セキュリティの今日、そして明日を読む

企業が行うべきウェブサイトのセキュリティ対策とは 〜確認しておくべき4つの観点〜

ITが発達した現代においては、法人としての顔とでも言える自社のウェブサイト。企業の実態としては、ウェブサイトは公開しているが、外部の業者に依頼しているため専門的な部分を把握していない、サーバについては言われるがまま契約しているが適切な物か判断ができていない、特に社内ルールもなく担当者任せで更新が行われている、など、適切な管理が行われていないケースが良く見受けられると思われます。ウェブサイトはどこの企業でも当たり前のように公開されていますが、セキュリティについて状況を正しく把握できていないと、サイト内容が改ざんされたり、ボットの踏み台として使われたりするなど、大きなトラブルとなるケースもあります。今回は企業のウェブサイトのセキュリティにおいて確認しておくべき4つの観点をご紹介します。

1. ネットワーク
ソーシャルエンジニアリングなど一部の方法を除き、攻撃のほとんどはネットワーク越しに行われるといえます。非正規的な方法(いわゆる不正アクセス)については、ネットワーク機器の脆弱性を狙ったものがあります。不要なポートを塞ぐ、怪しげなIPは弾くなど基本的なことをしっかりとやっておくのが重要です。

2. サーバ
悪意のある人間の攻撃目標となることが多いのがサーバです。機密情報が含まれていたり、マルウェアの設置場所として使われたりなど最終的な到達目標として使われるケースがほとんどです。パーテションの切り分けや冗長化など、堅牢性を意識した構築を行っておくことが必要です。

3. アプリケーション
ウェブサイトの実際に表示されている部分で、いわゆるフロントエンド部分にあたります。主に狙われるのはJavaScriptの部分で、脆弱性を突いた方法でシステムに対して攻撃が行われます。クロスサイトスクリプティング(XSS)などによる攻撃などの他、WordPressをはじめとするCMSの管理画面なども、見つかると格好の攻撃対象として使われるケースが多々あります。

4. 運用
たとえば、誰でもかれでも管理者権限を付与すると、運用管理業務は楽かもしれませんが、その誰か一人のアカウントだけでもクラックされるだけで、システム全てが乗っ取られてしまう可能性があります。また、ユーザーのセキュリティ意識が低いとそもそも設計時やコーディング時にセキュリティリスクを残したままウェブサイトを完成させてしまい、セキュリティホールが大量にあるページを公開してしまう可能性もあります。

Business online