企業サイトに求められるWebセキュリティとは?
はじめに
企業が運営・管理するWebサイトが、サイバー攻撃などの被害に遭ったとの報道が後を絶ちません。インターネット上には、多くの脅威があるとは分かっている方が多いと思います。しかし、Webのセキュリティ対策をどこから強化すべきなのか今ひとつ理解しきれておらず、実行に踏み切れないという方もいるのではないでしょうか。
この記事では、Webセキュリティの概要から企業サイトに必要なセキュリティ対策、おすすめのWebセキュリティサービスまでをご紹介します。Webのセキュリティ対策にお悩みであれば、ぜひご参考にしてください。
 | 参考コラム:2022年はどんなセキュリティ事故が起きた?被害事例をご紹介 |
この記事では、Webセキュリティの概要から企業サイトに必要なセキュリティ対策、おすすめのWebセキュリティサービスまでをご紹介します。Webのセキュリティ対策にお悩みであれば、ぜひご参考にしてください。
Webセキュリティとは
インターネットは、日々の事業をはじめとする企業活動に欠かせないものとなりました。本記事をご覧になっているほとんどの方においても、自社でWebサイトを運営している心当たりがあるかと思います。
しかし、ご存じのとおりインターネット上には非常に多くの脅威が存在しています。企業で運営しているWebサイトも例外なく、それらの脅威に常にさらされている状態にあると考えて良いでしょう。すべてのWebサイトはそれらの脅威と隣り合わせにある状況ですから、運用する際には身を守る対策を行わなければなりません。
Webセキュリティとは、Webサイトがさらされているさまざまな脅威から、サイトや企業を守るための備えや対策を指す言葉です。
しかし、ご存じのとおりインターネット上には非常に多くの脅威が存在しています。企業で運営しているWebサイトも例外なく、それらの脅威に常にさらされている状態にあると考えて良いでしょう。すべてのWebサイトはそれらの脅威と隣り合わせにある状況ですから、運用する際には身を守る対策を行わなければなりません。
Webセキュリティとは、Webサイトがさらされているさまざまな脅威から、サイトや企業を守るための備えや対策を指す言葉です。
Webサイトが晒されている脅威にはどんなものがある?
Webサイトは常時さまざまな脅威にさらされていると、先にご説明しました。ここでは、Webサイトの運営において警戒すべき脅威の種類についてもご紹介します。
一般的に「サイバー攻撃」と呼ばれるインターネット上での攻撃の多くが、企業などのWebサイトを狙って行われます。
Webサイトを対象としたサイバー攻撃には、DoS攻撃やDDoS攻撃のように大量のアクセスを集中させるなどしてサイトの稼働を妨害する攻撃と、Webサイトに不正ログインしたり不正な内容を含むデータベース言語などを流し込んだりすることで、データを盗まれたりWebサイトの改ざんなどをされたりする攻撃とに大別されます。
また、外部からのサイバー攻撃だけでなく、社内の管理者権限を持たない人間が、管理者のアカウントを利用して不正アクセスを行い、データ入手やWebサイトの改ざんなどを行うケースもあります。
DDoS攻撃とWebサイトへの不正アクセスについては、下記のページで詳しく解説しています。
自社のWebサイトがサイバー攻撃を受けた場合、具体的にどのような被害が予測されるのでしょうか。もっとも多く、大規模になりやすい被害としては、企業サイト内で管理していた顧客や取引先などの重要な個人・団体に関する情報の漏えいや盗難です。
情報が漏れてしまったことで、それらの情報を悪用されて被害がさらに大規模化するといった事例は稀かもしれません。しかし、情報漏えいの事実が大きく報道されるなどするだけでも、その社会的影響は小さくないでしょう。結果として、顧客や取引先の信用を失うなどといった事態につながってしまうことも、少なくないのです。
自社Webサイトがサイバー攻撃に遭い、個人情報の漏えいが発覚しその事実が大きく報じられたとします。報道の影響で事業が滞ってしまうと、大きな機会損失となるだけでなく、事業が円滑に進まないことによる金銭的な損失も免れません。また、顧客や取引先の信用が低下することで、企業・ブランド自体の競争力低下を招いてしまう恐れもあるでしょう。
サイバー攻撃をはじめとする内外からの悪意ある第三者による不正
一般的に「サイバー攻撃」と呼ばれるインターネット上での攻撃の多くが、企業などのWebサイトを狙って行われます。
