Webサイト立ち上げ時にやっておきたいセキュリティ対策

2018.02.14

Webセキュリティ

image

 

昨今、Webサイト改ざんや情報漏洩が多数発生しています。
Webサイトの脆弱性や運用管理のずさんさに目をつけた攻撃者が、さまざまな手段を用いて攻撃を仕掛けてくるためです。
サービス停止や損害賠償といった企業にとって甚大な損害を生み出す可能性もあります。

Webサイトの安全を守るためにも、早い段階からセキュリティ対策をすることが大切です。
今回はWebサイト立ち上げ時にやっておくべきセキュリティ対策について解説します。

 

目次

Webアプリケーションのセキュリティ対策

脆弱性を出さない開発を心がける

Webサイトを構成する要素の一つであるWebアプリケーションには、数多くの脅威があります。
もし、脆弱性が一つでもあればその脆弱性を狙った攻撃が行われる可能性があるでしょう。
Webアプリケーションの脆弱性は以下のようなものがあります。

・SQLインジェクション
・OSコマンドインジェクション
・ディレクトリトラバーサル
・クロスサイトスクリプティング
・バッファオーバーフロー
など

これらはごく一部ですが、いずれも非常に緊急性の高い脆弱性であり、こういった脆弱性を突いた攻撃によって情報漏洩やWebサイト改ざんを引き起こされる可能性があります。
Webサイト立ち上げ時は、これらの脆弱性を出さない開発を行うことが大切です。
Webサイトを公開してからこれらの脆弱性を発見した場合は、できる限り早く改修を行うべきでしょう。

不要なファイルや公開するべきでないページやファイルを公開しない

Webサイトの訪問者にとって見る必要のないページやファイルはインターネット上からアクセスできない場所に保管する、不要なファイルは削除するといった対策をとりましょう。
第三者がアクセスしてファイルやページを書き換えることを防ぐためです。

Webアプリケーションを構成するソフトウェアの脆弱性対策を行う

Webアプリケーションはさまざまなソフトウェアやフレームワークを利用して構成されています。
こういったソフトウェアに脆弱性が発見されることもあるため、その際はバージョンアップの対応が必要です。
担当者は運営するWebサイトにどういったソフトウェアやフレームワークを用いているかを把握して、迅速な脆弱性対策を取れるようにする必要があるでしょう。

ただし、ソフトウェアやフレームワークの組み合わせによってはバージョンアップの影響でWebアプリケーションが機能しなくなるといったトラブルが発生する可能性もあるので、テストやシミュレーションを行うことが大切です。

Webアプリケーションのログを保管・確認する

Webアプリケーションのログは事件や事故、トラブルが発生したときに原因を追求することができます。
大切な情報源なので、ログの管理と定期的な確認は怠らないようにしましょう。

Webサーバのセキュリティ対策

不要なアプリケーションやサービスを削除する

利用していないアプリケーションやサービスがあった場合、停止または削除をしましょう。
悪用されるという事態を避けるためにも、できる限り必要なものだけにするべきです。

不要なアカウントは削除する

Webサーバに不要なアカウントが登録されている場合は削除しましょう。
テストアカウントや、外部委託用のアカウントなど、現在は使用されていないアカウントがあった場合悪用を避けるために削除してください。
アカウント一覧を作成して確認すると間違いがありません。

複雑なパスワードを設定する

安易なパスワードであると、パスワードが推測され不正ログインされる可能性が高まります。
特に管理者権限を持つアカウントは狙われやすいので、複雑かつ覚えにくいパスワードに設定しましょう。

ファイルやディレクトリへのアクセスを制限する

アクセス制御が不適切で、Webサーバのファイルやディレクトリに第三者からアクセスされてしまった場合、ファイルの書き換えやプログラムの実行されてしまうかもしれません。
そういった事態を防ぐためにも適切なアクセス制御を行ってください。

