近年、不正アクセスによるWebサイトの改ざんや情報漏えいのリスクが高まっています。

悪意ある攻撃によってひとたび情報が流出してしまうと、サービスの停止だけにとどまらず、損害賠償問題にまで発展し、企業にとって甚大な損害を生み出すことも。

大切なWebサイト/サービスを守るためには、制作する前からセキュリティ対策には本腰を入れるべきだといえます。今回は、Webアプリケーション・Webサーバー・ネットワーク・CMSの4つのカテゴリーに分けて、それぞれで最低限必要なセキュリティ対策について解説します。

Webサイトなどへのサイバー攻撃の現状

サイバー攻撃とは、悪意のある第三者がインターネットを通じて、企業のWebサイトを改ざんしたり、サーバーから個人情報や社外秘といった機密情報を奪ったりすることを指します。

かつてはサイバー攻撃といえば愉快犯による犯行が多かった印象ですが、現在では金銭や情報の取得を目的としたものが多発しており、最悪の場合テロの手段として使われることもあります。

大手企業をはじめとした大規模な組織が攻撃されるイメージがあるかもしれませんが、昨今では中小企業も攻撃の対象となっています。

中小企業は大手企業に比べてセキュリティレベルが低いことが多く攻撃しやすいのが実情で、大手企業のネットワークに侵入するための経路として利用されるケースもあります。

そのため企業規模に関わらず、今ではセキュリティ対策は必須と言えるものになりました。

関連記事：情報セキュリティ事故の事例7選。事故を防ぐ4つの対策も解説

Webアプリケーションにおけるセキュリティ対策5選

まずはWebアプリケーションにおけるセキュリティ対策について確認しておきましょう。

Webアプリケーションにおけるセキュリティ対策を実施するうえで、一番目につきやすいのはアプリ本体だと思います。しかし、セキュリティ対策を万全なものにするためには、その裏側にあるWebサーバーやネットワーク周りにまで気を配る必要があります。

1. セキュアなプログラミングを心がける

セキュアなプログラミングとは、開発段階からセキュリティの脆弱性を作らないようにするプログラミング思想のことを指します。

仮に脆弱性が見つかれば、悪意のある第三者が、サイバー攻撃を仕掛けてくるかもしれません。脆弱性を突いた攻撃によって、Webアプリケーションやデータベースに不正アクセスされ、情報漏えいや改ざんといったことが引き起こされる可能性もあります。

そうならないように、Webアプリケーションの制作段階から、これらの脆弱性を出さない開発を行うことがまずは基本的な対策となります。

関連記事：セキュリティの要件定義とは？ 定義書の書き方を現役エンジニアが解説！

2. 不要なファイルは公開しない

Webサイトの閲覧者が見る必要のないページやファイルは、極力インターネット上からアクセスできない場所に保管するか、不要だと判断されたファイルは削除するといった対策も不可欠です。

悪意ある第三者が不正アクセスを行い、ファイルやページを書き換えることを防ぐためです。

3. Webアプリケーションを構成するソフトウェアの更新

Webアプリケーションは、多くのソフトウェアやフレームワークから構成されていますが、まずはWebアプリケーションを構成する要素であるソフトウェアの更新は定期的に行いましょう。更新が遅れると、それだけセキュリティホール（プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のこと）を攻撃者が見ることができる時間が増えていると解釈できます。

自社が運営するWebアプリケーションには、どういったソフトウェアやフレームワークが使用されているのかはきちんと把握し、脆弱性対策を取れる体制作りも大切です。

ただし、ソフトウェアやフレームワークの組み合わせによっては、バージョンアップの影響でWebアプリケーション自体が機能しなくなるといったトラブルが発生することもありますので、テストやシミュレーションは都度行うようにしましょう。

4. SSLサーバー認証の取得

SSLとは、「Secure Sockets Layer」の略称で、インターネット上で行われる通信を暗号化する技術を指します。

通信の暗号化によって、インターネットを通じて行う情報のやりとりすべてが暗号化されるため、悪意のある第三者が個人情報などを閲覧することを防げます。

SSLを採用をしているWebサイトかどうかは、Webサイトのアドレスバーに鍵のマークが表示されているかどうかで確認できます。また鍵のマークをクリックすることで、SSL証明書の詳細情報を確認できます。

SSL証明書の発行には、電子証明書の発行を認められた「認証局」による運営元の認証作業を通過する必要があるため、データ・通信の安全性や運営元の信頼性をアピールにもつながります。

5. Google reCAPTCHAの設置

出典：Google reCAPTCHAGoogle reCAPTCHAとは、グーグル社が提供するセキュリティ対策ツールのひとつで、お問い合わせフォームなどに設置することで、以下のような表示が追加されます。

□私はロボットではありません

皆さんも一度はどこかのWebサイトで見たことがあるのではないでしょうか。

Google reCAPTCHAを設置することで、ある程度のスパムメールは抑制できるでしょう。ただし、それでもすべてのスパムメールを弾けるわけではないので注意が必要です。

