MENU

無料相談

  1. HOME
  2.  > 
  3. サイト職人スタッフブログ
  4.  > 
  5. ホームページとセキュリティ②~セキュリティリスクへの対策~

サイト職人スタッフブログ

ホームページとセキュリティ②~セキュリティリスクへの対策~

0c952c14ce37d874672614391d29080c_s

前回の記事で、セキュリティの脅威は十分理解していただけたと思います。今回は、リスクを回避するためにできる具体的なことについて考えます。

 

不正侵入を防ぐ

サイバー攻撃による被害を防御するには、不正侵入を防ぐ必要があります。その際、押さえるべきポイントは、ファイアーウォールやIDS/IPS、SSL化です。これらについて理解していれば、ホームページのセキュリティ性を高めることができます。

ファイアーウォール

ファイアーウォールとは、インターネットを通して侵入してくる不正アクセスから守る壁のことです。ファイアーウォールは、ホームページを閲覧するために必要な通信以外を遮断する機能を果たします。

IDS/IPS

IDSとはIntrusion Detection Systemの略称で、不正侵入検知システムのことです。異常通信を検知し、管理者へ通知することで対応のきっかけを作ることができます。

IPSとはIntrusion Prevention Systemのことで、不正侵入防止システムとも呼ばれます。こちらは、検知だけではなく、異常を検知した通信を遮断するところまでを行います。

具体的には、ホームページを閲覧する命令 http は正常ですが、それが頻発するDos攻撃などは異常な通信となり、防御されます。これにより、悪質な攻撃からシステムの安全を守ります。

SSL化

すでに、ご存じかもしれませんが、SSL化も非常に有効です。通信文を暗号化するため、通信文を読まれたとしても、ブラックハッカーからは詳細を知られることはありません。
 

改ざんを防ぐ

ホームページの情報が改ざんされてしまったら、大きな被害が発生してしまいます。そのようなトラブルを防止するのであれば、ユーザ管理やアクセス管理、改ざん検知システムを利用してセキュリティ性を高めることが大切です。

ユーザ管理

まずは、ユーザ管理について見直しましょう。ID/PWDの管理体制に問題はないでしょうか?ホームページのPWDが簡単なものであるなら、今すぐPWDを変更した方が良いでしょう。特に、IDがadminのような安易なものに設定されているのであれば、不正アクセスを受けやすいため注意が必要です。

アクセス管理

全てのユーザに同等のアクセス権限やファイル権限を与えていないでしょうか。ユーザに適した権限を付与することは、不要なアクセスを防ぐことで、改ざん・情報漏洩を防ぐことに繋がります。また、ID/PWDが盗まれたとしても、被害範囲をそのIDがアクセス可能な範囲に抑えることができます。

改ざん検知システム

改ざんされても、改ざん検知システムを導入していれば、その問題に気づくことができます。改ざん検知システムは、ファイルサイズやタイムスタンプを比較し、異常があった際には管理者に通知を行います。
 

サイバー攻撃を防ぐ

ホームページには、数多くのサイバー攻撃が繰り返されます。サイバー攻撃を未然に防ぐには、どのような対策が有効なのでしょうか。

クロスサイトスクリプティングやSQLインジェクション

サイバー攻撃では、クロスサイトスクリプティングやSQLインジェクションによる手段が横行していることを説明しました。この場合は、命令文を無効化する処理を入れると、トラブルの発生率を格段に抑えられます。

クロスサイトリクエストフォージェリ

掲示板へのアクセスや書き込むが容易であると、クロスサイトリクエストフォージェリによるトラブルの発生率が高くなります。そのためには、Refereチェックやパスワードの再入力、画像認証、ワンタイムトークンなど再度の認証を促しましょう。

たとえ、通信を乗っ取られたとしても次の処理ができないようにしておけば、トラブルの発生率や被害の拡大を十分に抑えられます。

WAF(Web Application Firewall)

ホームページやアプリケーションに特化したファイアーウォールのことを、WAFといいます。一般的なファイアーウォールは通信の種類で遮断していますが、WAFはホームページの閲覧に必要な通信を許可しつつ、データの中身をアプリケーションレベルで解析できるので、より確実なアクセスの監視が可能になります。

「プログラミングを利用すれば、高いセキュリティ性を維持できる。」と明言する方もいるでしょう。しかし、プログラミングには限界があります。

未だ発見されていな脆弱性もありますし、プログラムの改修により新たな脆弱性を生み出す可能性もあります。WAFを利用すれば、上記のリスクを遮断できる確率が上がります。最近では、クラウド型WAFが提供され、導入しやすくなっています。

 

まとめ

ホームページの特性により必ずしも全てを対応する必要はないですが、FW, IDS, 改ざん検知システムのサービスがあるレンタルサーバや、クラウド型のWAFの参入などで、以前に比べて比較的導入しやすくなっています。

もちろん一定のコストはかかりますが、情報漏えいや改ざんにおける被害の重大さを考えれば、リスクを減らし安全なホームページをユーザに提供する手段のひとつとして検討する価値はあるでしょう。

< 前の記事 次の記事 >

関連記事こちらの記事も合わせてどうぞ。

2014年08月13日

「直帰率」と「離脱率」の違いをよく理解しよう

2014年06月04日

ブログタイトルで心をつかめ!タイトルのコツ

2014年11月19日

「キービジュアル」と「3秒ルール」とは?

PAGETOP