Webサイトのセキュリティ対策をやらないとどうなる?
Webサイトのセキュリティ対策をやらないとどうなるのかについては、以下の3つが挙げられます。
- 内容の改ざんやダウン
- マルウェアへの感染
- 情報漏洩
実際にサイバー攻撃を受けたことがない場合、どのような被害が起こるのかが分からない方は多いでしょう。実際に起こることが分からないと、セキュリティ対策に踏み切れない方もいるかもしれません。ここでは被害の詳細を解説していきます。
1.内容の改ざんやダウン
Webサイトのセキュリティ対策を行わないことで起こるのは、サイト内の内容の改ざんやダウンしてしまうなどの被害です。サイバー攻撃の目的はさまざまで、特定の企業を標的にしたものから無差別に攻撃するケースがあります。
サイト内容の改ざんでは、例えば企業のマイナスになるような情報が書かれる、振込先の情報が書き換えられてしまうなどの被害が挙げられます。サイバー攻撃を受け、内容の改ざんをされてしまった結果、訪問者や顧客の信用を失ってしまうかもしれません。
また、サイトがダウンしてしまうと訪問者が閲覧できなくなり、機会損失が大きくなってしまいます。さらに、復旧にも時間がかかってしまうでしょう。
2.マルウェアへの感染
マルウェアの感染も考えられます。マルウェアとは、ウイルスやスパイウェアなど、悪意あるソフトウェアを指します。
年々、マルウェア感染の被害が増えているため注意しなければなりません。メールの添付ファイルやネットワーク経由、不正サイトへのアクセスにより感染し、さまざまな被害が起こります。
起こる被害は「管理者が操作できなくなる」や「訪問者を別サイトへ誘導する」などさまざまあります。この種のサイバー攻撃の中には、身代金目当てである場合もあるため注意が必要です。
3.情報漏洩
情報漏洩もセキュリティ対策を怠ることによる被害の一つです。情報漏洩は、ニュースでも度々目にする被害ではないでしょうか。不正アクセスや外部からの攻撃により顧客情報が流出してしまうと、企業にとって大きなダメージに繋がります。
情報漏洩が起こってしまった場合、企業のイメージが低下してしまうだけでなく、被害者への損害賠償が必要になるケースもあるでしょう。顧客ではなく取引先の情報が漏洩してしまった場合、取引先との関係が悪くなり、取引自体がなくなってしまうかもしれません。その結果、事業の継続が難しくなる可能性さえあるのです。
サイバー攻撃の手口とその被害
サイバー攻撃の手口とその被害には、以下の4つが挙げられます。
- SQLインジェクション
- DoS攻撃
- クロスサイトスクリプティング
- ランサムウェア
サイバー攻撃の手口や被害を知っておけば、セキュリティ対策の必要性を知ることができるでしょう。ここではそれぞれの詳細を解説していきますので、参考にしてみてください。
1.SQLインジェクション
SQLとは「Structured Query Language」の略で、データベースを操作する言語のことを言います。インジェクションは「注入」という意味です。データベースサーバーを不正に操作し、その際に不当なSQL文を意図的に注入して攻撃します。
データベースに顧客情報が管理されているため、攻撃者がそこに不当なSQL文を入力した場合、個人情報が流出したり、データ自体が改ざんされたりといった被害が起こる可能性があります。SQLインジェクションは、セキュリティ対策を怠っていたり、サイト内に脆弱性があったりする場合に起こり得る被害です。
2.DoS攻撃
DoS攻撃とは、「Denial of Service attack」の略で、アクセスを集中させることでサーバー自体をパンクさせ、それ以外の処理ができなくする攻撃を指します。
たとえば、テレビで人気の商品が販売や紹介されたときにサイト自体にアクセスができなくなった経験はないでしょうか。これは、サーバーの容量を超えた大量アクセスが原因です。
DoS攻撃によってアクセスしづらい状況になってしまった場合、顧客がサイトへの訪問ができず不利益を被ってしまうでしょう。このように、企業が被害を受ける場合もありますが、中にはマルウェア感染により、自社サイトがDoS攻撃をしてしまう危険性もあります。