Webサーバーにおけるセキュリティ対策4選

つづいて、Webサーバーにおけるセキュリティ対策について確認しておきましょう。

1. 不要なプログラムは定期的に削除する

「そのうち使うだろう」「あって別に困るものではないから」などの理由で、使わないプログラムをそのまま放置しているケースはありませんか？

何年も稼働させているシステムほど不要なプログラムの数も多くなりがちです。放置された不要なプログラムは、悪意ある第三者につけ入る隙を与えてしまいます。不要なプログラムが増えれば増えるほど、セキュリティホールも多くなっていると思っておいてください。

不要なプログラムは定期的に削除し、プログラムを新たに追加する場合には、本当に必要なものなのかどうか、すでに同じようなプログラムが存在していないかなどチェックしましょう。

2. パスワードポリシーの設定と適用

パスワード管理ツール『NordPass』を提供するパナマのセキュリティ企業であるNord Securityが、2022年に世界中でもっともよく使われたパスワードトップ200を公表しています。このリストに掲載されているパスワードは、サイバー攻撃で使われる可能性が高く、パスワードに使わないことが推奨されています。

▼以下、世界でよく使われているパスワードトップ5です。

1. password
2. 123456
3. 123456789
4. guest
5. qwerty

パスワードは複雑かつ推察できないものにする必要があります。パスワードの複雑性や更新頻度などを定めたルールとして「パスワードポリシー」を設定することをおすすめします。

▼以下、代表的なパスワードポリシーです。

パスワードの複雑性（大文字・小文字・数字・記号などを混合させる）
パスワードの長さ要件
パスワードの有効期限設定
パスワードの再利用禁止

これらのルールをきちんと明確化しておくことで、パスワードのセキュリティレベルが強化され、不正アクセスや情報漏えいなどのリスクを軽減させることに役立つはずです。

3. ファイルやディレクトリへのアクセス制限

アクセス制御が不適切で、Webサーバーのファイルやディレクトリに第三者の不正アクセスを許した場合、ファイルの書き換えリスクが発生します。そういった事態を防ぐためには、適切なアクセス制御が不可欠です。

またアクセス制限の基本はアカウント管理からです。たとえば、退職者が使っていたアカウントは、退職後には必ず削除すること。どこから情報が漏れて、不正アクセスにつながるかわかりません。テストユーザーのアカウントや外部委託用のアカウントも同様です。不要となったアカウントは放置しないことが大切です。

4. システムやアプリケーションのログは残す

不正アクセスの痕跡が確認できれば、その情報からさまざまな分析が可能となります。今後の対策にも役立つので、システムやアプリケーションのログは必ず取得するようにしましょう。また定期的にログは監視し、不正アクセスの痕跡がないか確認するクセをつけるのも大切です。

ログのチェックに関するルールを社内で作るのも得策です。必要なときにすぐに解析できるように、適切な方法でログを保管するように心がけましょう。

必要なときにすぐに検索をかけられるということが大切で、該当するログがどのシステム・アプリケーションのものなのか、日時はいつのものかといった情報は最低限整理できている状態にしておきましょう。

ネットワークにおけるセキュリティ対策3選

アプリケーションを構築するうえで忘れてはいけないのが、ネットワークです。ネットワーク周りにおけるセキュリティ対策について確認しておきましょう。

1. ファイアウォールを利用して、通信をフィルタリングする

ファイアウォールとは、ネットワークとネットワークに間に立ち、外部からのアクセスを常に監視し、不正アクセスをブロックするためのシステムのことを指します。

ネットワークから送られてくるデータの安全性を判断し、不正アクセスを遮断することから「防火壁」を意味する「ファイアウォール」と名付けられました。

企業においてはインターネットと社内LANの間に設置することで、外部からの攻撃を未然に防ぐことに役立ちます。仮に使用しているソフトウェアがファイアウォールでブロックされてしまった場合には、通信先を設定して適切な通信のみを許可するようにしましょう。

2. WAFやIDS/IPSを利用して、不正な通信を検知・遮断する

IDS/IPSもファイアウォールと同様に、不正アクセスを検知し、防御する役割を担います。ただし、ファイアウォールとの違いは以下のとおり。

ファイアフォール：ネットワークのアクセス制御を超える攻撃を防ぐ
IDS/IPS：サーバーの脆弱性をついた攻撃を防ぐ

IDSが不正侵入検知システムのことを指し、IPSが不正侵入防御システムのことを指します。

IDS/IPSでは、OSやミドルウェアの脆弱性を突いた攻撃や、ファイル共有サービスへの攻撃など、さまざまな種類の攻撃への対策が可能です。

また、ファイアウォールやIPS/IDSよりも上位で、Webアプリケーションに特化した防御対策を行えるものに「WAF」というものがあります。

Webアプリケーション層はファイアウォールやIPS/IDSの防御領域ではカバーしきれないことが多いのも事実。WAFは、Webアプリケーションへの攻撃を防ぐことを目的としたセキュリティ対策のため、自社のWebアプリケーションやWebサイトを悪意ある攻撃から守るためには、WAFの導入は必須とだといえます。