Webサイトを対象としたサイバー攻撃には、DoS攻撃やDDoS攻撃のように大量のアクセスを集中させるなどしてサイトの稼働を妨害する攻撃と、Webサイトに不正ログインしたり不正な内容を含むデータベース言語などを流し込んだりすることで、データを盗まれたりWebサイトの改ざんなどをされたりする攻撃とに大別されます。
また、外部からのサイバー攻撃だけでなく、社内の管理者権限を持たない人間が、管理者のアカウントを利用して不正アクセスを行い、データ入手やWebサイトの改ざんなどを行うケースもあります。
DDoS攻撃とWebサイトへの不正アクセスについては、下記のページで詳しく解説しています。
| 参考コラム:DDoS攻撃とは?攻撃を受けたらどうなる?基本の知識と対策 |
| 参考コラム:不正アクセスされたら?被害に遭った時の対処法とやるべきセキュリティ対策 |
サイバー攻撃などによって引き起こされる情報漏えいなどの被害
自社のWebサイトがサイバー攻撃を受けた場合、具体的にどのような被害が予測されるのでしょうか。もっとも多く、大規模になりやすい被害としては、企業サイト内で管理していた顧客や取引先などの重要な個人・団体に関する情報の漏えいや盗難です。
情報が漏れてしまったことで、それらの情報を悪用されて被害がさらに大規模化するといった事例は稀かもしれません。しかし、情報漏えいの事実が大きく報道されるなどするだけでも、その社会的影響は小さくないでしょう。結果として、顧客や取引先の信用を失うなどといった事態につながってしまうことも、少なくないのです。
被害に遭ったことによる機会・金銭・信用の損失
自社Webサイトがサイバー攻撃に遭い、個人情報の漏えいが発覚しその事実が大きく報じられたとします。報道の影響で事業が滞ってしまうと、大きな機会損失となるだけでなく、事業が円滑に進まないことによる金銭的な損失も免れません。また、顧客や取引先の信用が低下することで、企業・ブランド自体の競争力低下を招いてしまう恐れもあるでしょう。
企業サイトの運営に必要なWebセキュリティの種類
次に、企業がWebサイトを運営するにあたって必要となるセキュリティ対策にはどのようなものがあるかをご紹介します。具体的にどのような備えが必要か分かっておくことで、自社で講じるべき対策も見えてくるでしょう。
SSL化とは、Webサイト内のページを暗号化(HTTPS化)することを指します。ページを暗号化することで、Web改ざんやなりすまし被害、通信内容を盗まれるといった被害リスクを低減することが可能です。
常時SSL化は、重要なページだけではなくWebサイトの全ページをHTTPS化することを指します。ちなみにSSL化されたページのURL表示は「https」となります。
Webサイトの常時SSL化が行われていると、Google検索のアルゴリズムにおいても有利な表示がされるようになっています。具体的には、「https」ではなく「http」で始まるURLのページを開いた場合に「保護されていない通信」と表示される仕組みです。
Webサーバのセキュリティ対策も、必ず行っておかなければなりません。サーバにログインできるさまざまなアカウントを管理しておき、退職者や委託終了した外部委託者などの今後使用しないアカウントを速やかに削除します。
アカウント管理においては、パスワードや各ページファイル・ディレクトリへのアクセス権など、詳細な設定も細かに管理しておかなければなりません。
ネットワークのセキュリティにはさまざまなものが挙げられますが、Webサイトを脅威から守るには主に以下のような対策が重要です。
・ファイアウォールによるフィルタリング
・ルータなどによる不要な通信のブロック
・WAF(Webアプリケーションファイアウォール)の導入
・IDS/IPSの導入
・アクセスログの管理
これらの対策により、万一攻撃を受けた際にも被害拡大を防ぎ、早期の原因特定にもつながります。
Webアプリケーションの脆弱性を放置していると、悪用によるサイト改ざんに遭うリスクが高くなってしまいます。
脆弱性をそのままにしないためには、日常的に以下の対策を行うことが重要です。
システムファイルはインターネット上からアクセスできない状態にしておきましょう。それ以外のファイルやページであっても、不要になったものは都度削除して残さないようにします。
Webアプリケーションの作成に使用しているソフトウェアやフレームワークの脆弱性対策も、常に確実に行っておきましょう。もっとも近道なのは、バージョンアップを定期的に行って常に最新の状態にしておくことです。この際、バージョンアップがWebアプリケーションの動作に影響を及ぼさないよう、必ずテストサイトで試すようにしてください。
