インターネットの普及と共に、企業のビジネス機会は飛躍的に拡大しました。一方で、サイバー空間には多くの脅威が潜んでいます。特にWebサイトは、企業とユーザーをつなぐ重要なインターフェースである反面、サイバー攻撃の格好のターゲットにもなっています。
実際、IPA(情報処理推進機構)が公表している「情報セキュリティ10大脅威 2021」では、ランサムウェアによる被害や、ビジネスメール詐欺による機密情報の流出など、企業を狙ったサイバー攻撃が多数ランクインしています。Webサイトに潜む脆弱性を突いた攻撃は、年々巧妙化・複雑化しているのです。
こうした脅威から企業を守るためには、Webサイトのセキュリティ対策が欠かせません。本記事では、サイバー攻撃の動向を俯瞰した上で、Webサイトセキュリティの基本戦略から具体的な実践方法まで、網羅的に解説していきます。経営者やシステム管理者、Webサイト運営者など、セキュリティ対策に関わる全ての方に参考にしていただければ幸いです。
まずは、昨今のサイバー攻撃の動向について把握しておきましょう。Webサイトを狙った代表的な攻撃には、以下のようなものがあります。
Webアプリケーションのセキュリティ上の欠陥を利用し、データベースに不正なSQL文を挿入する攻撃手法です。攻撃者は、個人情報などの機密データを不正に入手したり、データを改ざん・削除したりすることが可能になります。
例えば、オンラインショップのログインフォームに、不正なSQL文を含む文字列を入力することで、会員情報を不正に取得するケースなどが報告されています。
Webサイトに悪意のあるスクリプトを埋め込み、ユーザーのブラウザ上で不正に実行させる攻撃手法。攻撃者は、ユーザーのCookieやセッション情報を盗んだり、偽の画面を表示させてフィッシング詐欺を行ったりすることが可能になります。
掲示板などに、悪意のあるJavaScriptコードを投稿する。それを閲覧したユーザーのブラウザ上で、そのスクリプトが勝手に動作。こうした被害事例が後を絶ちません。
大量のトラフィックをWebサイトに送りつけ、サーバーの処理能力を上回る負荷をかける攻撃手法。Webサイトが機能不全に陥り、正常なサービス提供ができなくなります。
ボットネットと呼ばれる、多数のコンピュータで構成された攻撃基盤から、Webサイトに対して大量のアクセスを行うケースがよく見られます。攻撃者は金銭目的で攻撃を行うこともあり、身代金を要求してくるケースもあります。
Webサーバー上の本来アクセス制限されているはずのディレクトリ・ファイルに不正アクセスする攻撃手法。重要なシステム情報や個人情報が流出するリスクがあります。
例えば、Webサーバー内の設定ファイルが外部から参照できる状態だと、システムの脆弱性を突く情報を攻撃者に与えてしまう恐れがあるのです。
IPAの「情報セキュリティ10大脅威」によれば、これらの攻撃は年々増加傾向にあります。巧妙化する攻撃の影で、多くの企業が被害に遭っているのが実情なのです。
次に、Webサイトを狙った具体的な攻撃手口を見ていきましょう。
Webサイトの問い合わせフォームや検索フォームに、SQLインジェクションやXSSの脆弱性を突く文字列を入力する。バリデーションが不十分だと、攻撃が成功してしまいます。
例えば、あるWebサイトの「お問い合わせ」フォームのお名前欄に、「山田太郎'; DROP TABLE users;--」といった文字列を入力したとします。これはSQLインジェクション攻撃の一種。脆弱性のあるプログラムでは、データベース内のusersテーブルが削除されてしまう可能性があります。
Webサーバー上の公開ディレクトリ構成を推測し、本来アクセスできないはずのファイルを探し出す。管理画面のURLが推測可能だったり、重要ファイルにアクセス制限がかかっていなかったりすると、情報流出のリスクがあります。
例えば、Wordpressの管理画面のURLは、デフォルトでは「/wp-admin/」です。アクセス制限を設けていないと、第三者に管理画面を不正利用される危険性があります。
Webアプリケーション経由で、裏側のサーバーOSにコマンドを実行させる。脆弱性のあるCGIプログラムなどで、攻撃者にサーバーを乗っ取られてしまう可能性があります。
SSH(Secure Shell)の設定が甘いサーバーに対し、総当たり攻撃でログインを試みるケースなども報告されています。
Webサイトに、ユーザーの意図しないリクエストを不正に送信させる攻撃手法。ログイン中のユーザーになりすまして、不正な操作を行うことが可能になります。
例えば、オンラインバンキングサイトで、利用者のクリックを装ってお金を不正送金したり、ECサイトで利用者になりすまして大量の商品を購入したり。対策が施されていないと、深刻な被害につながります。
このように、攻撃者は実に多様な手口でWebサイトを狙ってきます。日々新たな攻撃が考案されており、企業はそれに迅速に対応していかなければならないのです。