関連記事：WAFを運用する際の注意点とは？ 無料から始められるWAF製品も紹介

3. ルーターを設置する

ルーターなどのネットワーク機器を用いることで、外部から内部へ向けた不審な通信を遮断することに役立ちます。

ルーターとは、インターネットと社内LANをつなぎ、社内のパソコンに通信を振り分けつつ、不正な通信を弾く役割を担うもの。

一度でも内部の侵入を許すと、個人情報や社外秘といった機密情報を奪われるリスクが高くなります。そういった情報は外部に流出して悪用される可能性も非常に高いので、そうならないためにも、不審な通信はシャットアウトすることが大切です。

CMSにおけるセキュリティ対策4選

最後にCMSについてのセキュリティ対策も解説します。

CMSとは、「Contents Management System」の略称で、Webサイトを制作・管理・運用を行うツールを指します。CMSの代表格であるWordPressのセキュリティ対策は以下の記事を参照ください。

関連記事：WordPressに必要な5つのセキュリティ強化対策を現役エンジニアが解説

1. 常に最新の状態にすることを心がける

WordPressに代表されるCMSのテーマやプラグインは、古くなるにつれてセキュリティの脆弱性が増していく傾向にあります。そのため、テーマやプラグインは定期的にアップデートを行い、常に最新の状態にする必要があります。

CMSを選定する際には、「自動アップデート」を行ってくれるCMSを選んでおくと、この点はクリアされるでしょう。また最新のアップデート内容をチェックし、公式サイトやSNSなどでアップデートに関する警告などがないか確認するクセをつけておくこともおすすめします。

2. 闇雲にプラグインを追加しない

WordPressでも今や多種多様なプラグインが、無料なものから高価なものまで豊富に揃えられていますが、ついついWebサイトのデザインや機能を拡張しようと、あれもこれもとプラグインを追加していませんか？

機能をどんどん増やせるタイプのCMSは、機能拡張のしすぎには注意が必要です。

CMS自体に脆弱性の穴がなくとも、プラグインサイドの穴から攻撃を受ける可能性は十分にあります。プラグインサイドには、セキュリティパッチの公開といったアップデートに関する情報を開示する義務もとくにないため、リスクが高いのです。

そのため、闇雲にプラグインを増やさないことは、セキュリティ対策のひとつとなり得ます。

3. 不要なテーマやプラグインは削除する

使っていないテーマやプラグインは、なるべく削除するようにしましょう。使用していないテーマやプラグインは、おそらくアップデートも怠っているでしょう。その分、悪意ある攻撃に利用されるリスクが高まります。

WordPressでも「わざわざ削除しなくても、無効化しておけば良い！」と思われている方多いかもしれませんが、無効化しただけでは、まだまだ悪用されるリスクが捨てきれません。そのため、「無効化」ではなく「削除」することが必要です。

使っていないテーマやプラグインは簡単に削除できますので、定期的にチェックするように心がけましょう。

4. パスワードの複雑化

ブルートフォースアタック（総当たり攻撃）を避けるためにも、パスワードは「長く」・「複雑に」・「使い回さない」ことを徹底することが大切です。

たとえば、CMSのユーザー名とニックネームを同じにしていたり、パスワードを誕生日などわかりやすいものにしていたりすると、簡単に不正ログインを許すことにつながります。

CMSのセキュリティレベルをより高めるためには、面倒がらずに定期的にパスワードを変更することがおすすめです。また、複雑なパスワードを自動生成してくれるツールの活用なども検討する価値は十分にあるのではないでしょうか。

Web制作におけるセキュリティ対策はGIGにお任せください

Webアプリケーションにはさまざまな脆弱性が含まれております。残念ながら脆弱性がゼロのシステムは存在しません。一方で脆弱性を放置したままにすると、サイバー攻撃の格好の餌食となり、 不正アクセスによる情報漏えいなどを引き起こし原因にもなり得ます。

とくに中小企業では、セキュリティ対策が十分に行われていないケースがまだまだ多く、情報セキュリティ対策への投資に二の足を踏んでいるところも少なくありません。

株式会社GIGは、Web制作、Webマーケティング、コンテンツ制作、サービス開発、保守運用など、Web戦略をトータルで支援するデジタルコンサルティング企業です。情報セキュリティについてご支援が必要な場合は、ぜひGIGにお問い合わせください。

■株式会社GIG
Webサイト制作/運用のお問い合わせはこちら
会社紹介資料のダウンロードはこちら
採用応募はこちら（GIG採用サイト）
採用応募はこちら（Wantedly）

GIG BLOG編集部

株式会社GIGのメンバーによって構成される編集部。GIG社員のインタビューや、GIGで行われたイベントのレポート、その他GIGにかかわるさまざまな情報をお届けします。