新しくホームページの制作を行う企業が考えるセキュリティ対策について。
安全対策をしっかりしていないと利益どころか予想外の損失を抱えることがあります。今回はそうしたセキュリティ対策についてお話しします。
セキュリティ対策をしないとホームページはどうなるのか!?
そもそもホームページでセキュリティ対策をしないとどういったリスクがあるのでしょうか。ここではセキュリティの不足によって発生するリスクをいくつか紹介します。
機密情報の漏洩
まずは機密情報法の漏洩。コンピューターや社内ネットワークには社員の個人情報や取引先情報など、外部には見せたくない情報を置いている場合があります。
セキュリティ対策がしっかりしていればそうした情報を盗まれることはありません。(社内の人間をスパイにして盗む方法もありますが、こちらは別の対策が必要です)ですが、ホームページなど外部からアクセスできるもののセキュリティが甘いと話は別です。
外部からの不正アクセスを許してしまい、本来立ち入られてはいけない領域にも入られることで、機密情報を盗まれる恐れがあります。そうした機密情報の漏洩を防ぐためにもセキュリティ対策は欠かせません。
ホームページのコントロールを奪われる
いわゆるマルウェアです。不正にアクセスしたときにバックドア(次回以降、容易にアクセスする目的で作る抜け道のこと。)を作る目的でマルウェアなどをホームページやサーバーに置いていくことがあります。
マルウェアにはホームページの一部の機能を使わせないという機能もあるため危険です。結果としてマルウェアによってホームページのコントロールを奪われてしまい、自由な変更がおこなえなくなります。
企業の規模・場所に関係なくホームページのセキュリティ対策は必要
「セキュリティリスクがあるのは大手企業のホームページだけ」と思っていないでしょうか。
実際のところセキュリティリスクは大企業中小企業関係なく発生しています。そのため企業の規模のみならず、東京で活動している企業も福岡で活動している企業も、セキュリティリスクは必ずあると思ってください。
中小企業がターゲットになる理由は「ハッキングしやすい」からです。大企業の場合、流出させてはいけない情報をたくさん持っているため、社内的にもセキュリティ対策はしっかり行うようにしています。(たまに無知は経営陣のせいでおろそかになっていることもありますが。)
中小企業では「重要な情報はあまり持っていない」と経営陣らが思っていることから、セキュリティ対策が十分に行われていないケースが見受けられます。
ハッキングする人たちはそうした中小企業のセキュリティの甘さを見逃しません。
お金になる機密情報がないかどうかはハッキングする側からすれば関係ありません。痕跡を残さずにハッキングできればよく、お金になる機密情報はあくまでも「ついでに持っていく」と捉えていることがあります。
中小企業にハッキングする理由はそれだけではありません。「大企業へハッキングするときの踏み台にする」という理由もあるからです。
基本的に大企業のセキュリティ対策は基本的に万全ですが、取引をしている企業が存在している場合は変わります。
メールからも情報が漏れることも
ホームページのセキュリティは、そうした搦め手からの攻撃には意外と弱いものです。
特に近年は大北海道や福岡など企業の取引先が様々なところにできるようになりました。福岡などにある企業とのつながりは売り上げの観点ではメリットになりますが、セキュリティの観点ではリスクになりえることも理解してください。
ホームページへの攻撃手段
ここではホームページに行われる攻撃手段について紹介します。
1つ目は「クロスサイトスクリプティング」です。スクリプトはインターネットで使用するプログラムのようなものです。ホームページでデータベースから取得した画像の表示や動画を流すといった動くものを作る場合は、スクリプトの機能を用います。
クロスサイトスクリプティング
クロスサイトスクリプティングはそうしたスクリプトをホームページに仕込ませて攻撃するのが特徴です。仕込まれたことになかなか気づかないこともあるため、厄介な攻撃と認知されています。
そうしたクロスサイトスクリプティングを防ぎたい場合は、セキュリティソフトの導入や、内部からの不正アクセスをブロックする仕組みを用意してください。
汎用的なセキュリティソフトには、クロスサイトスクリプティングの対策が組み込まれており、導入するだけで攻撃を防げます。