サイバー攻撃によってWebサイトが破壊された場合、企業は様々なダメージを受けます。
ECサイトがダウンした場合、販売機会の損失は計り知れません。また、情報漏えいによる賠償金の支払いや、サイトの復旧費用なども発生します。
実際、ある大手旅行会社では、Webサイトから約800万人分の個人情報が流出。多額の賠償金支払いを余儀なくされました。
セキュリティ事故が発覚すれば、マスコミが大々的に報道します。「あそこは大丈夫なのか」とステークホルダーの不安をあおり、企業イメージは大きく傷つきます。
2011年には、ソニーのオンラインゲームサイトからユーザー情報が大量流出。「プレイステーション・ネットワーク」のサービス停止を余儀なくされただけでなく、同社への信頼が大きく揺らぐ事態となりました。
個人情報保護法の改正により、企業のセキュリティ対策責任は一層重くなっています。情報漏えいによって多額の制裁金を課される可能性もあります。
業界によっては、独自のセキュリティ基準が設けられています。クレジットカード情報を扱う企業なら、PCIDSS準拠が求められます。基準を満たせない場合、業務停止などの処分を受けるリスクがあります。
サイバー攻撃でシステムがダウンすれば、業務が停止してしまいます。顧客へのサービス提供ができなくなれば、収益はストップ。復旧までには多大な時間と労力を要します。
最悪の場合、事業の存続すら危ぶまれるでしょう。セキュリティ事故が引き金となって倒産した例も、現実に存在するのです。
このように、サイバー攻撃が企業に与える影響は計り知れません。被害を最小限に抑えるためにも、平時からセキュリティ対策に本気で取り組む必要があるのです。
ここからは、Webサイトのセキュリティを守るための具体的な対策について見ていきましょう。技術的な対策から、体制面での取り組みまで、多角的に解説します。
セキュリティ対策の基本は、Webサーバーそのものを堅牢にすることから始まります。サーバーOS・ミドルウェアの設定や、脆弱性対策を確実に行いましょう。
LinuxやWindowsなどのサーバーOSは、初期状態では不要なサービスが起動していることがあります。httpd(Apache)やsshd、ftpdなどのサービスは、利用しないポートを開けっ放しにしないよう設定が必要です。
ミドルウェア(Apache、Nginxなど)も同様。バージョン情報の秘匿化や、ディレクトリリスティングの無効化など、セキュリティ上の設定は必ず行いましょう。
例えば、Apacheの設定ファイル(httpd.conf)では、以下のディレクティブを設定することが一般的です。
加えて、ファイアウォールを用いて、使用するポート以外を全て閉じるのも効果的。アクセス制御を徹底し、攻撃対象領域を限定的にすることが肝心です。
OSやミドルウェアには、日々新たな脆弱性が発見されます。放置すれば、その穴をつかれ攻撃を受けるリスクが高まります。
セキュリティパッチがリリースされたら、なるべく早く適用するのが鉄則。パッチ管理ツールを導入し、自動アップデートを設定しておくと管理が楽になります。
例えば、Linuxの場合、yumやapt-getコマンドを用いた自動アップデートが可能です。Windowsなら、Windows Updateを自動更新に設定。セキュリティホールを放置しない習慣をつけることが大切だと言えます。
重大な脆弱性が発覚した場合は、パッチがリリースされるのを待たずに自前で対策を打つことも必要です。Webアプリケーション側で回避策を講じたり、WAFのルールを書き換えてシグネチャ対策を行ったり。迅速かつ柔軟な対応力が問われます。
Webサーバー上で動作する不要なサービスは、積極的に停止しましょう。httpdやssh以外のサービスが必要なければ、起動しないようにします。
例えば、メール送信用のSMTPサーバーが不要なら、ポート25番を閉じる。FTPサーバーを使わないなら、ポート20番、21番を閉じる。攻撃対象を減らすことで、防御の負担を軽減できるのです。
CMS(WordPress、Drupalなど)を利用している場合も、不要なプラグインは削除しておきましょう。プラグインの脆弱性が狙われるケースは少なくありません。
常に必要最小限の機能に絞り込み、シンプルな構成を心がける。これがサーバーセキュリティの基本中の基本です。
Webサイトのセキュリティを支えるもう一つの柱が、Webアプリケーション開発です。セキュアなプログラムを設計・実装することで、サイバー攻撃のリスクを大幅に減らせます。
SQLインジェクションやXSSなどの攻撃は、プログラムの不備に起因することが少なくありません。開発者一人ひとりが、セキュリティを意識したコーディング規約(セキュアコーディング)を遵守することが何より重要。
例えば、SQLインジェクション対策の基本は、プレースホルダを用いたSQL文の組み立てです。ユーザー入力をそのままSQL文に埋め込むのではなく、一旦変数に置き換えてからSQL文に渡す。これにより、不正な入力値がSQL文に影響を与えなくなります。
