Webサイトのセキュリティを見直そう!
ここでは、「なんとなく」を「はっきりと」にかえるために、Webサイト運営におけるセキュリティ対策の重要性や対策例について、分かりやすく解説します。
目次
Webサイトのセキュリティ対策が重要なわけ
テクノロジーの進化によってインターネット上ではさまざまなやり取りが可能となり、サービスを提供する側にとっても利用者側にとっても、とても便利な時代となりました。しかしその利便性の裏には、時に大きなリスクが潜んでいるのもこのサイバー社会の特性です。
Webサイトへのサイバー攻撃による「個人情報漏洩」「迷惑メール被害」「サイト改ざん」など、以前まではなかった新手の犯罪が後を絶たず、その手口は巧妙化しています。
ここで注意すべきは、サイバー攻撃により何らかの被害を負ったのがWebサイトのユーザーであれ、運営者自身であれ、世間から責任を問われるのはそのWebサイトの運営者であるということです。
Webサイトはなぜ攻撃される?
そもそも、どのような目的のためにWebサイトは攻撃されているのでしょうか?
以前は、企業のイメージダウンや政治的メッセージを発信するためのいたずら的趣旨で行われていましたが、現在ではそのほとんどが「金銭」を目的とした犯罪です。具体的には以下のような目的が挙げられます。
- 個人情報の売買
- 企業の重要な技術情報の売買
- 企業や公的機関などの機密情報の売買
- 偽サイトへの誘導による詐欺行為(金銭やクレジットカード情報などの詐取)
上記のような窃取した情報の売買が行われている市場は、主に中国などの海外にて展開されており、同じくサイバー攻撃も海外から仕掛けられているケースがほとんどです。このような海外の攻撃者はマルウェアやウイルスをWebサイトに仕込み、ユーザーを感染させ個人情報を盗んでいます。
情報を売買することを目的とした犯罪は多く発生していますが、それよりも増加傾向にあるのが、ユーザーに直接詐欺を働くという手口です。攻撃者はユーザーが閲覧しているWebサイトを改ざんし、オンラインショッピングサイトやネットバンキングを偽った別サイトに誘導、そこで金銭やクレジットカード番号などの経済的価値のある情報を盗んでいます。
他人事ではない
報道されているニュースだけを見ていると、先述のようなインシデントのターゲットになっているのは超がつく大手企業ばかりであるように思えます。しかし、実際に起きているサイバー攻撃被害は毎月約1,300件から1,500件にものぼり(※)、報道で取り上げられていないものが大多数を占めます。発覚している件数だけでもこの数なので、実際はこれよりも多くのインシデントが起きていることが予測されるでしょう。
また、これもニュースから受ける印象と異なるところですが、攻撃の対象となってしまう確率とWebサイトの規模の大小の間には、実はほとんど関連性はありません。ターゲットを選ぶ主な基準は別にあるのです。つまり、グローバルに展開しているような規模の大きいオンラインショッピングサイトだから狙われやすいというわけではなく、ユーザーが数百人のB to Bサイトだから狙われにくいというわけでもないのです。
世間の予想に反し、実際のターゲット選定は主に自動で行われています。まずはコンピューターが無差別にあらゆるWebサイトに軽い攻撃を与え、その結果からそれぞれのWebサイトの脆弱性を測り、さらに攻撃を進めるかが判断されているのです。
ですので、「中小企業だから相手にされないだろう」とセキュリティー対策を手薄にしてしまうことは、自ら攻撃者を招き入れているようなものと言えるでしょう。攻撃されることを回避するためには、しっかりとしたセキュリティ対策をとっていることを攻撃者に知らしめることが重要となります。
セキュリティ対策によって未然に防ぐことが重要
経済産業省はインシデントによる被害の大きさを改めて認識し、2017年にWebサイトのセキュリティに関するガイドラインを改定しました(※)。改訂版には、「サイバー攻撃を受けた場合の復旧への備え」について新たな記載がされています。
この追記されたガイドラインでは、企業や組織は運営するWebサイトが攻撃を受けていることを発見した際、Webサイトのサービスを停止することが求められています。公開停止後は原因究明、修正、復旧を経てサービスの再開というフローになります。
しかし、このWebサイトの公開停止から再開までのプロセスに数ヶ月かかったというケースは珍しくなく、このような長期間のサービス停止による機会損失や顧客への補償など、サイバー攻撃による事業への悪影響は膨大なものになることが想定されます。
