Webサイトのセキュリティ対策が必要な理由
掲載日:2019年10月01日
更新日:2023年12月21日
コーポレートサイトの構築から運用保守まで窓口一本化で解決!クラウド型CMSサービス「Pattern Style CMS」の
サービス概要資料はこちらから
サイバー攻撃の数は10年で100倍に増加
お客さまのWebサイトはセキュリティ対策してますか?国立研究開発法人情報通信研究機構(NICT)の調査によると、サイバー攻撃の年間総観測パケット数は年々増加傾向にあり、2018年で約2,121億にのぼります。2017年は約 1,504 億でしたから、1年で1.4倍以上増加しています。また、2008年の22.9億に比べると、10年で約100倍に増えています。お客さまのWebサイトもサイバー攻撃の脅威にさらされているかもしれません。
インターネットを利用している企業の多くは、なにかしらのセキュリティ対策を行っています。ただ「パソコンのセキュリティ対策は完璧」だとしても、それだけでは不十分です。なぜなら近年では、Webサイト上で動作するWebアプリケーションがサイバー攻撃の的になっているからです。このような攻撃は、通常のセキュリティソフトやファイアウォールだけでは防ぐことが難しいのです。そのため「Webサイトのセキュリティ対策」も必要になります。今回は、その理由について詳しく解説します。
企業のセキュリティ対策はますます重要
サイバー攻撃の方法は年々多岐にわたってきており、「情報セキュリティ10大脅威2018*」によると、昨年ランク外だった「ビジネスメール詐欺による被害」が3位、「脅威に対応するためのセキュリティ人材の不足」もランク外から5位にまで上昇しています。
個人情報の漏えいは企業としてのイメージ悪化も避けられません。サイバー攻撃がきっかけで、倒産に追い込まれる可能性もあります。このようなリスクを防ぐためにも、企業のセキュリティ対策はますます重要になっていると言えるでしょう。
- 引用元:情報処理推進機構(IPA)
Webアプリケーションがサイバー攻撃の的に
近年、サイバー攻撃の標的になりやすいのは、WebサーバやWebアプリケーションの脆弱性(ぜいじゃくせい)です。特にWebサイト上で動作するWebアプリケーションの脆弱性を狙った攻撃は、通常のファイアウォールだけでは防げません。Webアプリケーションの脆弱性を狙った攻撃としては、以下のようなものがあります。
|
サイバー攻撃の種類 |
内容 |
|---|---|
|
SQLインジェクション |
SQLとは、データベースの定義や操作を行うために使用されるデータベース言語の一つで、多くのアプリケーションで用いられています。不正なSQL文を入力することでサイト側に命令を与え、データを盗んだり、改ざんしたりします。 |
|
クロスサイトスクリプティング |
不正操作によってWebサイトに埋め込んだり、掲示板サイトのようなところにスクリプト(簡易的なプログラム)付きのリンクを張ったりして罠を仕掛けます。ユーザーがその罠にかかった後、特定のサイトを閲覧しようとするとスクリプトが実行され、自動的に個人情報が入力できるようになっている偽サイトへジャンプします。そこでユーザーが入力してしまった情報が漏えいするという攻撃です。 |
|
バッファオーバーフロー |
アプリのバッファ(一時的に情報を保存する領域)のサイズを超えるデータを送りつけることで、処理しきれなくなった情報を溢れさせます。その結果、アプリが誤動作を起こし、不正な命令が実行されるという攻撃です。 |
被害を防ぐためには?
サイトの管理者がWebアプリケーション自体を強化することは非常に難しく、一方でWebアプリケーション開発者にとって、セキュリティを意識した開発は必須ですが、アプリケーションレベルですべての攻撃を防ぐことは厳しいのが実状です。被害を防ぐためには、アプリケーションだけでなく、自社のネットワーク全体を守る対策が必要です。
導入しておきたいWebサイトのセキュリティ対策
具体的にどのような対策が望ましいのかを解説しましょう。以下の診断をして優先順位を決めてセキュリティ対策をすることで、より安全で安心なWebサイトの運用につながります。
|
セキュリティ診断の種類 |
内容 |
|---|---|
|
脆弱性診断 |
ファイアウォールやIPS(侵入検知システム)などのネットワークデバイスや、アプリケーション層の脆弱性(弱点)を検査するサービスです。例えば既知の脆弱性に対する対処法を提供したり、リスクの度合いに応じて対処の優先順位を提示したりします。 |
|
改ざん検知 |
マルウェアや詐欺サイトの埋め込みなど、万が一Webサイトが改ざんされた場合にすぐさま検知するサービスです。不正が検知された際は、自動的にメンテナンス画面に切り替わるような機能をそなえたものもあります。 |
|
WAF(Web Application Firewall) |
Webサイト上のアプリケーションに特化したファイアウォールです。アプリケーションへの通信をリアルタイムに解析・検査し、設定に基づいて不正な通信・攻撃を通さずに、通常のファイアウォールでは対処できないような、アプリケーションの脆弱性を狙った攻撃に対して有効な防御壁です。 |
最新のセキュリティと2重、3重の対策を
自社のコーポレートサイトやECサイトなど、多くの企業がWebサイトを利用して事業を展開しています。インターネットからのサイバー攻撃は年々巧妙化しており、企業にとって大きな懸念事項となっているのは間違いありません。一度でも大きな被害にあえば、ビジネス機会の損失やブランドイメージの低下、法的責任の発生など、会社としての存続の危機に立たされてしまう可能性もあります。悪意のある攻撃から会社を守っていくためには、常に最新のセキュリティ対策にアップデートし、各所で可能な対策することで2重、3重にガードを講じておくことが大切です。
安心・安全なセキュリティ対策を提供する
クラウド型「Pattern Style CMS」
ビッグローブの提供する「Pattern Style CMS」は、安定運用のBIGLOBEマネージド型ホスティングサービスと国産CMS「WebRelease 2」がセットになったクラウド型CMSです。設計・制作だけでなく、インフラ環境の構築から運用・保守までセットで提供しています。導入前と導入後のサポートはもちろん、セキュリティ対策もお任せください。お客さまのビジネスをより強力に支援するWebサイトのリニューアルと快適かつ安定したインフラ環境の実現に貢献します。