Webサイトのファイルやページ、アプリケーションなどに脆弱性が生じたら、すぐに対策する必要があります。しかし、自社で行える対策には限界もあるため、外部による脆弱性診断などのセキュリティ診断を受けておくことも重要でしょう。
Webサイトの常時SSL化
SSL化とは、Webサイト内のページを暗号化(HTTPS化)することを指します。ページを暗号化することで、Web改ざんやなりすまし被害、通信内容を盗まれるといった被害リスクを低減することが可能です。
常時SSL化は、重要なページだけではなくWebサイトの全ページをHTTPS化することを指します。ちなみにSSL化されたページのURL表示は「https」となります。
Webサイトの常時SSL化が行われていると、Google検索のアルゴリズムにおいても有利な表示がされるようになっています。具体的には、「https」ではなく「http」で始まるURLのページを開いた場合に「保護されていない通信」と表示される仕組みです。
サーバのセキュリティ対策
Webサーバのセキュリティ対策も、必ず行っておかなければなりません。サーバにログインできるさまざまなアカウントを管理しておき、退職者や委託終了した外部委託者などの今後使用しないアカウントを速やかに削除します。
アカウント管理においては、パスワードや各ページファイル・ディレクトリへのアクセス権など、詳細な設定も細かに管理しておかなければなりません。
ネットワークのセキュリティ対策
ネットワークのセキュリティにはさまざまなものが挙げられますが、Webサイトを脅威から守るには主に以下のような対策が重要です。
・ファイアウォールによるフィルタリング
・ルータなどによる不要な通信のブロック
・WAF(Webアプリケーションファイアウォール)の導入
・IDS/IPSの導入
・アクセスログの管理
これらの対策により、万一攻撃を受けた際にも被害拡大を防ぎ、早期の原因特定にもつながります。
Webアプリケーションのセキュリティ対策
Webアプリケーションの脆弱性を放置していると、悪用によるサイト改ざんに遭うリスクが高くなってしまいます。
脆弱性をそのままにしないためには、日常的に以下の対策を行うことが重要です。
【脆弱性対策・1】システムファイルの公開は避ける
システムファイルはインターネット上からアクセスできない状態にしておきましょう。それ以外のファイルやページであっても、不要になったものは都度削除して残さないようにします。
【脆弱性対策・2】ソフトウェアは最新の状態に保つ
Webアプリケーションの作成に使用しているソフトウェアやフレームワークの脆弱性対策も、常に確実に行っておきましょう。もっとも近道なのは、バージョンアップを定期的に行って常に最新の状態にしておくことです。この際、バージョンアップがWebアプリケーションの動作に影響を及ぼさないよう、必ずテストサイトで試すようにしてください。
Webサイトの脆弱性診断などのセキュリティ診断
Webサイトのファイルやページ、アプリケーションなどに脆弱性が生じたら、すぐに対策する必要があります。しかし、自社で行える対策には限界もあるため、外部による脆弱性診断などのセキュリティ診断を受けておくことも重要でしょう。
情報セキュリティの「3つの盾」
Webサイトのセキュリティ対策を行うにあたっては、情報セキュリティの「3つの盾」を意識しておきましょう。情報セキュリティの3つの盾(3要素)とは、以下の3つです。
・機密性
・完全性
・可用性
情報の機密性とは、情報資産を扱う権利を適宜付与し、それを持つ人だけが使える状態にしておくことを指します。機密性を高めるには、アクセス権の設定や暗号化などの対策が有用です。
完全性とは、情報資産を扱う権利を持ってない人により情報の変更がされていないことを確かにすることです。完全性を担保するには、改ざんの防止措置や検出などの対策が有用です。
可用性とは、情報資産を必要なときに使える状態にしておくことを指します。可用性のある状態に保つには、適正な電源対策やシステムの二重化、データのバックアップ、災害復旧計画などの対策が有用です。
これら3つが、情報の消失や改ざん、破損を防ぎ、安全に情報を取り扱うために必要となります。
・機密性
・完全性
・可用性
機密性
情報の機密性とは、情報資産を扱う権利を適宜付与し、それを持つ人だけが使える状態にしておくことを指します。機密性を高めるには、アクセス権の設定や暗号化などの対策が有用です。