Webサーバのログを保管・確認する

Webサーバへのアクセスログは、事故やトラブルが発生した場合や不審な動きがあったときに原因を追求できます。

ネットワークのセキュリティ対策

ルータ機器を利用して、ネットワーク境界の不審な通信を遮断する

境界ルータなどのネットワーク機器を用いることで、外部から内部へ向けた不審な通信を遮断しましょう。
内部に侵入すると、情報を持ち出す可能性があります。
外部に持ち出された場合悪用される可能性が非常に高いので、そういった事態を避けるためにも不要な通信は通さないようにしましょう。

ファイアウォールを利用して、通信をフィルタリングする

ファイアウォールを利用する際に適切な通信先を設定しましょう。

ログの保管・確認を行う

事故やトラブルが発生した際に原因を追求する重要な情報源の一つです。
定期的なログの確認と保管を行いましょう。

WAFやIDS/IPSを利用してWEBサーバへの不正な通信を検知・遮断する

Webサイトとユーザー間の通信を検査して、不正な通信を自動的に検知・遮断します。
WebサイトやWebアプリケーションの脆弱性が発覚した際に、即時に対応ができない場合があるかもしれません。
WAFを導入している場合、脆弱性に向けた攻撃を検知し遮断することができます。
攻撃による被害を出す可能性を低減できる有効な手段です。

脆弱性診断・セキュリティ検査を行う

WebサイトやWebアプリケーションを立ち上げる際に脆弱性が出ないように構築ができることが理想です。
現実的な問題として全くもって脆弱性がない、セキュリティホールは存在しないといった状態を作り出すことは難しいです。
脆弱性は内部のテストやチェックだけでは発見できない可能性もあるので、外部の脆弱性診断やセキュリティチェックを受ける手段も有効です。
もちろん内部での定期的な脆弱性診断の実施もWebサイトの安全性を高めるためにも非常に有効的です。

常時SSL化を行う

Webサイトのすべての通信を暗号化し、第三者から閲覧できないようにする常時SSL化を行いましょう。
httpではなくhttpsと表示されている場合は暗号化によって常時SSL化された安全なWebサイトであると認識されるため、Webサイトの評価も上がるでしょう。
加えて、Googleは常時SSL化を行なっているWebサイトは検索順位で優遇するロジックを実装しています。
常時SSL化はWebサイト立ち上げ時の必須項目と捉えても良いでしょう。

WordPressを利用したWebサイトのセキュリティ対策

WordPressはオープンソースで提供されているCMSです。
無料で利用できるプラグインやテーマによって簡単にWebサイトを構築することができます。
この便利さに対して、攻撃の対象になりやすいというデメリットがあります。
主な原因として、シェア率が高いことと合わせて、オープンソースであるために脆弱性が出やすいからです。
WebサイトをWordPressで運用している場合は、こうした定期的なセキュリティアップデートもできる限り迅速に対応する必要があります。
Webサイト立ち上げ時にWordPressを利用するときは定期的なアップデートが必要であることを念頭に置いておきましょう。

セキュリティアップデート時の注意点

最新のバージョンにプラグインが対応しているか確認する。

プラグインの多くは有志のユーザーが開発したものであるため、WordPressの最新バージョンに対応していない場合があります。
それに気がつかずアップデートを行うとプラグインが正常に作動せずエラーやトラブルが発生する可能性もあります。
そういった事態を避けるためにもセキュリティアップデートを行う際は、利用しているプラグインが最新のバージョンに対応しているか確認、テスト環境を構築し一度アップデートを行いましょう。

問題なくアップデートができると確認できた場合のみ、本番サイトでもアップデートを行いましょう。
プラグインが対応できていない、サイトが真っ白になってしまうなどのエラーがある場合は、原因を探り問題を解決してからセキュリティアップデートを行います。

まとめ

今回はWebサイト立ち上げをする際にやっておくべきセキュリティ対策について解説しました。
Webサイト立ち上げの段階でこれらのセキュリティ対策を実施する・計画することでより安全なWebサイトを運営できます。
脆弱性を放置することは個人情報漏洩や不正アクセス、Web改ざんを招きます。
万が一脆弱性が発覚した場合は速やかな対策を実施しましょう。