PHPならPDO、JavaならPreparedStatementなど、言語ごとに用意された機能を活用しましょう。
XSS対策としては、HTMLのタグや属性をエスケープ処理することが肝心。PHPならhtmlspecialchars関数、Javaならorg.owasp.encoder.Encoderクラスなどを使い、適切なエスケープ処理を施します。
OWASP(The Open Web Application Security Project)では、セキュアコーディングの指針をまとめた「OWASPセキュアコーディングプラクティス」を公開しています。言語別のコーディングルールが網羅されているので、開発の指針として活用しましょう。
外部から受け取ったデータは、Webアプリケーション側で「入力バリデーション」を行い、危険な入力値をはじくことが重要です。
例えば、メールアドレスの入力フィールドに、「<」や「>」などの記号が含まれていたら不正入力の可能性が高い。バリデーションエラーとして処理を中断し、安全な値以外は受け付けないようにするのです。
また、ブラウザに出力する全てのデータは、「エスケープ処理」を施す必要があります。HTMLのタグや属性、JavaScriptのコードを、文字参照などを用いて無害化。XSSによる被害を防ぐことができます。
これらの処理は、フレームワークレベルで共通化するのが理想的。各言語のセキュリティライブラリなども活用し、もれなく対策を実装していきましょう。
Webアプリケーションには、ログインなどの「認証」処理と、機能の利用制限などを行う「認可」処理が不可欠。適切な実装を行わないと、不正アクセスなどのリスクにつながります。
認証では、パスワードの適切なハッシュ化が肝心。PHPのpassword_hash関数、Javaのjbcrypt、PBKDF2などを用いて、ストレッチング回数の多いアルゴリズムでハッシュ化しましょう。ユーザーのパスワードをそのままデータベースに保存するのは論外です。
認可では、機能ごとに利用権限をきめ細かくコントロールすることが重要。管理者機能などのクリティカルな画面へのアクセスは、IPアドレス制限なども併用。多要素認証の導入も検討に値するでしょう。
認証・認可は、Webアプリケーションの根幹を成す部分。アクセス制御の粒度を高め、隙のない設計・実装を心がけたいものです。
【自社PR】イノーバのB2Bサイト制作サービス:イノーバでは、高度なセキュリティ対策を施したB2B向けWebサイトの制作を行っています。セキュアなシステム構築のノウハウを持つエンジニアが、御社のご要件に合わせて最適な設計をご提案。セキュリティ診断まで一貫して対応し、安心・安全なWebサイト構築をお約束します。
WebブラウザとWebサーバー間の通信を盗聴されると、機密情報が漏えいするリスクがあります。通信経路の暗号化は、現代のWebサイトでは必須の対策と言えるでしょう。
WebブラウザとWebサーバー間の通信を暗号化する技術が、SSL(Secure Sockets Layer)および、その後継であるTLS(Transport Layer Security)です。SSL/TLSを使ってHTTPSで通信することで、通信内容を盗聴されるリスクを大幅に下げられます。
SSL/TLSを利用するには、信頼された認証局(CA)から電子証明書を取得し、Webサーバーに設置する必要があります。電子証明書には、サイト運営者の情報や公開鍵などが記載されており、通信の暗号化と通信相手の証明に使われるのです。
HTTPSは、情報漏えいリスクを下げるだけでなく、サイトの信頼性を高めるメリットもあります。GoogleはHTTPSを使うサイトを検索順位で優遇すると表明。常時SSL化は、もはやWebサイト運営の前提条件と言えるでしょう。
SSL/TLS証明書には、認証レベルの異なる複数の種類があります。
証明書の選択は、Webサイトの性格に合わせて行いましょう。企業サイトであればOV証明書、ECサイトならEV証明書の導入も検討すべきです。
証明書の購入先は大手のCAを選ぶのが無難。常時SSL化に伴うサーバー負荷の増大も考慮し、費用対効果の高い証明書を選ぶことが肝心です。
また、証明書の有効期限管理を怠らないことも重要。期限切れのままだと「この接続は保護されません」などの警告が表示され、サイトの信頼を大きく損ねます。計画的に更新を行い、警告の発生を未然に防ぎましょう。
攻撃者は常に新しい手口を編み出し、Webサイトを狙ってきます。インフラ側でも多層防御の考えに基づき、攻撃を検知・遮断する仕組みを用意すべきでしょう。
WAF(Web Application Firewall)は、Webアプリケーション専用のファイアウォールです。Webアプリケーションとデータベースの間に設置し、SQLインジェクションやXSSなどの攻撃を検知・遮断します。