3.クロスサイトスクリプティング
クロスサイトスクリプティングとは、攻撃者が悪質なサイトへ誘導するようなスクリプト(プログラム)を仕掛けることにより、誘導先に訪れたユーザーの情報を抜き出す攻撃です。
スクリプトを仕込んだリンクを書き込むことによりユーザーにクリックさせ、その先に本物のような偽サイトへ誘導します。そこにIDや個人情報、クレジットカード情報を入力する画面があれば、ユーザーは気づかず入力してしまうでしょう。これにより、攻撃者の手に個人情報が渡ってしまいます。
4.ランサムウェア
ランサムウェアは「Ransom(身代金)」と「Software」を組み合わせた造語です。暗号化などによりファイルを利用できない状態にしたり重要な情報を盗み出したりし、それを「人質」として代わりに金銭を要求します。
ランサムウェアは機密情報が漏れるだけでなく、金銭的な被害が発生するケースがあるため企業に大きな被害をもたらす可能性があります。
Webサイトの運営で必要な10のセキュリティ対策
Webサイトの運営で必要なセキュリティ対策は、以下10つが挙げられます。
- 使用しないページやファイルは削除する
- 推測されにくいパスワードを設定する
- アカウント管理やアクセス制限を徹底する
- 常時SSL化する
- 外部の脆弱性診断やセキュリティ診断を受ける
- サーバやネットワークのログを管理する
- システムやプログラムを適宜アップデートする
- セキュリティソフトやプラグインを導入する
- WAFやIDS/IPSによって不正な通信を検知・遮断する
- パスワードポリシーを設けて運用する
いずれも、Webサイトを運営するために必要な情報です。ここではそれぞれの詳細を見ていきましょう。
1.使用しないページやファイルは削除する
セキュリティ対策としてできることの一つに、使用しないページやファイルの削除が挙げられます。Webサイト上に、使用しないページやファイルはありませんか。「いつか使うかもしれない」「あって困るものではない」とそのままにしている場合があるかもしれませんが、注意が必要です。
ページやファイルが多いほど、攻撃する場所が増えてしまうことになります。その結果、セキュリティ上の欠陥が多くなってしまうのです。サイトの訪問者にとって必要のないページやファイルがあるなら、早めに削除しましょう。
2.推測されにくいパスワードを設定する
企業に限らず、推測されにくいパスワードを設定することは重要なポイントです。短いパスワードはもちろん、長い場合でも推測されやすいものだと簡単に特定されてしまい、サイバー攻撃を受ける可能性が高くなります。社名を入れることは避け、英字(大文字と小文字)、記号や数字を組み合わせて特定されにくいパスワードを作りましょう。
特に、12桁以上のパスワードであれば簡単に見破られる可能性が低くなると言われています。パスワードの設定は自分で簡単にできる対策の一つであるため、対策を行うことをおすすめします。
3.アカウント管理やアクセス制限を徹底する
アカウント管理やアクセス制限の徹底も重要です。アカウント管理が適当だと、ハッカーに狙われてしまう可能性があります。ハッカーが管理者になりすますことで、内容の改ざん、情報漏洩が起こってしまいます。そのため、アカウント管理は適切に行うことが大切です。
また、アクセス制限も必要な作業の一つとなります。誰でもアクセスできる状態だと社内で不正が起こる可能性があります。アクセスできるのは必要な者のみにするなど、制限の徹底も行いましょう。
4.常時SSL化する
「SSL」とは、「Secure Socket Layer」の略で、データを暗号化して送受信する仕組みです。通信をSSL化することで、通信の内容が盗聴されても暗号化により保護ができます。また、改ざんやなりすましを防ぐことも可能です。
常時SSL化されたサイトは、Googleの検索順位も優遇されるため、訪問者の増加にも役立つといえるでしょう。また他に「http/2」のプロトコルを利用できるようになるため「http/1.1」と比較してWebサイトの表示速度がアップするというメリットもあります。
ただし、常時SSL化にはドメインごとのSSLサーバ証明書が必要になり、お金がかかることは覚えておきましょう。
