こんにちは、むむです。
Webサイト周りのセキュリティってどんなものがあるかご存じですか?
Webサイト自体に使用しているアプリケーション、ミドルウェア、OS、サーバー、それらをつなぐ通信、通信を行う場所に入るための物理的なセキュリティなど……案外いろんな方面からの対策が必要だったりします。
今回は、Webサイトを制作する際に知っておきたいセキュリティの知識をざっくりとまとめます。
大きく以下の4つの視点から対策を行うことができます。
- Webサイトのセキュリティ対策
- サーバーのセキュリティ対策
- ネットワークのセキュリティ対策
- 建物 / 部屋のセキュリティ対策
それでは詳しくみていきましょう!
Webサイトのセキュリティ対策
まず初めに、Webサイトのセキュリティ対策についてです。
Webサイトを作るには、OSやミドルウェア、アプリケーションを使用し構築されることがほとんどです。そして、使用する各プログラムにはそれぞれバージョンがあり、日々脆弱性が発見され、修正するためのアップデートが行われています。つまり、構築に使用するものすべての脆弱性を放置しないことが一番の防御になります。
もし、アプリケーションのバージョンアップなどを行わず放置していた場合、脆弱性やセキュリティホールが発生し、そこから悪意ある第三者からハッキングを受ける可能性があります。また、Webサイトに使用しているプラグインの中でも不要なものは削除し、整理整頓を心がけましょう。
ほかにも会社の人事異動が発生した場合にも注意が必要です。人事異動に合わせてアカウントも確認し、不要の場合にはアカウント削除を行うことが重要です。
もし放置してしまった場合、ここから侵入される可能性もあります。実際に、使われていないアカウントからの侵入された案件を対応したことがありますので、あなどれません。
よく言われることではありますが、やはり基本が大切です。ログインパスワードは複雑なものを利用したり、定期的に更新したりしましょう。
その他にも、第三者から閲覧できないようにWebサイト制作時には常時SSL化も必要となります。
- 対策一覧
-
- 使用しているOSやミドルウェアの情報を確認し、最新の状態を保つ
- Webサイトに使用されているアプリケーションを最新の状態に保ち、不要なプラグインは削除する
- 不要なアカウントの削除
- 複雑なパスワードの設定と定期的な更新
- Webサイトの常時SSL化を行う
Webサイトの脆弱性診断
作ったWebサイトに脆弱性があるのかどうかわからない……そう悩むWeb担当者さんもいらっしゃるはずです。
Webサイトの脆弱性診断を行ってくれる会社がありますので、気になる方は利用してみてください。
脆弱性診断を行ってくれる企業例
サーバーのセキュリティ対策
悪意ある第三者は、あの手この手であなたのWebサイトを狙ってきます。
相手に情報が伝わらないように、ファイルやディレクトリへの適切なアクセス制御が必要となります。また事故やトラブルが発生したときには、Webサーバへのアクセスログを保管したり確認したりすることで、原因を追求することが可能となります。
- 対策一覧
-
- ファイルやディレクトリへの適切なアクセス制御を行う
- Webサーバーのアクセスログを適宜保管する
ネットワークのセキュリティ対策
ネットワーク通信は大きく3つあり、それぞれ入口対策と出口対策が必要になります。
入口対策とは、ファイアーウォール、侵入検知、Webフィルタ、メールフィルタ、エンドポイントセキュリティ対策、デバイス制御、認証などを行い、社内へ入る前に悪意ある第三者からハッキングを受ける可能性を阻止することを指します。出口対策は、暗号化、情報漏洩対策、プロキシの設置、標的型攻撃対策、ファイアーウォールなどを行うことで、社内にある守るべき資産を漏洩させない対策となります。
- 開発中のWebサイトにアクセスする開発者のネットワーク
- Webサイト更新のためにアクセスする管理者のネットワーク
- Webサイトを閲覧するユーザーのネットワーク
安全なネットワークとしてVPNがあります。
VPNとは
