webサイトを運営する際、セキュリティ対策は重要です。セキュリティ対策は初期費用や継続的なコストがかかってしまうため、導入を躊躇する場合があります。しかし、セキュリティ対策を怠るとサイバー攻撃に遭う可能性が高まってしまうため、注意が必要です。そこで、最低限知っておきたいセキュリティ対策をご説明しますので、導入時の参考にしてください。
目次
-
セキュリティ対策は「物理的・人的・技術的」の3方向で強化しよう!
-
技術的セキュリティ対策の具体的な種類とは?
-
web改ざん検知やセキュリティ診断も有効!
-
セキュリティ対策の種類を把握し、最適なものを導入しよう!
セキュリティ対策は「物理的・人的・技術的」の3方向で強化しよう!
セキュリティを強化するためには、「物理的」「人的」「技術的」の3方向から対策することが大切です。物理的対策とは、災害やシステム障害・侵入者によるトラブルを防ぐために行います。例えば、侵入者を防止するためには、情報やコンピューターを管理する建物と設備の防犯強化が重要です。具体的には、生体認証やICカードを利用した入退室管理システム、警備システムや警備員の導入があります。また、コンピューターやサーバーが置いてある部屋は耐震や防火設備を整えることも大切です。さらに、停電に備えた無停電電源装置やバックアップセンター設置も、物理的対策になります。
人的対策とは、情報を管理している人や全社員の情報危機管理を教育することです。設備やセキュリティシステムを強化しても、社内から情報が漏れてしまっては意味がありません。サイバー攻撃は社員が取り扱うUSB機器にウイルスを入れられる場合もあり、それぞれの危機管理を徹底するといいでしょう。また、ビジネスメール詐欺やウイルスに感染するメールなどにも注意します。サイバー攻撃の具体例などを社員研修や社内誌で情報提供するのが効果的です。社員それぞれがサイバー攻撃に遭いやすい環境や攻撃の手口を理解していると、防げる可能性があります。
技術的対策とは、第三者が不正アクセスをしないためのシステムを導入することです。まずは、コンピューターやサーバー自体の設定を見直し、アクセス制御や認証・暗号化などの機能を実装します。ウイルスの検知と除去をするシステム、セキュリティソフトの導入も手段です。また、システムの脆弱性を放置しないためには、定期的にアップデートをします。アップデートをしていないと、脆弱性が出てしまう可能性が高いです。アップデートは自動更新設定もできるため、忘れないように設定するといいでしょう。日頃からセキュリティ診断やweb改ざん検知を利用し、不審な動きがないかを確認することも大切です。
技術的セキュリティ対策の具体的な種類とは?
技術的対策の種類として、「SSL」「ウイルス対策ソフト」「ファイアウォール」「ids/ips」「waf」などがあります。それぞれ仕組みや守れる範囲が異なるため、併用するのが望ましいです。
SSLとは?
SSLとはwebサイトと閲覧者の通信を暗号化する方法です。SSLを使用していない場合、第三者が通信の流れや内容を見ることができます。しかし、見られてしまう恐れがあると、個人情報やクレジットカード番号を扱うインターネットショッピングなどができません。そこで、SSLで暗号化すれば、第三者に見られるリスクが少なくなります。SSLは、ブラウザとサーバー間でリクエストや暗号化し、鍵をかける仕組みです。
ウイルス対策ソフトとは?
サイバー攻撃の中にはウイルスを使った方法があります。コンピューターウイルスは正常動作を妨げるだけでなく、情報漏洩やデータの破壊・改ざんもすることが特徴です。また、感染能力があり、感染したサイト経由でコンピューターやUSB機器が壊れる場合もあります。よって、事前にウイルス対策ソフトを導入し、感染する前に検知と除去ができるといいでしょう。ウイルス対策ソフトはアプリケーションとして、パソコン内にインストールして利用します。ウイルスは日々進化してしまうため、定期的にウイルス対策ソフトの更新が必要です。また、発見されていないウイルスを予知して見つけ出す「ヒューリスティック機能」があると効果は高まります。
ファイアウォールとは?