5.外部の脆弱性診断やセキュリティ診断を受ける
Webサイトを作ったら、外部の脆弱性診断やセキュリティ診断を受けることを考えましょう。サイトを作る場合、サイバー攻撃をされないように構築しようと考えるのは当たり前ですが、全てを完璧に作ることは困難です。
自社でチェックすることも可能ですが、それだけでは脆弱性を発見しきれない可能性があります。サイトを構築したら、外部の脆弱性診断やセキュリティ診断を受けるようにするとその後安心してサイト運営ができるでしょう。
6.サーバやネットワークのログを管理する
サーバーやネットワークのログ管理も大切な作業の一つです。ネットワークのログを保管し、定期的にチェックしていきましょう。ログを監視することにより、システム障害の予兆を検知でき、サーバーの補強が可能になります。
また、ログ管理により攻撃者の痕跡を追跡し、原因究明に役立てることも可能です。その結果、被害を最小限に食い止めることができるでしょう。このようにログは後から見直すだけでなく、監視することで予兆の発見が可能になるため安全なサイトの運営に役立ちます。
7.システムやプログラムを適宜アップデートする
システムやプログラムの脆弱性をカバーするためには、アップデートにより最新バージョンにすることも重要な対策です。サイバー攻撃の手口は進化しているので、アップデートを怠ったことにより、サイバー攻撃を受けてしまう可能性が高まるでしょう。
適宜アップデートを行うことにより、リスク軽減を見込めます。最新バージョンがリリースされたら、速やかにアップデートを行いましょう。
8.セキュリティソフトやプラグインを導入する
セキュリティソフトやプラグインの導入も大切です。自分でできる対策にはパスワードの設定や不要なファイルの削除などがありますが、セキュリティソフトを利用することでより安心した管理が可能になります。
セキュリティソフトがあればウイルスなどマルウェアを検知し、駆除してくれることはもちろん、ネットワークの脆弱性を特定し、セキュリティを強化してくれるなど便利な機能が満載です。
また、WordPressを利用しているのであれば、セキュリティプラグインを導入しましょう。WordPressサイトは世界で多く活用されているため、サイバー攻撃の標的になりやすいのです。安心してサイト運営をしたいなら、セキュリティソフトやプラグインの導入が必要になるでしょう。
9.WAFやIDS/IPSによって不正な通信を検知・遮断する
WAFやIDS/IPSにより、不正な通信を検知・遮断することも有効なセキュリティ対策の一つです。WAFは、「Web Application Firewall 」の略で、Webサイトとユーザー間の通信を検査し、不正を自動的に検知・遮断しサイバー攻撃からサイトを守ってくれます。
IDS(Intrusion Detection System)やIPS(Intrusion Prevention System)は、企業のサーバーへの不正な侵入へのセキュリティを確保する仕組みです。こういったツールを使うことで、サイバー攻撃による被害の可能性を低減できるでしょう。
10.パスワードポリシーを設けて運用する
パスワードポリシーを設けて運用することも大切です。パスワードポリシーは、パスワードに使用できる文字、文字の組み合わせに関する条件を指します。
その条件には、例えば「パスワードの長さ」「パスワードの有効期限」などがあります。パスワードが推測しやすいものであったり、他のシステムでも使いまわしされていいたりすることで、安易に突破できてしまう可能性があるでしょう。
セキュリティ対策を行うなら、パスワードポリシーを設け適切に管理することが大切です。
まとめ
Webサイトは今や誰もが手軽にアクセスできるようになっています。セキュリティ対策が甘いとサイバー攻撃を受けやすく、企業にとって重大な問題に発展・損失に繋がってしまう可能性があるでしょう。そのため、Webサイトを運営する場合はセキュリティ対策が重要なポイントになります。
今回ご紹介したようにセキュリティソフトの導入やシステムの適宜アップデートにより、安心してWebサイトを運営できるようにしましょう。