言うまでもなく、実際に起こってしまってからの対処よりも、未然に防ぐ対策を実施する方が格段に容易であり費用も抑えられます。セキュリティ対策にどこまでの投資を行うのか、経営者には費用とリスクを踏まえた慎重な判断が求められるでしょう。
※参照:サイバーセキュリティ経営ガイドライン Ver.2.0
Webサイトのセキュリティ対策を怠るとどうなるのか
セキュリティ対策は、運営するWebサイトを攻撃対象とされにくくするための抑止策であり、実際の攻撃に対する防衛策でもあります。では、そんなセキュリティ対策を怠った場合、具体的にはどのような事態が起こるのでしょうか。主に次のような被害が考えられます。
- Webサイトの改ざん
- 個人情報流出
- 迷惑メール
それぞれのインシデントについて、事例をもとに解説しましょう。
被害ケース1:改ざんによるクレジットカード情報の窃取
10万以上のECサイトが活用し、約1,550億ドル以上(約16兆7千億円)の取引が行われているオープンソースのプラットフォーム「Magento」。このMagentoを活用している多くのECサイトが、2018年4月に総当たりのサイバー攻撃により改ざんされ、大規模な被害が観測されました。
予測される犯行手口は、認証情報の設定が甘いECサイトを攻撃、管理パネルにアクセスした後、不正コードを追加。これによって支払い処理をするページを傍受することが可能になり、そこで得た情報を転送したと考えられています。
サイバー犯罪者にとって顧客の個人情報やクレジットカード情報などを扱うECサイトは、経済的価値の高い情報を収穫できる格好のターゲットです。支払いプロセスで盗まれた情報は二次被害へとつながる可能性も高いため、ECサイト運営者には特に厳重な管理が求められます。
(1ドル=約108円 2019年10月現在)
被害ケース2:個人情報の流出
2016年7月、東京都が運営する上野動物園や葛西臨海水族園などの都立動物園・水族園の協会公式ホームページが、第三者からの不正アクセスによる改ざん被害を受けました。改ざんが発覚した約2時間半後にこのWebサイトは閉鎖されたものの、メールマガジン登録者のメールアドレス2万1,688件と個人情報が流出する事態となりました。
2018年における日本での個人情報漏洩のインシデント件数は443件で漏洩人数は561万3,797人、損害賠償総額は2,684億5,743万円と想定されています(※)。
不正アクセスによるインシデントは総件数の約20%ですが、年に約90件も起きています。インターネット上に公開された情報の集計だけでもこの件数ですので、実施の犯罪件数はこれを上回ると考えられるでしょう。
サイバー攻撃を受けた場合、サイト運営者も被害者と言えますが、世間から責任を問われることは避けられません。問われる責任の大きさは、先ほどの損害賠償総額の大きさから読み取ることができます。
※参照:NPO日本ネットワークセキュリティ協会 報告書・公開資料
被害ケース3:迷惑メール
運営するWebサイトの脆弱性を突かれ、Webサーバーのメール送信機能が乗っ取られるという被害もよくあるケースです。これはサイバー攻撃者がWebサーバー内に設置した不正プログラムを操作し、運営者が知らない間に大量の迷惑メールが送信されるというもの。
乗っ取られたことによる直接的な被害はないように思えますが、自身のメールアドレスがブラックリストに載ってしまったり、サーバー会社から使用を停止されてしまったりという二次被害が懸念されます。
Webサイトのセキュリティ診断を行おう
サイバー攻撃とセキュリティ対策は常にいたちごっこです。攻撃の手口は日々進化しており、Webサイトを構築する際に万全なセキュリティー対策を施したつもりでも、昨日の十分が今日では不十分となっている可能性すらあるのです。また、改ざんや情報漏洩は、Webサイト運営者の気づかないところで進行している可能性もあります。
後の祭りとならないよう、定期的なWebサイトのセキュリティ診断を実施しましょう。ここではセキュリティ対策の堅実性やシステムの脆弱性を診断するツールやサービスについてご紹介します。
無料診断ツール
無料で利用できる診断ツールは豊富にありますが、効果的に活用するにはエンジニア程度の知識が要されます。なぜならば、「何を診断したいのか」と、それには「どのツールが適切なのか」を自身で適切に判断する必要があるからです。無料ツールの有名どころとしては、以下のものが挙げられます。
Webアプリケーションを対象に脆弱性を診断するツール。インターネット上にある目的のコンテンツを、ユーザーの代理で取得してくれる「proxy」という便利な機能を中心に構成されています。