ファイアウォールとはネットワーク上で外部から内部への不正アクセスを遮断できる方法です。1つのパソコンを守る「パーソナルファイアウォール」は、パソコン上に元から入っているシステムで、アプリケーションの許可をすることで利用できます。社内パソコンやLAN間のネットワークに使用するファイアウォールもあります。社外から社内ネットワークに侵入された場合、情報漏洩やデータの改ざんなどのリスクが高いです。元からのファイアウォールでも構いませんが、ファイアウォールのソフトウェアを入れるのもいいでしょう。提供形態や搭載されている基本機能で選択するのも手段です。ファイアウォールは不正アクセスの防止だけでなく、フィルタリング機能やNAT機能もあります。フィルタリング機能とは害が出ない通信を識別し、通信の許可や遮断をするものです。NAT機能はIPアドレス変換のことで、IPアドレスが特定されるのを防いでくれます。
ids/ipsとは?
idsとは不審な侵入を検知して管理者に伝えるシステムです。検知する方法として、異常アクセスパターンを定義化するシグネチャ型、正常アクセスパターンを定義化するアノマリ型があります。ipsは不審な侵入を検知し、防御もできるシステムです。検知方法はidsと同じアノマリ型とシグネチャ型になっています。ファイアウォールの場合、パケット情報をもとに検知と遮断をしていますが、ipsでは内容まで検査できることが特徴です。よって、Dos攻撃やDDos攻撃・Synフラッド攻撃など、ファイアウォールだけでは防ぎきれない攻撃にも対応できます。
wafとは?
wafはファイアウォールの一種ですが、内部ネットワークへの侵入を防ぐファイアウォールとは異なり、アプリケーションやサーバーへの侵入も防ぐことが可能です。また、アプリケーションの脆弱性をついた攻撃を受けた場合は、他のセキュリティシステムでは防御しきれないため、wafが有効とされています。wafの検知方法は、シグネチャと呼ばれるアクセスパターンで判断します。クラウド型wafはベンダーがセキュリティ対策をしてくれるので、シグネチャは、wafを提供するベンダー側が設定や追加を行います。自社内で運用するアプライアンス型とソフトウェア型は定期的な更新作業が必要です。
web改ざん検知やセキュリティ診断も有効!
セキュリティ対策を強化するためには、web改ざん検知とセキュリティ診断を定期的に行うといいでしょう。web改ざん検知とは、改ざんの有無を確認できるサービスです。もし、改ざんが見つかった時には、管理者に通知したり、改ざん前へ自動復旧したりします。サイバー攻撃で改ざんされる場合、明らかに文章や画像が変更されている時もありますが、ウイルスや悪意があるマルウェアを入れられる場合もあるでしょう。見た目だけでは分からない改ざんもあるため、web改ざん検知を利用すると、サイバー攻撃によるトラブルを未然に防げます。
セキュリティ診断では、システムに脆弱性がないかを確認するサービスが効果的です。脆弱性も見た目だけでは判断できないため、ツールや業者によって診断してみるといいでしょう。セキュリティ診断を定期的に行うことで、サイバー攻撃を防ぎやすくなります。セキュリティ診断では、万が一、サイバー攻撃に遭った後でも利用可能です。その際には、トラブルの原因を解明し、攻撃者のルートやウイルス名なども分かる場合があります。そのデータに基づいて、今後の対策も考えられるのです。
セキュリティ対策の種類を把握し、最適なものを導入しよう!
セキュリティ対策には「物理的・人的・技術的」対策があり、まずは情報を取り扱う人や建物の管理を徹底することが大切です。しかし、それだけでは防ぎきれないため、SSLやウイルス対策ソフト・ファイアウォール・ids/ips・wafなどのシステムを導入するといいでしょう。セキュリティ対策の種類を理解し、それぞれの目的に合ったものを利用するのが望ましいです。可能なら併用することで、セキュリティ対策を強化できるでしょう。
サイバー攻撃を可視化・遮断する「攻撃遮断くん」
サイバーセキュリティクラウドが提供する「攻撃遮断くん」はWebサイト・Webサーバへのサイバー攻撃を可視化し、遮断するセキュリティサービスです。
ブルートフォースアタック、クロスサイトスクリプティング、Webスキャンと言ったサイバー攻撃をリアルタイムで検知・遮断しています。
ユーザーごとに提供される管理画面で、契約したWebサーバへの攻撃の情報を確認することができます。
