ネットコムBB Business Blog

中小企業のIT管理者の皆様へ
DXを丁寧にサポートするサイト

資料ダウンロード お問い合わせ

記事

2022.09.27

ウェブサイトに必要なセキュリティ対策とは?被害例と対策

記事サムネイル

「ファイアウォールを導入しているから、ウェブサイトが攻撃されても大丈夫!」
「サイバー攻撃に狙われるのは、大企業だけでしょ?」
「ウェブサイトのセキュリティ対策は何から始めたらいいの?」
ウェブサイト運営している方の中には、このような考え、悩みを抱えている方も多いのではないでしょうか?

本記事では、数あるサイバー攻撃の中でもウェブサイトへのサイバー攻撃について説明するとともに、企業として実施すべきセキュリティ対策について解説します。

目次

  1. なぜセキュリティ対策が必要なのか
  2. ウェブサイトをターゲットにしたサイバー攻撃の被害例 
  3. 企業が行うべきセキュリティ対策
  4. まとめ

なぜセキュリティ対策が必要なのか

ウェブサイトは誰でもアクセスができる特性を持っているため、サイバー攻撃の発端となりやすい傾向があります。また昨今は、サイバー攻撃のメインターゲットが大企業から、セキュリティ対策が十分に講じられていない中小企業へとシフトしており、中小企業こそセキュリティ対策・意識の強化が必要となってきました。

中小企業がサイバー攻撃のターゲットになった場合、ウェブサイトの改ざん、情報漏えいなどの直接的な被害だけでなく、取引先などサプライチェーン全体に影響して企業活動を脅かす事態に発展する可能性もあります。

ウェブサイトをターゲットにしたサイバー攻撃の被害例

ウェブサイトのセキュリティ対策を充分に行わず、サイバー攻撃の標的にされてしまった場合、どのような被害が想定されるのでしょうか。

情報漏えい

情報漏えいはニュースでも取り上げられることが多く、攻撃を受けた企業だけでなく取引先にも大きなダメージを受ける可能性があるサイバー攻撃です。

個人情報や機密情報の漏えいが起きてしまうと、個人への補償問題を含め、事態の収拾に大きなコストと時間がかかることは言うまでもなく、社会的信用や企業ブランドイメージの低下は避けられません。

また自社だけでなく、取引先などサプライチェーンへの踏み台にされてしまった場合は、取引先からの信用を失い最悪の場合取引停止などの事態に発展してしまうことも考えられます。

ウェブサイトの改ざん

ウェブサイトがハッキングされ、ウェブサイトの内容の書き換えや削除、ダウンさせられてしまうなどの被害も少なくありません。ウェブサイトの書き換えは、攻撃者が全く関係のない画像を貼り付けるような愉快犯的な攻撃もありますが、最近はウェブサイトにあるリンクやファイルの参照先を不正に書き換え、接続してきた利用者をウイルスに感染させたり、パソコンから情報を盗み取ったりする攻撃が増えています。ウェブサイトが書き換えの被害を受けるということは、その企業や組織のセキュリティ対策が不十分であることを示すことになり、社会に対するイメージ低下は避けられません。

企業が行うべきセキュリティ対策

サイバー攻撃の被害を防ぐためには、日頃からセキュリティ対策を講じる必要があります。すべてを実施するのは大変ですが、ここでは企業が実施しておくべき基本的な対策方法をご紹介します。

セキュリティに配慮したプログラミング、コーディング

ウェブサイトの構築時点でぜい弱性のあるコードを避けることが重要です。そのためにコーディングに当たってはセキュリティに配慮したコーディング規約を守るのが大前提とされます。またCMSを使う場合は、CMSのぜい弱性についても認識しておく必要があります。特にWordPressなどのオープンソースCMSは攻撃の標的になりやすいため注意が必要です。

▼こちらも合わせてご覧ください

企業サイトにおすすめのCMSとは? 比較のポイントを解説!