そのためセキュリティソフトを導入できれば、外部からのクロスサイトスクリプティングはほぼブロックできるといってよいでしょう。なおセキュリティソフトの一部は特定の攻撃に特化した一芸タイプがあります。
そうしたセキュリティソフトはクロスサイトスクリプティングの攻撃を防げませんので気を付けてください。
クロスサイトスクリプティングの対策が必要な場合も
また、セキュリティソフトは外部からのクロスサイトスクリプティングを防げますが、内部からのクロスサイトスクリプティングまでは防げません。そちらは別途対策が必要となります。
内部からのクロスサイトスクリプティングに有効なのが「内部からの不正アクセスを防ぐ」ことです。
基本的にクロスサイトスクリプティングをする人は不正にサイトへアクセスすることがほとんどです。(犯罪行為をするのに証拠が残る正面から堂々と入る人はいません)そのため内部からの不正アクセスを防げれば、自動的にクロスサイトスクリプティングも防げます。
SQLインジェクション
2つ目の攻撃は「SQLインジェクション」です。
SQLとはデータベースに対して何かしらの要求をするために用いるプログラムのことです。データベースからデータを取得したり、複数のデータを結合して画面に表示したいときなどにSQLを用います。
通常、SQLはホームページのプログラムで使用されるものであり、外部から使用されることはありません。ですがSQLインジェクションでは外部からSQLのコマンドが送られて機密情報を入手しようとします。
ホームページで個人名を入力する場合、通常であれば「佐藤太郎」などと入力するでしょう。
ですがSQLインジェクションをしたい場合は「佐藤太郎 select * from ・・・」などと入力します。名前以降がSQLのコマンドです。こうした内容を入力すると内部では名前の認証と同時にSQLのコマンドも処理して情報が漏洩します。
通常、SQLインジェクションを機能させるにはデータが入っているテーブルなどの名前を知らないといけません。そのためSQLインジェクションは内部のこと知っている人にしかできない攻撃と思っている方がいます。
ですが、データベースのテーブル名を取得するコマンドもSQLにはあるため、SQLインジェクションができる状態であれば、いずれ重要な情報も盗まれる恐れがあります。
SQLインジェクションの対策は「コマンドを機能させない」
たとえば名前の入力欄で「佐藤太郎 select * from ・・・」と入力されると不正な処理をされてしまいます。ですがホームページ内部で「”佐藤太郎 select * from ・・・”」とダブルクォーテーションで囲えばSQLインジェクションを回避できます。(ダブルクォーテーションで囲うと1つの文字列とみなされ、コマンド処理などが行われなくなるためです)
SQLインジェクションを回避したい場合は、そうした工夫が必要となります。
セキュリティ対策はホームページだけでなくサーバーにも必要
ホームページのセキュリティ対策は必要ですが、同時にホームページ制作で準備したサーバーもセキュリティ対策が必要となります。
ホームページ上で対策できるhttps、SSL証明書のセキュリティ対策に関して
https表記、SSL証明書とは
SSLサーバ証明書は、ウェブサイトの「運営者の実在性を確認」し、ブラウザとウェブサーバ間で「通信データの暗号化」を行うための電子証明書で、グローバルサインなどの認証局から発行されます。 SSLサーバ証明書には、ウェブサイトの所有者の情報や、暗号化通信に必要な鍵、発行者の署名データが含まれています。
SSL証明書を設定しているサイトのアドレスはhttps://○○.comのように表示されます。
また、鍵マークも表示されこのサイトの通信は暗号化されている表記になっています。
更に鍵マークをクリックすると「この接続は保護されています」と表示されているのがわかります。
この表示がされているサイトは、お問い合わせフォームなどの情報を暗号化して通信しているので、情報漏洩のリスクが軽減します。
合わせてGoogleの公式ガイドライン上でも、訪問者がページを利用しやすいよう手助けするの項目にてhttpsの重要性が表示されています。
可能であれば、HTTPS を使用してサイトの接続を保護します。
ウェブ上の通信ではユーザーとウェブサイトとの間のやり取りを暗号化することが適切です。
逆にhttpsの対策を行っていないサイトはどのような表示になるのでしょうか?