WAFには、攻撃手法のパターンを集めたシグネチャが登録されており、外部からのリクエストがこのパターンに合致すれば、自動的にブロック。OSコマンドインジェクションや、ディレクトリトラバーサルなど、様々な攻撃に対応しています。
また、DDoS攻撃のような異常なトラフィックを検出し、通信を遮断する機能も備えています。大量のリクエストでサーバーがダウンする事態を未然に防げるのです。
攻撃検知のログが詳細に取れるのも魅力。ログを分析することで、システムの脆弱性を発見し、改善につなげられます。セキュリティ対策のPDCAを回す上でも、WAFは強力な武器になるでしょう。
もっとも、WAFは導入すれば全てが解決する「魔法の杖」ではありません。誤検知によるサービス機能の阻害など、運用時の課題も少なくないのが実情です。
攻撃をブロックするルールが厳格すぎると、本来通すべきリクエストまで遮断されWebサイトが正常に機能しなくなる。逆にルールが甘いと、攻撃を見逃してしまう。要所を抑えたチューニングが不可欠だと言えます。
基本ルールをベースに、Webサイトの特性に合わせたカスタマイズが必要。機械的な攻撃の検知と、業務上必要な通信の見極めは、経験とスキルが物を言う分野。専門性の高い技術者の力を借りるのも一案でしょう。
運用当初は誤検知が多く発生するかもしれませんが、地道なチューニングを繰り返すことで、最適化されたWAFが完成します。セキュリティと利便性のバランスを取ることが肝要だと言えるでしょう。
自社でWAF機器を導入・運用するには、それなりのコストと手間がかかります。そこで注目されているのが、クラウド型WAFサービスの活用です。
AWSのAWS WAF、AzureのAzure Web Application Firewallをはじめ、国内外の主要クラウドベンダーが、マネージド型のWAFサービスを提供しています。
攻撃遮断ルールの設定や、シグネチャの更新などの運用負荷を大幅に下げられる点が最大の魅力。専任のセキュリティ担当者を置けない中小企業でも、手軽に導入できるのが強みです。
料金体系も柔軟で、トラフィック量に応じた従量課金制を取るサービスが多数。初期投資を抑えつつ、Webサイトの規模に合わせたWAFを利用できます。
クラウド型WAFの上手な活用が、限られたリソースでWebサイトを守るための鍵になるでしょう。
Webサイトのセキュリティを高めるには、技術的な対策だけでなく、組織的な管理体制の整備も欠かせません。セキュリティポリシーの策定から、インシデント対応、従業員教育まで、包括的な取り組みが求められます。
セキュリティ対策を組織的に進めるには、セキュリティポリシーの存在が不可欠。方針の明文化と、具体的な遵守事項の設計が、対策の第一歩となります。
セキュリティポリシーの中核をなすのが、トップダウンで定めるセキュリティ方針です。経営層の意向を明確に示し、セキュリティ対策の必要性や目的を組織内で共有するのが狙いです。
基本方針では、例えば以下のような項目を定めます。
方針は、事業環境の変化に合わせて定期的に見直すことも重要。PDCAサイクルを回し、セキュリティレベルの継続的な改善を図りましょう。
セキュリティ方針の下では、より具体的な運用ルールを定める必要があります。システムごと、業務プロセスごとに、遵守すべき事項を明確化するのです。
Webサイトに関しては、例えば次のようなルールが考えられます。
網羅的かつ詳細なルールを定めることで、担当者の裁量に頼らない運用を実現できます。
ルールを設計する際は、過度に厳格にならないよう注意が必要。緩やかでも継続的に守られるルールを目指すことが肝要です。セキュリティ対策の定着には、システム管理者の負荷に配慮したルールづくりが欠かせません。
運用ルールを定めたら、その遵守状況を定期的にチェックし、評価・改善する体制を整えましょう。
例えば監査の一環として、四半期に一度、セキュリティ対策の実施状況を点検。ルール逸脱が発見されれば是正を求め、必要に応じてルールの改定を検討します。
技術的な対策だけでは防ぎきれない内部不正のリスクにも目を光らせる必要があります。アクセスログの分析から、怪しい兆候をいち早く見つけ出す。システム管理者の教育・啓発も徹底し、ルールを形骸化させない継続的な取り組みが求められます。
こうしたPDCAサイクルを回す仕組みがあって初めて、ポリシーに実効性が伴うのです。地道な改善を積み重ね、組織のセキュリティレベルを高めていくことが肝要だと言えるでしょう。
Webサイトの脆弱性を発見し、サイバー攻撃のリスクを減らすには、定期的な脆弱性診断が欠かせません。自社に適した診断手法を選択し、脆弱性の早期発見・早期改善に役立てましょう。
脆弱性スキャンとは、専用ツールを使ってWebサイトのセキュリティホールを網羅的に洗い出す作業のことを指します。SQLインジェクションやXSS、ディレクトリトラバーサルなど、代表的な脆弱性を自動で検出してくれるのが強みです。