      Web認証の強化

      Web認証とはユーザーを個別に認識するためにID・パスワードを設定することで本人の認証をする仕組みです。会員ページやCMSの管理画面など、特定のユーザー以外には見られてはいけないページにWeb認証を設定します。Web認証の多くはIDとパスワードの組み合わせによるもので、2つを手に入れれば誰でも他人の情報の閲覧、サービスの悪用が可能です。ID・パスワードなどの情報を厳重に管理することはもちろん、推測しにくい強固なパスワードに設定し、パスワードを複数のサービスで使い回さないことも有効な対策です。

      Webアプリケーションぜい弱性診断

      Webアプリケーションぜい弱性診断とはWebアプリケーションにぜい弱性がないかを診断するセキュリティテストのことです。攻撃者の視点に立って、疑似的に攻撃を行いし、問題点を洗い出します。ぜい弱性を放置すると情報漏えいにつながるため、事前にぜい弱性の有無を確認し、対策することが大切です。

      ネットコムBBWeb アプリケーション診断は、自社開発の診断ツールと専門技術者による手動診断によって、業界標準であるOWASP Top10に挙げられているぜい弱性を診断します。

      OWASP Top10とは「Open Web Application Security Project(国際ウェブセキュリティ標準機構」がWebアプリケーションに関するぜい弱性やリスク、攻撃手法などの動向を研究し、Webセキュリティ上多発する脅威の中で、その危険性が最も高いと判断された10項目のセキュリティレポートのことです。

      OWASP Top 10 2021

      1

      アクセス制御の不備

      2

      不適切な暗号化
      3

      インジェクション
      4

      安全でない設計
      5

      不適切なセキュリティ設定
      6

      ぜい弱で古くなったコンポーネント
      7

      不適切な識別と認証
      8

      ソフトウェアとデータの整合の不備
      9

      セキュリティログとモニタリングの不備
      10

      サーバーサイドリクエストフォージェリ(SSRF)
      改ざん検知

      改ざん検知とはマルウェアや詐欺サイトの埋め込みなど、万が一ウェブサイトが改ざんされた場合、検知するサービスです。不正が検知された際は、自動的にウェブサイトがメンテナンス画面に切り替わるような機能を備えたものもあります。

      IPS(不正侵入防止システム)、IDS(不正侵入検知システム)

      IPSIDSとは主にOSやミドルウェアを対象にセキュリティ対策を講じるシステムです。既知の攻撃の検出や異常な通信の検知によって、多様化する攻撃に対応ができます。ファイアウォールでは防御できない、DoS攻撃などの防御に有効です。

      WAF(Web Application Firewall)

      SQLインジェクションやクロスサイトスクリプティングのような、Webアプリケーションのぜい弱性を狙ったサイバー攻撃への有効な対策となるのがWAFです。WAFはウェブサイトへのアクセスをリアルタイムでチェック・監視し、攻撃者が悪意のあるSQL文をお問い合わせフォームに入力するなどの行為を行った場合、WAFが「これはサイバー攻撃の可能性が高い」と自動的に判断して、通信を遮断してくれます。ウェブサーバーに導入するホスト型や、ネットワーク上に機器を設定するアプライアンス型に加えて、インターネット経由で利用するクラウド型があります。
      WAFについては下記の記事をご参照ください。

      ▼こちらも合わせてご覧ください▼

      「WAF」とは?特徴やおすすめの導入形態をわかりやすく解説

      まとめ

      対策やセキュリティツールはそれぞれ守備範囲が異なるのでどれかひとつだけを導入すれば安心ということにはなりません。複数のサービスを組み合わせて、多層的な防御態勢を構築することが重要です。

      ぜひこの機会に、ウェブサイトのセキュリティ対策の状況を確認してみてはいかがでしょうか。

      ウェブサイトのセキュリティに関するお悩みは弊社へご相談ください

      ネットコムBBでは、豊富なセキュリティ商材から、お客様の状況に合わせたセキュリティ対策のご提案をいたします。

      下記のお問い合わせフォームよりお気軽にご相談ください。

      お問い合わせ

      記事一覧