断します。
もし、不正なアクセスと判断した場合はサイト管理者に通報をおこないます。

Firewallはより高いセキュリティを保つために、さまざまなネットワークに柔軟に対応できる付加機能を持っているものが多いです。

また、プロバイダがサービス利用者にFirewallを提供している場合もあるので、一度確認してみるとよいでしょう。

不正侵入を防止する「IPS」

IPS（Intrusion Prevention System）とは「不正侵入防止システム」であり、不正な通信を感知し侵入を防止するシステムです。
不正なアクセスを破棄したり、アクセス元のIPアドレスからの通信を遮断したりするなどの機能があります。

Firewallが警備員なら、IPSは建物への侵入を阻止するセコムのようなシステムと捉えると分かりやすいかもしれません。

IPSはリアルタイムに動作するため、サーバー負荷によりアクセスできなくなることやサーバーのセキュリティが甘いところから破られ侵入されることなどを阻止します。

ただし有効なのは、「DoS攻撃」や「Synフラッド」と呼ばれる、大量のデータを送りつけサーバへ負荷を与える攻撃に対してです。
SQLインジェクションやXSSのような、サイトの脆弱性を突く攻撃は防ぐことができません。

機密データを守る「WAF」

WAF（Web Application Firewall）は、WEBアプリケーションの脆弱性を狙ってくる攻撃を防ぎます。
WEBアプリケーションでは、ネットショッピングやゲーム、ネットバンキングなどでは、顧客情報やクレジットカード情報など重要なデータのやり取りが発生します。
WAFは、絶対に漏れてはならない情報を守るためのセキュリティ対策です。

蓄積されたデータをもとにハッキングパターンを判断し、データの送受信を停止して、漏洩を未然に防御する仕組みです。
リアルタイムにアクセスの監視をおこなっており、SQLインジェクションやXSS、ブルートフォースアタックを防ぐことができます。

最近では大手の提供するレンタルサーバーは、ほとんどがWAFを標準装備しています。
レンタルサーバーのコントロールパネルで確認できるかもしれませんが、サーバー会社によって設定方法が異なるようです。一度確認してみるとよいでしょう。

セキュリティ対策③SSL化で個人情報の暗号化対策

SSL（Secure Sockets Layer）とは、ブラウザ（Google Chromeなど）とサーバー間で情報のやり取りをおこなう際に、データ通信を暗号化して送受信する仕組みのことです。
SSL化されていないサイトのURLは「http://」から始まりますが、SSL化されたサイトは「https://」から始まります。

通信の暗号化をしていないと、インターネットショッピングなどを利用する際に入力したIDやパスワード、クレジットカード情報、メールアドレスなどが狙われてしまいます。
そのため通信の初めから終わりまでをすべて暗号化する「常時SSL」が推奨されるようになりました。

世界的に見てもサイトのSSL化は急速に進んでいます。
世界No.1シェアを持つブラウザのGoogle Chromeが、2018年のバージョン68以降、非SSL化サイトには「保護されていない通信」と警告が出るようになったことも、一層SSL化が進んだ要因になっています。

まとめ

ホームページのセキュリティに関して、サイバー攻撃の種類や対策を解説してきました。
どの攻撃から守るには何が必要か、ホームページをこれから作る人にとっては難しい内容に感じたかもしれません。

攻撃の種類や手口などは、しだいに巧妙化してきており、セキュリティ対策も日進月歩が続きます。今後もよりデジタル化が進み、インターネット上でのやり取りや取引がさらに増えていくのは間違いないでしょう。

ホームページを持つならセキュリティ対策もセットで考える必要があります。
大切なお客様の信頼や取引を失わないためにも、ホームページサイトのセキュリティ対策をしっかりおこないましょう。

ホームページのセキュリティ対策でお困りでしたら、WEBESTEでもご相談を承っております。お気軽にご相談ください。