完全性
完全性とは、情報資産を扱う権利を持ってない人により情報の変更がされていないことを確かにすることです。完全性を担保するには、改ざんの防止措置や検出などの対策が有用です。
可用性
可用性とは、情報資産を必要なときに使える状態にしておくことを指します。可用性のある状態に保つには、適正な電源対策やシステムの二重化、データのバックアップ、災害復旧計画などの対策が有用です。
これら3つが、情報の消失や改ざん、破損を防ぎ、安全に情報を取り扱うために必要となります。
Webサイトを守るためのセキュリティ対策
企業のWebサイトを守るため、具体的にどのようなセキュリティ対策を行っておく必要があるのでしょうか。ここでは、企業Webサイトの運営に欠かせないセキュリティ対策を具体的にご紹介します。
こちらは先に述べたとおりで、アプリケーションを最新の状態に保つことにより万一アプリケーションに脆弱性が生じた場合、それらを放置しないことにつながるためです。
WAFはアプリケーションの脆弱性を狙う攻撃を感知し、通信を遮断します。WAFがあれば攻撃を防げるだけでなく、脆弱性解消のための時間も確保できます。
IPSとは、第三者の攻撃を感知して通信を遮断するセキュリティシステムの一種です。WAFと異なるのは、ファイアウォールを通過してしまった攻撃に関しても通知を行ってくれる点です。IPSはWAFのセキュリティ性をより高めるツールとして有用で、WAFと併せての導入がおすすめです。
自社単位でセキュリティを高めるための対策を行うことも必要ですが、外部による診断で自分たちだけでは検証できなかった新たな脅威が見つかることもあり得ます。このため、定期的に脆弱性診断やペネトレーションテストを外部へ依頼することも重要です。
CDNとは、オリジンサーバへの負荷を分散させるコンテンツ配信ネットワークのことです。Webサイトへのアクセス集中によって起こる表示の遅延やサーバダウンなどを防ぐほか、オリジンサーバをDDoS攻撃などのサイバー攻撃から守り、サーバダウンのリスクを低減させるため、CDNの導入も有効なWebセキュリティ対策の1つです。
CDNの仕組みやその他のメリット・デメリットについては以下の記事で詳しく解説しています。
Webアプリケーションの定期的な更新
こちらは先に述べたとおりで、アプリケーションを最新の状態に保つことにより万一アプリケーションに脆弱性が生じた場合、それらを放置しないことにつながるためです。
ファイアウォール(WAF)の導入
WAFはアプリケーションの脆弱性を狙う攻撃を感知し、通信を遮断します。WAFがあれば攻撃を防げるだけでなく、脆弱性解消のための時間も確保できます。
| 参考コラム:WAFとは?ファイアウォールとの違いや仕組み、導入ポイントを解説 |
IPSの導入
IPSとは、第三者の攻撃を感知して通信を遮断するセキュリティシステムの一種です。WAFと異なるのは、ファイアウォールを通過してしまった攻撃に関しても通知を行ってくれる点です。IPSはWAFのセキュリティ性をより高めるツールとして有用で、WAFと併せての導入がおすすめです。
脆弱性診断やペネトレーションテストの実施
自社単位でセキュリティを高めるための対策を行うことも必要ですが、外部による診断で自分たちだけでは検証できなかった新たな脅威が見つかることもあり得ます。このため、定期的に脆弱性診断やペネトレーションテストを外部へ依頼することも重要です。
| 参考コラム:脆弱性診断とは?診断の分類や流れ、おすすめの診断サービスをご紹介 |
| 参考コラム:ペネトレーションテストとは?脆弱性診断との違いも解説 |
CDNの導入
CDNとは、オリジンサーバへの負荷を分散させるコンテンツ配信ネットワークのことです。Webサイトへのアクセス集中によって起こる表示の遅延やサーバダウンなどを防ぐほか、オリジンサーバをDDoS攻撃などのサイバー攻撃から守り、サーバダウンのリスクを低減させるため、CDNの導入も有効なWebセキュリティ対策の1つです。
CDNの仕組みやその他のメリット・デメリットについては以下の記事で詳しく解説しています。
| 参考コラム:CDNとは?CDNの基本からメリット・デメリット、業者選定のポイントを解説 |
大企業に限らず、すべての企業でWebセキュリティの強化が必要
サイバー攻撃は、大企業や公的機関などの大手Webサイトのみがターゲットにされるものと思われがちです。しかし、中堅・中小企業のWebサイトを踏み台として大手へ大規模攻撃を仕掛けるケースも増えており、これらは「サプライチェーン攻撃」と呼ばれます。
