インフォぷりんVol.169『自社サイトを守るために必要なセキュリティ対策』

会社のWebサイトやネットショップ（ECサイト）を公開した瞬間から、世界中の誰でもサイトにアクセスできる状態になり、お客様との大事な接点となる一方で、サイバー攻撃の対象になってしまうリスクも同時に抱えることになります。

「うちは小さい会社だから狙われない」と考える方も多いですが、攻撃の多くは自動化されていて、規模に関係なく「セキュリティの甘いサイト」が狙われます。そこで今回は、公開後に必要な対策や、注意しておくべき攻撃手法などについてまとめてみました。

免責事項：本記事はあくまでも一般的な情報の提供を目的としております。セキュリティ対策の実施は読者様の自己責任とし、必要に応じて専門家へご相談ください（当社では一切の責任を負いかねます。）。

自社サイトに対策を実施しないとどうなるのか？

Web サイトへのセキュリティ対策が不足していると、次のような被害が起こる可能性があります。

• サイトの内容を書き換えられる（改ざん）：怪しい広告やメッセージが表示されたり、アクセスしてくれたお客様が偽サイトに誘導されたりしてしまう。
• 情報漏えい：WEBサイト（ECサイト）用のサーバー内に保存されているお客様の氏名・住所・カード番号などお個人情報が盗まれて悪用されてしまう。
• マルウェア（ウイルス）感染：WEBサイトにマルウェアを仕込まれてしまい、サイト訪問者のパソコンやスマホがマルウェアに感染してしまう。
• サービス停止：大量のアクセスを集中させる攻撃により、サーバーがダウンしてサイトを利用できなくされてしまう。

こうした攻撃にあってしまうと、売上の損失・信頼低下・法的責任の発生等の影響が生じて、結果的に会社経営に大きな影響が及んでしまうおそれがあります。

よくある攻撃手法（代表的なもの）

攻撃者は「古いシステムの弱点」や「パスワード管理の不備」等を悪用してシステム（サーバー）に侵入し、「気付かないうち」に攻撃は行われてしまいます。

WEBサイトへの主な対策

WEBサイト公開のためにレンタルサーバーを利用する場合、セキュリティ対策や機能を事前に確認し、できるだけセキュリティが充実しているサーバー（サービス）を利用しましょう。そのうえで、以下のような対策も実施しましょう。

1. サイトの防御強化

• WAF（Web攻撃を自動で遮断する機能）やサイト改ざん検知システムの導入

2. システムやソフトの定期的なアップデート

• サイト作成に使用するソフト（WordPress等）やプラグイン等の更新通知は放置せず、常に最新の状態を保つ

3. 管理画面やログインの保護

• 類推されにくいパスワードを設定し、一定回数のログイン失敗でアカウントがロックされるよう設定したり、二要素認証を導入したりする
• 管理画面へのアクセス制限（特定のネットワークや端末以外からアクセスできなくする）

4. 通信と保存データの保護

• 常時 HTTPS を使用し、古い暗号化方式を使わない設定にする
• サイトや管理画面へのアクセスログを保存し、定期的に確認する
• サーバー以外の場所にデータのバックアップを保存し、すぐに戻せる状態にする（バックアップデータは複数の場所に保管し、元に戻せるかを定期的に確認する）

5. ECサイトの場合のお客様情報の保護

• クレジットカード情報は自社で保存せず、安全基準に沿った決済サービスを利用する
• 重要データ（会員情報、発送情報等）は暗号化し、アクセスを制限する
• Bot対策を実施する（「私はロボットではありません」やピクチャー認証、一定回数ログインに失敗した際のアカウントロック、普段ユーザーが利用する環境とは異なる端末からのログインの場合にユーザーに通知する等）

6. その他の対策

• 緊急連絡体制の整備（すぐに管理者・ベンダー・経営層に連絡が取れるようにしておく）
• 緊急対応手順を文書化して関係者に周知する
• お客様や監督官庁への報告・連絡体制と手順の整備（個人情報漏えい発生時の個人情報保護委員会への報告、該当するお客様への連絡、保守業者との連絡、外部からの攻撃を受けた際の警察への届出等を誰がいつ行うのか）

まとめ

サイバー攻撃のターゲットとされるのはセキュリティ対策が盤石ではないサイトです。企業規模や認知度は関係ありません。まずはできることから対策を実施し、万が一に備えた体制を持つことで、万が一被害にあってしまっても被害を最小化できます。

セキュリティ対策は「コスト」ではなく「信頼を守る投資」。今一度自社サイトの運用状況を確認し、必要な対策を実施していきましょう。