Virtual Private Network(バーチャル プライベート ネットワーク、VPN)は、インターネット(本来は公衆網である)に跨って、プライベートネットワークを拡張する技術、およびそのネットワークである。VPNによって、イントラネットなどのプライベートネットワークが、本来公的なネットワークであるインターネットに跨って、まるで各プライベートネットワーク間が専用線で接続されているかのような、機能的、セキュリティ的、管理上のポリシーの恩恵などが、管理者や利用者に対し実現される。
仮想プライベートネットワーク、仮想専用線とも呼ばれる。
VPNは2つの拠点間に、仮想的に「直接的な接続」を構築することで実現できる。専用線ではなくインターネットを経由しながら機密性を保つため、IPベースの通信の上に、専用の接続方法や暗号化を乗せている。また、近年はインターネットではなく少し広がりの小さい多数の加入者で帯域共用する閉域網を利用し、そのような接続を実現する技術、もしくは電気通信事業者のサービスもVPNと呼ばれている。後者を指して特にPPVPN(Provider Provisioned Virtual Private Networks)と呼ぶこともある。
Wikipediaより引用
VPNにも種類がありますので、ネットワーク環境を構築する際に、自分たちに合ったものを選択いただければと思います。
1と2は社内ネットワークのサイバーセキュリティとも関わってくる部分です。
重要な情報資源がある場合には、会社内にて「社内LAN」と「インターネットLAN」または「個別LAN」を分ける、ネットワーク分離を行う必要もでてくるかもしれません。このあたりからは、自社内の情報システム部門との連携が必要になるでしょう。
ほかにもファイアウォールを設置することで、外部ネットワークからのアクセスを常に監視することができます。不正アクセスがないかを監視・ブロックしてくれます。
※ 使用しているソフトウェアがファイアウォールでブロックされることもありますので、適宜適切な設定が必要です。
3つめはWebサイトを閲覧するユーザーのネットワークの対応についてです。WAFやIDS、IPSを設置することで、Webサイトとユーザー間の通信から不正な通信を自動的に検知、遮断してくれます。
ファイアウォールは、IPアドレスやポートといった「アクセスの行き先」をチェックして攻撃を防御してくれるもの、IDS/IPSは中身の内容をみて不正なアクセスか否かをチェックしてくれるものですので、守備範囲が異なります。また、Webアプリケーションを狙った攻撃には、Webアプリケーションに特化したファイアウォールであるWAFが有効です。
- 対策一覧
-
- VPNを設置するか検討する
- ファイアウォールを設置する
- WAFやIDS、IPSを設置する
建物 / 部屋のセキュリティ対策
取り扱っている情報によっては、建物や部屋のセキュリティを考えることも大切です。これは、セキュリティエリアを場所ごとに分けることで、部屋に入れる人を限定する施策です。
たとえば……
セキュリティ1:来客がある会議室など
セキュリティ2:社員が入れる執務室エリア
セキュリティ3:管理者しか入ることができない物理サーバーがある部屋など
上記のように進入可能なエリアを決め、ICカードによる入室管理制限を実施し、入室ログはサーバーに1年間保管するなどの対策があります。
おまけ
企業に対する官公庁の対応として、セキュリティ対策のガイドラインが提示されていますので、よろしければご覧ください。
経済産業省:サイバーセキュリティ経営ガイドライン
金融庁:金融分野におけるサイバーセキュリティ対策について
総務省:サイバーセキュリティ戦略本部
さいごに
Webサイトは全容が目に見えにくいため、とっつきにくい部分もあるかと思います。
とくに「Webサイトのセキュリティ対策」にてお伝えした部分は保守運用コストがかかってしまうところでもありますので、Webサイト制作時にランニングコストの予算確保をご検討いただければと思います。
日々行っていく運用だからこそ、できるだけリスクに遭遇しないように準備を重ねて対応していけたら最高ですね。自分の知識を増やしつつ、いいWebを一緒に作っていきましょう!
以上むむでした!
LIGはWebサイト制作を支援しています。ご興味のある方は事業ぺージをぜひご覧ください。