脆弱性スキャンは、月に1回程度の頻度で定期的に実施するのが理想的。常に最新の脅威に対応できるよう、怠りなく継続することが重要です。
スキャンの実行自体は専門的な作業ではありません。セキュリティ担当者であれば問題なく実施できるでしょう。最近は自動スキャンツールも充実しており、人的工数を大幅に減らせるのも魅力の一つ。できるだけ負荷の少ない方法で、脆弱性チェックを習慣化したいものです。
スキャンが完了すれば、診断結果レポートが出力されます。検出された脆弱性は、リスクの高さに応じて適切に評価し、対応の優先順位を決める必要があります。
深刻度が高い脆弱性は、悪用されれば重大な被害につながる恐れがあるもの。緊急性を持ってシステムの修正を行わなくてはなりません。パッチの適用やソースコードの修正など、具体的な対応方針を迅速に決定することが肝要です。
一方、悪用が難しい脆弱性や、実害のリスクが低いものは、優先度を下げて対応しても構いません。限られたリソースを有効活用するためにも、脆弱性の重要度をきちんと見極めることが大切だと言えます。
評価と対処の後は、脆弱性が確実に解消されたかをチェック。二度目のスキャンで再検出されないことを確認し、初めて一連の作業が完了します。
自動スキャンによる診断だけでは、見落としがちな脆弱性もあります。人的な作業によって、Webサイトに潜むリスクを洗い出すのが、ペネトレーションテストです。
ペネトレーションテストでは、専門技術を持った「ホワイトハッカー」が、実際の攻撃者になりすまして診断を行います。想定外の手口でぜい弱性を突いてくるため、自動スキャンよりも深い洞察が得られるのが特長です。
高度な診断ゆえ、コストと時間はかかります。とはいえ、年に1度はペネトレーションテストを実施し、Webサイトの防御レベルを可視化することをおすすめします。
洗い出されたリスクへの対処は迅速に。加えて、テストの過程で明らかになった課題を業務改善や体制強化につなげることが重要です。技術的な対策にとどまらない、多角的なセキュリティ向上策の立案が可能になるはずです。
サイバー攻撃の痕跡を検知したら、被害の拡大を防ぎつつ、速やかに復旧させるための行動が問われます。インシデント対応手順を予め定め、日頃から訓練しておくことが肝要だと言えるでしょう。
インシデント対応では、社内の迅速な情報共有と、役割分担に基づく的確な初動が何より重要。緊急時の連絡網を整備し、経営層も含め、キーパーソンに迅速に状況が伝わる体制を構築しましょう。
対応の主導を取るのは、CSIRT(Computer Security Incident Response Team)と呼ばれる専門チームです。各部門から招集されたメンバーで構成し、技術的な対処はもちろん、影響調査や原因究明、再発防止策の立案まで、一連の作業の采配を振るいます。
加えて、広報担当によるステークホルダー対応、法務担当による関係機関への報告など、社内外への情報発信も欠かせません。インシデントの全容を見渡し、必要なアクションを漏れなく実施できる体制づくりを目指します。
インシデントの原因を究明するには、専門的な調査手法が必要不可欠。それがフォレンジック(デジタル鑑識)です。
Webサーバーに残された攻撃の痕跡を詳細に分析。侵入経路や、不正アクセスの手口などを特定します。ログの保全も重要なプロセス。証拠保全の Chain of Custody(証拠の移動履歴)をきちんと文書化し、分析に利用できる状態を維持することが肝心です。
フォレンジックは非常に高度な専門分野。自社に技術者がいない場合は、セキュリティベンダーなどの協力を仰ぐことになるでしょう。その際、ログの提供方法や調査レポートの受領方法など、円滑に作業が進むよう、予め協議しておくことが大切です。
インシデント後のフォレンジックは、原因の特定だけでなく、抜本的な再発防止策の立案にも役立ちます。洗い出された課題をもとに、PDCAサイクルを回し、セキュリティレベルの向上を目指しましょう。
| フェーズ | 実施事項 |
|---|---|
| 1. 検知・報告 |
|
| 2. 影響調査 |
|
| 3. 封じ込め・復旧 |
|
| 4. 事後対応 |
|
サイバー攻撃の脅威は日々巧妙化しており、システム管理者だけが対策に取り組んでも限界があります。全従業員のセキュリティリテラシーを高め、組織の防御力を強化することが欠かせません。
従業員一人ひとりがセキュリティの重要性を認識し、日々の業務でセキュリティを意識した行動を取れるよう、継続的な教育が必要不可欠。単なる知識の習得だけでなく、実践的なスキルを身につける研修プログラムの設計が求められます。
例えば新人研修では、セキュリティポリシーの説明だけでなく、パスワード管理の重要性、不審メールの見分け方など、具体的な対策方法を指導。定期的な勉強会では、最新の脅威動向を共有し、日々求められる心構えを再確認する機会とします。
