法人のお客さまに起こりがちな状況
ITが発達した現代においては、法人としての顔とでも言える自社のウェブサイト。
中小企業の実態としては、ウェブサイトは公開しているが、外部の業者に依頼しているため専門的な部分を把握していない、サーバについては言われるがまま契約しているが適切な物か判断ができていない、特に社内ルールもなく担当者任せで更新が行われている、など、適切な管理が行われていないケースが良く見受けられると思われます。
ウェブサイトはどこの企業でも当たり前のように公開されていますが、セキュリティについて状況を正しく把握できていないと、サイト内容が改ざんされたり、ボットの踏み台として使われたりするなど、大きなトラブルとなるケースもあります。
今回は中小企業のウェブサイトのセキュリティにおいて確認しておくべき4つの観点をご紹介します。
中小企業だからこそウェブサイトのセキュリティが必要
「中小企業のウェブには盗む程の価値があるデータはない」と考える方も多いのではないでしょうか。
しかしながら、ユーザーデータがウェブ上で管理されていたり、ネット通販のサイトを自社で立ち上げていたりする企業は数多くあります。
特にネット通販が大きく伸びている近年においては、自社の通販サイトには100万単位でユーザーデータが入っているケースも当然、存在するといえるでしょう。
単なる数の問題だけではなく、企業によっては富裕層のリストを集めていたり、企業の決裁者のリストを集めていたりするのであれば、それを求める相手にとっては、少ない数であっても垂涎の情報となり得ます。
また場合によっては、取引先である大企業への侵入を目的としている相手が、セキュリティの甘い中小企業のサイトを侵入の「踏み台」として使用するケースも考えられます。
必ずしも「中小企業だから問題ない」とは言えないことがおわかりいただけると思います。
4つの観点それぞれでセキュリティ対策を行うのが最善の方法
ウェブサイトに対してセキュリティ対策を行う場合、4つの観点を持つべきです。
その4つとは「ネットワーク」「サーバ」「アプリケーション」「運用」です。
ネットワーク
ソーシャルエンジニアリングなど一部の方法を除き、攻撃のほとんどはネットワーク越しに行われるといえます。
だからこそ、まずはネットワークの観点での「脆弱性」がないか、を確認する必要があります。
非正規的な方法(いわゆる不正アクセス)については、ネットワーク機器の脆弱性を狙ったものがあります。
不要なポートを塞ぐ、怪しげなIPは弾くなど基本的なことをしっかりとやっておくのが重要です。
サーバ
悪意のある人間の攻撃目標となることが多いのがサーバです。
機密情報が含まれていたり、マルウェアの設置場所として使われたりなど最終的な到達目標として使われるケースがほとんどです。
パーテションの切り分けや冗長化など、堅牢性を意識した構築を行っておくことが必要です。
アプリケーション
ウェブサイトの実際に表示されている部分で、いわゆるフロントエンド部分にあたります。
主に狙われるのはJavaScriptの部分で、脆弱性を突いた方法でシステムに対して攻撃が行われます。
クロスサイトスクリプティング(XSS)などによる攻撃などの他、WordPressをはじめとするCMSの管理画面なども、見つかると格好の攻撃対象として使われるケースが多々あります。
運用
システムがしっかりしていても、運用ルールがしっかり定まっていないと人的な脆弱性となります。
たとえば、誰でもかれでも管理者権限を付与すると、運用管理業務は楽かもしれませんが、その誰か一人のアカウントだけでもクラックされるだけで、システム全てが乗っ取られてしまう可能性があります。
また、ユーザーのセキュリティ意識が低いとそもそも設計時やコーディング時にセキュリティリスクを残したままウェブサイトを完成させてしまいセキュリティホールが大量にあるページを公開してしまう可能性もあります。
ネットワークの観点で見たセキュリティ対策
外部からのアクセスに対しては不要なものを遮断してしまうのが最も有効です。
例えばルータにより、不審なIPからのアクセスを特定し、ファイアウォールによって遮断してしまえば、相手はIPをプロクシサーバなど通して偽装するなどしなければならなくなり、侵入の手間が上がります。
また、外から社内データへアクセスする場合はVPN経由のみにするなどについても有効です。
テレワークなどによって社外からのアクセスも許容しなければならないケースなどでも、VPN経由にすることにより高いセキュリティレベルを保ちながら機密データをやりとりすることが可能になります。
