Webサイト立ち上げ時にやるべきセキュリティ対策

 
Webサイトのセキュリティ対策は昨今、必須になりつつあります。何故なら、不正アクセスによるWebサイト改ざんや情報漏洩が多数発生しているからです。

Webサイトの脆弱性や運用管理のずさんさに目をつけた攻撃者が、さまざまな手段を用いて攻撃を仕掛けてくるためです。
こういったサイバー攻撃によって情報が流出すると、サービス停止や損害賠償といった企業にとって甚大な損害を生み出す可能性もあります。

Webサイトの安全を守るためにも、ホームページやウェブサイトの立ち上げを検討するタイミング等の、早い段階からセキュリティ対策をすることが大切です。
今回はWebサイト立ち上げ時にやっておくべきセキュリティ対策について解説します。

Webサイトを構成する要素の一つであるWebアプリケーションには、数多くの脅威があります。
もし脆弱性が一つでもあれば、その脆弱性を狙った悪意ある第三者によって、サイバー攻撃が行われる可能性があります。
Webアプリケーションの脆弱性は、以下のようなものがあります。

・SQLインジェクション
・OSコマンドインジェクション
・ディレクトリトラバーサル
・クロスサイトスクリプティング
・バッファオーバーフロー
など

これらはごく一部ですが、いずれも非常に緊急性の高い脆弱性であり、こういった脆弱性を突いた攻撃によってシステムやデータベースに不正にアクセスされ、情報漏洩やWebサイト改ざんを引き起こされる可能性があります。
Webサイト立ち上げ時は、これらの脆弱性を出さない開発を行うことが大切です。
また、Webサイトを公開してからこれらの脆弱性を発見した場合は、できる限り早く改修を行うべきでしょう。

Webサイトの訪問者にとって見る必要のないページやファイルはインターネット上からアクセスできない場所に保管する、不要なファイルは削除するといった対策をとりましょう。
悪意ある第三者がアクセスし、ファイルやページを書き換えることを防ぐためです。

Webアプリケーションはさまざまなソフトウェアやフレームワークを利用して構成されています。
こういったソフトウェアに脆弱性が発見されることもあるため、その際はバージョンアップの対応が必要です。
担当者は運営するWebサイトにどういったソフトウェアやフレームワークを用いているかを把握して、迅速な脆弱性対策を取れるようにする必要があるでしょう。

ただし、ソフトウェアやフレームワークの組み合わせによってはバージョンアップの影響でWebアプリケーションが機能しなくなるといったトラブルが発生する可能性もあるので、テストやシミュレーションを行うことが大切です。

Webアプリケーションのログは事件や事故、トラブルが発生したときに原因を追求することができます。
大切な情報源なので、ログの管理と定期的な確認は怠らないようにしましょう。

利用していないアプリケーションやサービスがあった場合、停止または削除をしましょう。
悪用されるという事態を避けるためにも、できる限り必要なものだけにするべきです。

Webサーバに不要なアカウントが登録されている場合は削除しましょう。
テストアカウントや、外部委託用のアカウントなど、以前使用していたが現在は使用されていない、といったアカウントがあった場合は、悪用を避けるために削除してください。
アカウント一覧を作成して確認すると間違いがありません。

安易なパスワードであると、パスワードが推測され不正ログインされる可能性が高まります。
特に管理者権限を持つアカウントは狙われやすいので、複雑かつ覚えにくいパスワードに設定しましょう。

アクセス制御が不適切で、Webサーバのファイルやディレクトリに第三者からアクセスされてしまった場合、ファイルの書き換えやプログラムの実行されてしまうかもしれません。
そういった事態を防ぐためにも適切なアクセス制御を行ってください。

Webサーバへのアクセスログは、事故やトラブルが発生した場合や不審な動きがあったときに原因を追求できます。

境界ルータなどのネットワーク機器を用いることで、外部から内部へ向けた不審な通信を遮断しましょう。
内部に侵入されると、情報を持ち出される可能性があります。
外部に持ち出された場合は悪用される可能性が非常に高いので、そういった事態を避けるためにも不要な通信は通さないようにしましょう。

ファイアウォールは、ネットワークとネットワークに間に立ち、外部ネットワークからのアクセスを常に監視して、不正アクセスがないかを監視、ブロックするためのシステムです。