特にWebサイト運営に関わる担当者には、集中的なトレーニングを施すことが肝要。SQLインジェクションやXSSなど、Webサイト特有の攻撃手法とその対策を学ぶ研修を企画。システム管理者向けには、サーバーセキュリティや、ログ分析の実践的なノウハウを身につけてもらうのがよいでしょう。
セキュリティ教育は、従業員のスキルレベルや、職種ごとの必要性に応じて、複数のプログラムを用意するのが理想的。座学とハンズオンをバランスよく組み合わせ、受講者の興味を引き付ける工夫も大切です。
例えば、以下のようなプログラム設計が考えられます。
これらの研修の効果測定も忘れずに。テストやアンケートを実施し、理解度や満足度を定量的に評価。改善点を洗い出し、次回のプログラム設計に反映させるPDCAサイクルを回しましょう。
机上の学習だけでは、いざという時に正しい行動が取れるとは限りません。疑似的な攻撃メールを使った「フィッシングメール訓練」など、実践的なトレーニングを組み込むことをおすすめします。
フィッシングメール訓練では、セキュリティベンダーの協力を得て、本物そっくりの攻撃メールを従業員に送信。添付ファイルを開いたり、URLをクリックしたりした従業員を特定し、注意喚起を行います。
いきなり難しい内容で実施すると、モチベーションを下げてしまう恐れも。まずは易しいメールから始め、徐々にレベルを上げていく段階的なトレーニングが効果的だと言えます。
他にも、標的型攻撃メールを題材にしたロールプレイングなど、楽しみながらスキルを学べる工夫が重要。セキュリティを特別視せず、働く上で当然身につけるべき力の一つとして、自然に浸透させていくことが理想だと言えるでしょう。
【自社PR】イノーバのコンテンツマーケティング支援サービス:イノーバでは、セキュリティ啓発コンテンツの企画・制作サービスを提供しています。eラーニング教材やフィッシングメールの訓練コンテンツなど、従業員の行動変容を促す魅力的なコンテンツを通して、御社の人的防御力の強化をサポートいたします。
セキュリティ対策は、一度導入すれば終わりではありません。運用のPDCAを継続的に回し、状況の変化に応じて柔軟に改善していく必要があります。
セキュリティ対策の運用状況を客観的にチェックするために、定期的なセキュリティ監査が欠かせません。自社の監査部門による内部監査に加え、外部の専門機関による外部監査を併用するのが望ましいと言えます。
監査では、セキュリティポリシーに基づいた運用が適切に行われているかを確認。アクセス制御やログ管理、パッチ管理といった側面から、管理状況を詳しく点検します。技術面だけでなく、体制面の課題も洗い出し、改善につなげるのが狙いです。
指摘事項への対処は迅速に行いましょう。改善計画を立案し、実施スケジュールを監査部門にも共有。着実にPDCAを回し、セキュリティレベルの向上を図ることが重要です。
Webサーバーやアプリケーションのログは、セキュリティ事象の検知や、事後の原因究明に役立つ重要なデータです。サーバーのアクセスログ、エラーログ、WAFのログなど、役立ちそうな記録は幅広く保管しておきましょう。
収集したログは、SIEM(Security Information and Event Management)などのログ管理ツールを使って一元管理。自動でログを集約・分析することで、サイバー攻撃の予兆をいち早くキャッチできます。
例えば、海外からの不審なアクセスが急増していれば、標的型攻撃の前兆かもしれません。ログから攻撃の芽を早期発見し、被害を未然に防ぐ。こうした「予兆管理」の実践が、セキュリティ対策の要になると言えるでしょう。
ログは一定期間保管しておくことが原則。個人情報保護法や業界ごとのガイドラインを参考に、保存期間のルールを定めておくことが大切です。
セキュリティ対策は、担当者任せにせず、組織全体で取り組む必要があります。対策の有効性を定期的にモニタリングし、トップダウンで改善を進める体制を整備しましょう。
例えば、四半期に1度、セキュリティ対策会議を開催。CSIRTメンバーに加え、経営層も交えて課題の共有と対策の方向付けを行います。予算や人員の手当てが必要な際も、スピーディーな意思決定が可能になるはずです。
現場の声を吸い上げる仕組みも大切。システム管理者やWebサイト担当者から、対策の実効性や改善提案を定期的に募集。施策に反映することで、PDCAサイクルをより有意義なものにできるでしょう。
こうしたマネジメントサイクルを着実に回し、攻撃者に先手を打つ動きを心がける。状況の変化に応じて方針を微調整し、臨機応変に対策を進化させ続けることが重要だと言えます。
ここまで、Webサイトを守るためのセキュリティ対策を幅広く解説してきました。最後に、他社の取り組み事例を紐解きながら、セキュリティ強化のヒントを探ってみましょう。
大企業のWebサイトでも、ひとたびセキュリティ事故が発生すれば、大きな被害につながります。過去の教訓から学び、同様の轍を踏まないよう備えることが肝要です。