保護されていない通信と大きく表記されます(Googlechromeブラウザを使用)
上記のように、ホームページ上でも対策できるセキュリティがありますので、対策を行っておきましょう。
ファイアウォール
必要な対策の1つがファイアウォールの設定
ファイアウォールはサーバーへの不正な攻撃を防ぐ「防火壁」のことです。
通常、サーバーは外部にあるパソコンとのやり取りを、すべてポートというのを経由して行います。ポートはサーバーやパソコンにあるデータを伝達する通路のことです。
ポートは複数種類あり、基本的にサーバー側のポートはすべて開いています。すべてのポートが開いていると、大量のデータを一挙に処理できるため便利です。ですが同時に不正アクセスを防げない問題が生じます。
ポートにはデータの善し悪しを見極める機能がないため、悪意のあるアクセスを拒否できません。
ファイアウォールでローカル対策も!
そのためファイアウォールを設置すると外部からのアクセスが限定されて、ホームページを運用するサーバーの安全性が大きく向上します。
ちなみにファイアウォールは自社でサーバーを用意したら必ず設置するセキュリティです。
言い換えればレンタルサーバーや共用サーバーなどに関しては、こちらでファイアーウォールのことを意識する必要はありません。基本的にサーバーを運用・管理している会社がファイアウォールの設置をおこなっているからです。
自社でサーバーを管理しているときは必ずファイアウォールの設置も行いましょう。
IPS
「IPS」もサーバーのセキュリティ対策でよく用いられるものです。
ホームページ制作をした場合は、DOS攻撃への対策を考える必要があります。DOS攻撃とは一時的にホームページの機能をマヒさせる攻撃です。1秒間に数千、数万単位のアクセスを行うことでサーバーの機能をマヒさせて、そのすきに悪意のある捜査が行われます。
どんなに高性能なサーバーを用意しても処理速度は無限にはなりません。そのため処理できる情報量を超えたアクセスがあれば必ずマヒが発生します。
そうした厄介なDOS攻撃を防ぐのがIPSです。IPSとは「Intrusion Prevention System」のことで外部から不正なアクセスがあったかどうかを検知する機能のことです。
不正なアクセスを検知した場合はそのアクセス情報をカットすることで、サーバーをガードします。IPSではじかれた処理は、サーバー側で実行されることがありません。
これは数千、数万体の大量の処理であっても同じです。そのためIPSを設置しておくとDOS攻撃そのものが防がれるようになり、サーバーの安全性が向上します。
DOS攻撃の厄介なところは「復旧させる手間」です
サーバーを復旧させる場合は必ずサーバーがある場所へ行って操作を行わなければいけません。
そしてサーバーは福岡など土地が安いところに設置することがほとんどです。そのためDOS攻撃からの復旧は時間がかかるだけでなく、出張費などのお金もかかる場合があります。
そうしたセキュリティに関する出費を抑えるためにも、IPSはしっかり設置してください。
まとめ
ホームページ制作をするときは画面デザインだけでなくセキュリティ対策についても考えないといけません。セキュリティ対策があまいと社内の機密情報が漏れたり、ホームページのコントロールが奪われたりとよくない事が発生します。
ホームページへの攻撃はクロスサイトスクリプティングやSQLインジェクションなどのパターンがあり、実際にセキュリティ対策をするときは攻撃に合わせた対応をすることが大切です。
またソフトウェアだけでなくサーバー側も場合によっては対策が必要となりますので、こちらも忘れずに行うようにしてください。
この記事の監修者
永田達成
TATSUNARI NAGATA / 代表取締役
株式会社Soeluの代表取締役。1987年生まれ。福岡県出身。
2010年に大学卒業後、地元福岡のウェブ制作会社に営業として入社。
2019年に個人事業主として独立し、2021年に株式会社Soeluを設立。
現在は福岡を中心に東京・神奈川・大阪・名古屋・札幌など全国から多くのクライアント様とウェブを通して活動中。
永田達成の代表プロフィールはこちら
ウェブコラムでさらに詳しい情報を発信中