使用しているソフトウェアがファイアウォールでブロックされて使えなくなってしまう場合は、通信先を設定して適切な通信のみを許可しましょう。

事故やトラブルが発生した際に原因を追求する重要な情報源の一つです。
定期的なログの確認と保管を行いましょう。

WAFは、Webサイトとユーザー間の通信を検査して、不正な通信を自動的に検知・遮断します。
WebサイトやWebアプリケーションの脆弱性が発覚した際に、即時に対応ができない場合があるかもしれません。
WAFを導入している場合、脆弱性に向けた攻撃を検知し遮断することができます。
攻撃による被害を出す可能性を低減できる有効な手段です。

WebサイトやWebアプリケーションを立ち上げる際には、脆弱性が出ないように構築ができることが理想です。
しかし現実的な問題として、全く脆弱性がない、セキュリティホールは存在しない、といった状態を作り出すことは難しいことです。
脆弱性は内部のテストやチェックだけでは発見できない可能性もあるので、外部の脆弱性診断やセキュリティチェックを受ける手段も有効です。
もちろん内部での定期的な脆弱性診断の実施もWebサイトの安全性を高めるためにも非常に有効的です。

Webサイトのすべての通信を暗号化し、第三者から閲覧できないようにする常時SSL化を行いましょう。
httpではなくhttpsと表示されている場合は暗号化によって常時SSL化された安全なWebサイトであると認識されるため、Webサイトの評価も上がるでしょう。
加えて、Googleは常時SSL化を行なっているWebサイトは検索順位で優遇するロジックを実装しています。
常時SSL化はWebサイト立ち上げ時の必須項目と捉えても良いでしょう。

WordPressは、オープンソースで提供されているCMSです。
無料で利用できるプラグインやテーマによって簡単にWebサイトを構築することができます。
この便利さに対して、攻撃の対象になりやすいというデメリットがあります。
主な原因として、シェア率が高いことと合わせて、オープンソースであるために脆弱性が出やすいからです。
WebサイトをWordPressで運用している場合は、こうした定期的なセキュリティアップデートもできる限り迅速に対応する必要があります。
Webサイト立ち上げ時にWordPressを利用するときは定期的なアップデートが必要であることを念頭に置いておきましょう。

最新のバージョンにプラグインが対応しているか確認しましょう。

プラグインの多くは有志のユーザーが開発したものであるため、WordPressの最新バージョンに対応していない場合があります。
それに気がつかずアップデートを行うとプラグインが正常に作動せずエラーやトラブルが発生する可能性もあります。
そういった事態を避けるためにもセキュリティアップデートを行う際は、利用しているプラグインが最新のバージョンに対応しているか確認、テスト環境を構築し一度アップデートを行いましょう。

問題なくアップデートができると確認できた場合のみ、本番サイトでもアップデートを行いましょう。
プラグインが対応できていない、サイトが真っ白になってしまうなどのエラーがある場合は、原因を探り問題を解決してからセキュリティアップデートを行います。

WAFはファイアーウォールやIPS/IDSでは防ぐことができない、Webアプリケーションの脆弱性を悪用したサイバー攻撃を防ぎます。SQLインジェクション以外の攻撃にも対応しているため、より安全にWebサイトを運用できるようになります。リソース不足によりWebアプリケーションを最新バージョンへ更新できない場合や、すぐにセキュリティパッチを適用できない状況でも、WAFを導入することでSQLインジェクション攻撃への対応が可能です。

なかでもクラウド型WAFは初期・運用コストが小さいため、手軽に対策できます。クラウド型WAFも選択肢が多いですが、導入しやすいものとしておすすめするものに「攻撃遮断くん」があります。システム変更不要のため最短翌営業日で導入でき、ユーザー側での運用は一切必要ないため低価格かつ簡単に高セキュリティを実現できます。

「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。

https://www.shadan-kun.com/

今回はWebサイト立ち上げをする際にやっておくべきセキュリティ対策について解説しました。
Webサイト立ち上げの段階でこれらのセキュリティ対策を実施する・計画することでより安全なWebサイトを運営できます。
脆弱性を放置することは個人情報漏洩や不正アクセス、Web改ざんを招きます。
万が一脆弱性が発覚した場合は速やかな対策を実施しましょう。