例えば、2020年には大手ファッションECサイトから、約46万人分の個人情報が流出。原因は、外部に設置した検索サーバーの設定ミスでした。個人情報を平文で保存していたことに加え、サーバーのアクセス制限にも不備があったことで、大規模な情報流出につながってしまったのです。
この事件からは、以下のような教訓が得られます。
他にも、2019年には老舗百貨店グループのWebサイトが、情報漏洩の恐れがあるとして一時閉鎖に追い込まれるケースがありました。原因は、サイト内の会員ページに第三者がアクセス可能な脆弱性が見つかったこと。緊急対応としてサイトを停止せざるを得なかったのです。
この事例からは、以下のような示唆が得られるでしょう。
大企業だからといって安心はできません。むしろ攻撃者から狙われやすいことを意識し、入念な備えを怠らないことが肝心だと言えます。
大企業ほどの予算や人員を確保できない中小企業にとって、セキュリティ対策は人一倍の工夫が求められる分野。限られたリソースを有効活用している先進的な取り組みに学びましょう。
例えば、ある中堅メーカーでは、セキュリティ専任者を1名置くことで、対策の推進力を高めています。担当者は、システム管理者と連携し、WAFの導入や脆弱性検知ツールの運用など、セキュリティ基盤の整備を主導。加えて、全社的な啓発活動も率先して展開し、着実に社内のセキュリティ意識を高めています。
この事例からは、以下のようなヒントが得られます。
別の事例では、社内のシステム開発体制を整備することで、セキュアなWebサイト構築を実現している企業もあります。開発者向けのセキュアコーディング教育を定期的に実施。脆弱性の作り込みを防ぐ知見を組織内に浸透させています。
この取り組みから学べるのは、以下のような点でしょう。
いずれの事例からも、人材育成の重要性が見えてきます。いくら高度な技術で守ろうとも、運用する人間のスキルが伴わなければ効果は半減してしまう。セキュリティ人材の確保・育成は、中小企業こそ優先度を高く捉えるべき課題だと言えるでしょう。
業界の垣根を越えて、セキュリティ対策のお手本となるような先進企業の事例にも目を向けてみましょう。その成功要因から、自社の取り組みを見直すヒントが得られるはずです。
ある大手金融機関では、CSIRT体制を早期に立ち上げ、全社横断のセキュリティ対策を推進しています。各部門から選抜されたメンバーで構成するCSIRTは、インシデント対応だけでなく、平時の脅威動向の調査や、予防策の立案など、幅広い役割を担っています。
この事例の成功要因は、以下の3点に集約されるでしょう。
トップのリーダーシップの下、全社一丸となって取り組む。攻撃を受ける前から手を打ち、いざという時に力を発揮する。こうした体制づくりは、どの企業でも参考になる点が多いはずです。
また、セキュリティの第一人者として知られる某大手電機メーカーの事例も興味深いものがあります。同社は、セキュリティを品質の一部と捉え、開発プロセスに深く組み込んでいます。製品の企画段階から、セキュリティ部門が開発チームに助言。設計・実装の各段階で脆弱性診断を実施し、出荷前にはペネトレーションテストも欠かしません。
この取り組みの肝は、以下の2点だと言えるでしょう。
Webサイト構築でも同様のアプローチが有効です。企画段階からセキュリティ視点を盛り込み、完成後も継続的にテストを実施する。社内のセキュリティ人材が伴走することで、開発者の意識も高めていく。こうした息の長い取り組みが、高いセキュリティ品質を支えているのです。
【自社PR】イノーバのB2Bマーケティング支援サービス:イノーバでは、セキュアなB2Bマーケティングを支援しています。Webサイトの脆弱性診断や、セキュアなコンテンツ制作など、セキュリティの視点を織り込んだ施策を通して、御社のマーケティング活動をお手伝いいたします。技術的な側面だけでなく、組織的な取り組みについてもアドバイスいたします。
本記事では、Webサイトを脅威から守るためのセキュリティ対策を、多岐にわたって解説してきました。最後に重要なポイントを振り返っておきましょう。
本記事ではセキュリティ対策を、技術的側面と組織的側面の両面から解説してきました。Webサイトを守るには、サーバーやアプリケーションのセキュア設定、暗号化といった技術的施策が基本となります。その上で、従業員教育やインシデント対応など、体制づくりの側面からも多角的にアプローチすることが求められるのです。
車の両輪のように、技術と体制の両面から備えを固めることが、Webサイトの堅牢性を高める近道だと言えます。
サイバー攻撃のリスクが高まる中、セキュリティ対策への投資は、もはや企業にとって不可欠の取り組みと言えるでしょう。Webサイトの安全性は、顧客の信頼を支え、ひいてはビジネスの成功を左右する重要な要素なのです。
セキュリティ対策をコストと捉えるのではなく、企業価値を高める戦略的投資ととらえ直すことが大切です。長期的視点から予算や人材を投入し、着実にセキュリティ基盤を固めていく。そうした前向きな姿勢こそが、攻撃者に負けない強靭な企業を作り上げる原動力になるはずです。