さらに最近はネットワーク周りに対する製品が続々とリリースされており、WAF(Web Application Firewall)を利用するケースも増えてきています。
ウェブサイト上の観点ではデータ通信の常時SSL化により外に出た後のセキュリティも担保すべきです。
社内の人間にとってのセキュリティの担保のみならず、ユーザー側に対しても安全性を確保することで、安心感の向上にもつながります。
サーバの観点で見たセキュリティ対策
サーバの観点での対策としてはまずOSやサーバソフト、ミドルウェアなどのバージョンアップを行うのが有効です。
なぜならバージョンアップは主にセキュリティの観点で行われることが多いからです。
開発ベンダは、常に悪意のある人間から脆弱性を狙われています。
自社開発のシステムと異なりユーザー数が多いため、脆弱性が発見されるとそれにより影響を受けるユーザーは数百万数千万の単位で出てきてしまいます。
有効な方法が見つかれば後は自動化により手あたり次第狙われるのが常なので、だからこそバージョンアップを行わないことは、すなわちセキュリティリスクを高めていることにほかなりません。
また、ユーザーごとにディレクトリやファイルへの適切なアクセス制御を設定する、ユーザーアカウントが乗っ取られた時にその役割に応じた適切なアクセス制御を行うなどの対策を行っていれば、被害を最小限に抑え込むことができ、ダメージコントロールを行うことも可能です。
アプリケーションの観点で見たセキュリティ対策
アプリケーションのレベル感では主にXSS(クロスサイトスクリプティング)やSQLインジェクション対策が重要です。
XSSはお問い合わせフォームなどに対して悪意のあるプログラムを送信しページやサーバ(DB)の挙動をコントロールする攻撃のことです。
XSSやSQLインジェクションを防ぐには、文字を無害化すること(エスケープ処理)や危険な文字列の削除などが効果的です。
よくある手法ではあるので制作会社に頼んでいる場合は大体対応しているケースが多い一方、そのスキルレベルによっては対応されていないケースも存在するため、念のため確認を行うべきです。
運用の観点で見たセキュリティ対策
運用面において重要なのは主に2点です。
1点目は「ルールを設けること」です。
「どう行動すればリスクを最小化できるか」をセキュリティ知識のある人間が検討し、その内容を他のメンバーに対してルールやガイドラインとして明示しておくことが重要になります。
2点目は「セキュリティ教育の実施」です。
1点目の観点でどれだけきちんとルールが明示されていても、それが正しく実行されなければセキュリティリスクは高い状態となってしまいます。
正しいルールが正しく実行されるためには、その実行者がきちんと把握したうえでルールを順守する意識を保つ必要があります。
そのためには情報セキュリティ担当者を定め、定期的な教育を実施して啓蒙活動を行うことが重要です。
ウェブサイトのセキュリティは網羅的な対策が必要
ネットワークからサーバ、アプリケーションに至るまでウェブサイトのセキュリティは悪意のある人間から多面的に攻められる要素があります。
しかし、その中のひとつでも取りこぼすとその影響が甚大であることから、許容されるコストの範囲内で網羅的な対策を行い、リスクを下げていくことが重要です。
まずは自社の現在の状況についてアセスメント(査定)を行い弱い部分を把握し、そこから優先的に対応策を検討してみてはいかがでしょうか?
また、最近は統合型のオールインワン型のセキュリティサービスもリリースされています。
忙しくて情報の精査が難しい場合はまずこうしたサービスを利用し補強するのも一案かもしれません。
トレンドマイクロからのアドバイス
ウェブサイトのセキュリティ体制を整えるには、網羅的なセキュリティ対策が必要です。
トレンドマイクロでは、ネットワークアイソレーションの実現からOS、ミドルウェアの保護、マルウェアの検出まで対応できるオールインワン型のサーバ向けクラウド型セキュリティサービスをご提供しております。
自社のセキュリティ体制をご確認いただき、不足している点がありましたらぜひご検討ください。
Cloud One - Workload Security (旧Deep Security as a Service)
:管理サーバ要らずの「サーバ向けクラウド型セキュリティ」
Cloud One - Workload Security (旧Deep Security as a Service)はWEBサーバ、特にパブリッククラウドへのサイバー攻撃に対してオールラウンドで対応できるソリューションです。
1ライセンスから導入可能で月額課金という料金体系のため、イニシャルコストを抑えやすくスモールスタートが可能となっています。