オープンソースのセキュリティスキャナ。Webアプリケーションやミドルウェアを対象に辞書形式で脆弱性の診断を行います。
ネットワークを対象に脆弱性を診断する多機能ツール。ポートスキャン機能、OSやサービス、またそれらのバージョン検出機能などを備えています。
有料診断サービス
技術面に関する知識にあまり自信がない場合は、専門家による有料サービスを利用することをお勧めします。サービスが有料であるからには、費用対効果の高い診断を受けたいところでしょう。企業選定の際、押さえるべきポイントがいくつかあります。
まず、自動で全体の問題を効率良く見つけることができる「ツール診断」なのか、それとも細かな脆弱性にまで対処できる「手動診断」なのか。また、再診断やコンサルティングといった、専門家によるアフターケアを提供しているかなど。求めるサービスとバジェットを明確にし、企業選びを行うと良いでしょう。
専門家による高品質な手動診断を受けられます。結果を危険度別に分かりやすいレポートにまとめてもらえるので、取り組むべきセキュリティ対策を明確にすることができます。費用は22万円からです。
個人情報漏洩に対するセキュリティ対策に力を入れているサービス。重要な情報がどこにあるのかをリアルタイムで確認する高速ツール診断を採用しています。手動診断サービスはなく、費用は60万円です。
日本語に特化した純国産のWebアプリケーション脆弱性検査ツール。脆弱性診断経験の豊富なエンジニアにより作成されています。手動診断はなく、費用は見積もりの申請により算出されます。
Webサイトのセキュリティ対策:制作時にできること
Webサイト作成時のセキュリティ対策は、これから紹介する4つの項目を押さえることが重要です。それぞれのチェックポイントは最重要項目なので必ず実施しましょう。
Webアプリケーションにおけるセキュリティ対策
何度も言いますが、攻撃者はWebサイトの脆弱性を狙ってきます。Webアプリケーションにおいては特に以下のような脆弱性は危険性が高いので、必ず回避しましょう。
- QSコマンドインジェクション
- SQLインジェクション
- バッファーオーバーフロー
- ディレクトリトラバーサル
- クロスサイトスクリプティング(XSS)
Webサーバーにおけるセキュリティ対策
Webサーバーについては以下のような項目をチェックしましょう。
- アプリケーションやサービスは必要なものだけにする(悪用回避のため)
- 不要なアカウントも削除する(悪用回避のため)
- パスワードは推測されにくいものにする
- ファイルやディレクトリへのアクセス制御の適切化
- Webサーバーへのアクセスログの保管・確認(インシデント発生時に原因追及に役立つため)
ネットワークにおけるセキュリティ対策
ネットワークについては以下のような項目をチェックしましょう。
- 境界ルータなどの機器を利用する(不審な通信を遮断するため)
- ファイアウォールの活用(通信をフィルタリング)
- ログの保管
- WAFやIDS、IPSの活用(不正な通信の自動検知と遮断)
Webサイトの運営・管理におけるセキュリティ対策
Webサイト作成時には以下のようなID/パスワードが発生します。管理の徹底に気をつけましょう。
- レンタルサーバのID/パスワード
- WebサイトのFTPパスワード
- Webサイト管理システムのID/パスワード
- 電子メールのID/パスワード
Webサイトのセキュリティ対策:今からでもできること
Webサイトはページの変更や新設が繰り返されるものです。そのような際にはサイト制作時に踏まえた注意点の再確認が必須です。また、定期的なセキュリティ診断に加え、以下の項目についても点検を実施しましょう。
- 重要な情報が入ったファイルはインターネット上からアクセスできない場所に保管(公開しない)
- 不要なページやWebサイトの閉鎖(管理が及ばないため)
- ソフトウェアなどのバージョンアップ(脆弱性対策)
- エラーメッセージは必要最低限に抑える(攻撃者に余計な情報を与えない)
- ログの定期的な確認
- 通信内容の暗号化(HTTPS化など)
- 不正ログインへの対策
- クラウドなどを利用する際はサービス事業者側が行う作業範囲やセキュリティ対策を正確に把握(不足分を自社で補う)
まとめ
Webサイト運営においてセキュリティ対策は最重要対策です。巧妙化が進むサイバー攻撃の被害に遭わないために、最新情報の集取、定期的な点検・診断を欠かさず行いましょう。
WEBでのお問い合わせはこちら