読者の皆様におかれましても、本記事で紹介した多角的な視点を参考に、自社のWebサイトセキュリティを今一度見直してみてはいかがでしょうか。中長期を見据えた施策を通して、Webサイトの安全性を支える取り組みを前に進めていただければ幸いです。
最後になりましたが、イノーバでは企業のWebサイトセキュリティを強力にサポートするソリューションをご用意しております。
Webサイトのセキュリティ対策に悩んだら、ぜひイノーバにご相談ください。確かな技術力と豊富な知見を活かし、御社のセキュリティ課題の解決に全力を尽くす所存です。
Webサイトの規模や必要な対策レベルによって異なります。SSL証明書の導入で数万円から、WAFの導入・運用で数百万円規模となるケースも。中長期の視点で投資計画を立てることが望ましいでしょう。
脆弱性診断ツールを使ったセルフチェックから始めるのがおすすめです。より本格的に診断したい場合は、専門ベンダーに依頼するのも一案。客観的に現状を可視化することが、改善の第一歩となります。
導入時のルール設定と、運用開始後のチューニングがポイントです。攻撃遮断のルールが緩すぎても、厳格すぎてもNG。Webサイトの特性を踏まえ、過不足ないルール設計を心がけましょう。
ドメイン認証・企業認証・EV認証の3種類が主流です。サイトの用途に合わせて必要十分なものを選ぶことが肝要。予算とのバランスを見ながら、信頼できる認証局の証明書を選びましょう。
原因を特定し、速やかに穴を塞ぐことが大前提。並行して情報漏洩の有無を調査し、二次被害の防止を図ります。事態の公表やユーザーへの説明など、適切な広報対応も欠かせません。
ポリシーの内容を分かりやすく説明する場を設けることが重要です。朝礼や部課長会議の場で繰り返し言及する、イントラネットに常時掲載するなど、地道な働きかけを継続しましょう。
標的型メールを装った訓練を定期的に実施し、開封率や添付ファイルの開封率を測定。階層別の傾向を分析し、抜け漏れのない注意喚起を行うことが肝要です。個人情報の取り扱いにも十分に配慮しましょう。
被害状況の迅速な把握と、経営層への報告がまず肝心。その上で証拠保全、原因の特定、影響範囲の確認、再発防止策の策定と、初動対応を着実に進めることが求められます。
個人情報保護法に定められた最低限の期間は「6ヶ月」ですが、業界ガイドラインで別途定めがある場合はそれに従う必要があります。システムに負荷をかけすぎない範囲で、十分な期間の保存が望ましいと言えるでしょう。
業界や企業の特性に応じて判断すべきですが、少なくとも年1回の実施が望ましい水準です。自社の監査部門による内部監査に加え、専門性の高い外部機関による外部監査を活用するのも有効でしょう。
昨今、企業を取り巻くサイバーセキュリティのリスクは、年々増大の一途をたどっています。特にWebサイトを狙った攻撃は後を絶たず、大小様々な被害が報告されているのが実情です。
Webサイトの安全性が脅かされることは、それを通じてビジネスを展開する企業にとって、もはや死活問題と言っても過言ではありません。機密情報の漏洩は顧客の信頼を損ね、ひいては企業の存続すら危うくします。Webサイトのセキュリティ確保は、正に企業の「生命線」なのです。
ところが現実には、Webサイトのセキュリティ対策に十分な注意を払えていない企業が数多く存在します。本業が好調な時ほど、目先の利益に目が奪われ、リスクへの備えがおろそかになりがちなものです。
しかし、サイバー攻撃のリスクが常に付きまとう以上、そうした「油断」が致命的な結果を招くことは想像に難くありません。攻撃者の視点に立った時、脆弱性の放置はまさに「隙」以外の何物でもないのです。
そうした事態を防ぐには、Webサイトのセキュリティ対策を「コスト」ではなく「投資」ととらえる意識改革が欠かせません。サイバー空間の安全・安心は、企業が社会に提供すべき価値の一つ。その担保なくして、DXの加速も、企業価値の向上も望むべくもないでしょう。
完璧な対策など存在しない以上、Ferdinand Foch(フェルディナン・フォッシュ)の言葉を胸に、一歩ずつ着実に前進あるのみ。経営トップ自らがセキュリティの重要性を認識し、人材育成から体制づくりまで、地道に備えを固めていくことこそが肝要だと考えます。
セキュリティ文化を根付かせ、企業の隅々にまでセキュリティマインドを浸透させること。DX時代を勝ち抜くためにも、これは避けて通れない道のりだと言えるでしょう。一朝一夕では成し遂げられない困難な挑戦ではありますが、そこにこそ、先見の明を持つリーダーが果たすべき使命があるのではないでしょうか。
Webサイトのセキュリティ対策を「費用対効果の見合わない保険」などと矮小化するのではなく、むしろ「企業の未来を切り拓く成長戦略の一環」と位置付けること。攻撃者の常に一歩先を行く、それこそが、これからの時代に求められる経営者の真の資質だと考えています。