LOADING

  • 2020/12/24

    ウェブサイトでのセキュリティ対策

      

    Category:CULTURE/SYSTEM/WEB

    • サイバー攻撃
    • セキュリティ対策
    • ダメ、ゼッタイ
    • 脆弱性診断
    こんにちわ、こんばんわ
    株式会社ホロニックのブログです。

    2020年もあと少し。
    コロナだ、リモートワークだ、なんだかんだで
    フワフワしていた1年もあとちょっとで終わろうとしています。
    今日も?真面目な記事を。

    サイバー攻撃が増加傾向

    コロナ禍において、ITの重要性や活用が以前よりも、
    増えた企業様が多いのではないでしょうか。
    そんな、IT利用の増加とともに、サイバー攻撃もまた増加傾向にあるようです。
    その理由としては、新型コロナウイルスの流行によって人々が外出できず、
    オンラインサービスへの依存度が高まっている現状を、
    サイバー攻撃者が悪用していることが考えられるそうです。
    昨年比、180%超える増加というデータもあるようです。

    そこで、主なサイバー攻撃に対するセキュリティ対策を
    改めて勉強してみましたので、備忘録も兼ねて、簡潔にまとめていきます。
    • yuukicyan0I9A4317_TP_V.jpg

    其の1:CMSなどのシステムを更新し、常に最新の状態を保つ

    ウェブサイトを形成するCMSなどの、Webアプリケーションは
    常に更新・リビジョンアップをかけることが重要です。
    システムの更新やリビジョンアップがおろそかになっていると、
    システム内に潜んでいる脆弱性が放置されてしまい、
    サイバー攻撃も受けやすくなってしまいます。
    ただし、CMSによっては、プラグインの動作などにも影響する場合があるので、
    事前に、サイトを制作した会社に問い合わせるか、更新自体を依頼をした方が安心かと思います。

    其の2:WAFの導入

    CMSのバージョンを常に最新版に保っていても、脆弱性が発見される可能性はあります。
    そこで、有効な対策となるのがWAF(Web Application Firewall)です。
    WAFはウェブサイトへのアクセスをリアルタイムでチェック・監視し、
    攻撃者が悪意のある行為を獲った場合、自動的に判断して、通信を遮断してくれたりします。
    頼になる存在ですね。
    レンタルサーバーなどをお使いの方は標準装備されている場合もあるので、要確認です。

    其の3:IDS、IPSの導入

    出ました!3文字系!
    安心してください。かなり噛み砕きますヨ。
    IDSとは不正侵入検知システムのことで、通信を監視し、異常があれば管理者へ通知することで、
    異常な通信をブロックするなどの対処をするきっかけ(トリガー)となります。
    要は真面目な見張り役です。
    IPSとは不正侵入防止システムのことで、異常な通信があれば、管理者へ通知するだけでなく、
    その通信をブロックするところまで動作します。
    したがって、管理者が異常に気づいてから対処するのと異なり、迅速な対処が可能となります。
    こちらは、見張り件、取り締まりもしてくれます。
    • アートボード 1.png

    其の4:SSLの導入

    SSLとは、訪問者とホームページを収めているサーバー間の通信を暗号化する仕組みのことです。
    SSLを導入すれば、もし通信を攻撃者に盗聴されたとしても、
    訪問者の情報が暗号化されているので悪用を防ぐことができます。
    URLの先頭が「https」のページはSSL導入の印となります。
    また、常識となりつつありますが、GoogleはSSL導入を推進していて、
    導入済みのサイトを検索結果で優遇しています。

    番外編:静的サイト(CMSやフォームの扱いが無いサイト)では
    セキュリティのことは気にしなくていいのか

    対策は必要です。
    ・悪意のあるサイトへ誘導される
    ・サイトの情報を書き換えられる

    上記のような、リスクがあるため、脆弱性チェックツールなどで確認し、対策をすべきかと思います。
    様々な脆弱性チェックツールがありますが、
    いくつか試してみたところ、結構、重大な警告がでました。。
    主な警告をご紹介しましょう。
    ・不要なファイルがある
    ・宣言している文字コードと記述の不一致
    ・jQueryの読み込み方
    ・GoogleMAPやタグマネージャーの記述
    etc.

    警告内容はチェックツールにもよる所も大きいですが、
    やってみる価値は大いにあると思います。

    大事なのでもう一度いいます。
    静的サイトでもセキュリティ対策は必要です!

    ウェブサイトのセキュリティ対策に対するまとめ

    今回改めて勉強してみたりして感じることですが、
    セキュリティ対策の難しさは、「終わり(キリ)がない」という事。
    あとはどうしても予算との兼ね合いがネックですかね。
    「セキュリティ対策なら、いくらでも使っていい!」なんて事はほぼないワケで、
    でも、コトが起こってから右往左往しても遅いワケで。。

    ただ、日頃からセキュリティを意識した制作・開発を行った上で
    制作サイドから、お客様に対して、情報を常に更新した上で、提案し続けることが
    我々にできる、最大の努力かなとも改めて思いました。

    サイバー攻撃、ダメ、ゼッタイ

    では、また2021年にお会いしましょう!
    See You!
  • Category
    HOLONIC(7)
    DESIGN(6)
    WEB(10)
    SYSTEM(4)
    HOBBY(2)
    CULTURE(8)
    月別Arcive
    2021/01 (1)
    2020/12 (1)
    2020/11 (1)
    2020/10 (1)
    2020/09 (3)
    2020/08 (5)
    2020/07 (4)
    Tag list