Webサイトのセキュリティ対策について理解する際に、どのような資料を参考にすればよいか迷うことはありませんか。今回はその際に、参考となる資料やスライドを、解説を交えながらご紹介していきます。
目次
-
1.「サイバー攻撃なんて自分たちには関係ない」は間違え
-
2.サイバー攻撃の種類と手法を知る
-
3.必要となるWebセキュリティ対策がどの程度できているかを確認する
-
4.メールを使ったサイバー攻撃と対策
-
5.Webサイトへのサイバー攻撃の手法と対策
-
6.情報システム部視点でのWebセキュリティ対策6.
-
7.まとめ
-
8.おすすめのWebセキュリティ対策
1.「サイバー攻撃なんて自分たちには関係ない」は間違え
「情報セキュリティ5か条」(IPA)
https://www.ipa.go.jp/files/000055516.pdf
「我が社にはサイバー攻撃で盗られるものなんかない」と思われる方もいるかもしれませんが、万が一従業員のマイナンバーのデータ、取引先の機密情報や顧客情報などが漏えいしてしまうと大な損害が発生してしまいます。事前に損害を防ぐためにも、まずは情報セキュリティ5か条を守るところから始めてみてはいかがでしょうか。
2.サイバー攻撃の種類と手法を知る
「情報セキュリティ10大脅威 2020 [組織編]」(IPA)
https://www.ipa.go.jp/files/000081291.pdf
毎年IPAが公開しているその年の10大脅威をまとめたものです。上位3位まではメールに関する脅威であり、続いてWebに関する脅威やIoT機器に関する脅威となっています。
3.必要となるWebセキュリティ対策がどの程度できているかを確認する
「5分でできる!情報セキュリティ自社診断」(IPA)
https://www.ipa.go.jp/files/000055848.pdf
25問の診断シートの体裁になっており、「基本的な対策」「従業員が気をつけること」「組織としての対策」の大きく3つに分けて説明がされています。
この25項目は中小企業において実施しておきたい項目です。
診断シートを使用して自社のセキュリティ対策の実施状況を確認してみましょう。
4.メールを使ったサイバー攻撃と対策
「ウィルス対策のしおり」(IPA)
https://www.ipa.go.jp/security/antivirus/documents/01_virus.pdf
ウィルス対策は、「ウィルス対策ソフトは最新版を使う」「OSなどのセキュリティパッチは必ず当てる」などが基本対策となります。さらに、「不審なメールの添付ファイルを開かない」などの注意が必要です。
「今すぐやるべき標的型メール対策!」(緑マーケティング研究所)
https://www.slideshare.net/YasunoriNonoichi/white-paper-33244115?qid=263ac740-3b5c-4e80-a414-8c051641926f&v=&b=&from_search=10
ウィルス対策ソフトは100%コンピューターウィルスを防ぐものではありません。
マルウェアなどに感染しないためには、まず「不審なメールの添付ファイルを開かない」ことが重要となりますが、これには従業員に対して訓練することが必要でしょう。本資料では、どのような訓練をするのかを説明しています。
5.Webサイトへのサイバー攻撃の手法と対策
「OSS WAF on Cloud & Cloud入門」(釜山 公徳)
Webアプリケーション層へのサイバー攻撃を防ぐWAFが、どのような防御機能を持っているのか、ファイアウォールやIPS/IDSなどのセキュリティ機器と何が違うのかを説明した資料です。
「安全なWebサイトの作り方」(IPA)
https://www.ipa.go.jp/files/000017316.pdf
Webサイトに対するサイバー攻撃による情報漏洩は、脆弱性をつかれることで発生します。セキュリティパッチを当てるだけでなく、Webサイト開発にあたって脆弱性を作らないことが最善の対策となります。
この資料では、Webサイトを構築する際、どうすれば脆弱性が発生しないかを解説しています。
6.情報システム部視点でのWebセキュリティ対策の例
「当社におけるセキュリティに関する取り組み」(さくらインターネット株式会社)
https://www.slideshare.net/kunihirotanaka1/201403060306-31983246?qid=a4cb006b-f73c-429b-bf8f-118befc75d5e&v=&b=&from_search=28
この資料は、さくらインターネット株式会社におけるWebセキュリティ対策の取り組みを紹介した資料です。具体的にどのような対策を行っているかの参考にしてみてはいかがでしょうか。
7.まとめ
Webセキュリティを理解する際に役立つ資料を紹介してきましたが、いかがでしたでしょうか。
最後にもう1つ紹介します。
IPA(情報処理推進機構)が「中小企業の情報セキュリティ対策ガイドライン第2.1版」を公開しています。非常にわかりやすく情報セキュリティについて書かれているため、ぜひ一読してみてはいかがでしょうか。
「中小企業の情報セキュリティ対策ガイドライン第3版」(IPA)
https://www.ipa.go.jp/files/000055520.pdf
8.おすすめのWebセキュリティ対策
Webセキュリティ対策としておススメなのが「WAF」の導入です。
WAFには色々なものがありますが、その中でもクラウド型WAFであれば、コストや手間も少なくセキュリティ対策することができます。
クラウド型のWAFは導入ハードルが極めて低いので、これからWebセキュリティ対策を行う企業様には有力な選択肢となります。WAFを選定する時には、サポート体制や導入実績なども重視して、自社に最適なものを選びましょう。
クラウド型WAF「攻撃遮断くん」は、最新の攻撃パターンにも自動的に対応していくため、セキュリティパッチをすぐに適用できない状況や、定期的に脆弱性診断が出来ない状況でも、セキュアな環境を保てます。
ぜひこの機会にWebセキュリティ対策を見直し、WAFの導入を検討してみてください。
「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。
(2018/5/16 執筆、2020/3/29修正・加筆)
この記事と一緒に読まれています
-
サーバセキュリティを勉強するなら絶対に読んでおきたいサイトや記事
2019.10.04
セキュリティ対策
-
2019.10.27
セキュリティ対策
-
『サイバーセキュリティ経営ガイドライン Ver2.0』の概要。Ver.1.1との違いとは?
2020.03.21
セキュリティ対策
-
2018.05.10
セキュリティ対策
-
2017.06.19
セキュリティ対策
-
2020.02.14
セキュリティ対策