2020年に発生した、大手電機メーカーへの不正アクセスの事例です。
この例ではメーカーのWebサイトが直接攻撃されたのではなく、中国にある関連会社のWebサイトを初めに攻撃し、そこから本社のパソコンに侵入を図ったものとみられています。この攻撃により、本社や重要関連会社のパソコン約120台、サーバ約40台の内部情報が流出した可能性が指摘されています。
2022年2月に発生し、新聞などでも大きく報じられた事例です。
まず、大手自動車メーカーの部品仕入れ先にあたる企業に「ランサムウェア」、つまり身代金要求型マルウェアが送りつけられました。マルウェアでの直接的な被害はありませんでしたが、状況確認と被害拡大防止のために部品仕入れ先はサーバの全停止を余儀なくされることに。その影響で、大手自動車メーカーでの製造に必要な部品を納入することができなくなり、結果的に自動車メーカーの国内計14工場が操業を止める事態となりました。
上記どちらの事例でも、関連会社や仕入先などの比較的規模の小さい企業へのサイバー攻撃をきっかけに、親会社や取引先へと被害が波及しています。事例2の自動車メーカーと部品メーカーは企業同士の付き合いが長かったことなどから、事件後も変わらぬ取引が続いているようですが、付き合いの浅い企業同士であったならばサイバー被害をきっかけに取引がなくなる恐れもあったでしょう。
Webサイトのセキュリティは、企業規模の大小を問わず全企業に必要と考え、上記のような事例を他人事と思わず取り組むことが重要です。
代表的なサプライチェーン攻撃の事例
【サプライチェーン攻撃事例・1】2020年 大手電機メーカーへの不正アクセス
2020年に発生した、大手電機メーカーへの不正アクセスの事例です。
この例ではメーカーのWebサイトが直接攻撃されたのではなく、中国にある関連会社のWebサイトを初めに攻撃し、そこから本社のパソコンに侵入を図ったものとみられています。この攻撃により、本社や重要関連会社のパソコン約120台、サーバ約40台の内部情報が流出した可能性が指摘されています。
| 参考コラム:不正アクセスされたら?被害に遭った時の対処法とやるべきセキュリティ対策 |
【サプライチェーン攻撃事例・2】2022年 大手自動車メーカーの仕入先でのランサムウェア被害
2022年2月に発生し、新聞などでも大きく報じられた事例です。
まず、大手自動車メーカーの部品仕入れ先にあたる企業に「ランサムウェア」、つまり身代金要求型マルウェアが送りつけられました。マルウェアでの直接的な被害はありませんでしたが、状況確認と被害拡大防止のために部品仕入れ先はサーバの全停止を余儀なくされることに。その影響で、大手自動車メーカーでの製造に必要な部品を納入することができなくなり、結果的に自動車メーカーの国内計14工場が操業を止める事態となりました。
| 参考コラム:ランサムウェアとは?想定される被害や、主な感染経路・対策方法 |
上記どちらの事例でも、関連会社や仕入先などの比較的規模の小さい企業へのサイバー攻撃をきっかけに、親会社や取引先へと被害が波及しています。事例2の自動車メーカーと部品メーカーは企業同士の付き合いが長かったことなどから、事件後も変わらぬ取引が続いているようですが、付き合いの浅い企業同士であったならばサイバー被害をきっかけに取引がなくなる恐れもあったでしょう。
Webサイトのセキュリティは、企業規模の大小を問わず全企業に必要と考え、上記のような事例を他人事と思わず取り組むことが重要です。
アクセリアは企業のWebセキュリティ対策を支援します
企業サイトは規模を問わず、常にサイバー攻撃などの脅威にさらされています。万が一不正アクセスやマルウェア感染などが起これば、情報漏洩やそれによる信用失墜などへつながります。企業サイトでの1件のセキュリティ事故が、複数の顧客を失うきっかけともなりかねません。
弊社アクセリアでは、企業のWebサイトを守るにあたって強力な味方となるソリューションを複数ご提供しています。
様々なタイプのCDNサービスをはじめ、セキュリティエンジニアが検証を重ね、ITに加えOT(制御テクノロジー)にまで及ぶセキュリティサービス、幅広いサイバーリスクに対応する保険サービスなど、他社にない包括的なラインナップが特長となっています。
機能や利便性を貴社のビジネスに最大限お役立ていただけるよう、アクセリアの経験豊富な日本人エンジニアがサポートいたします。
貴社のご状況や課題に合わせてコーディネートいたしますので、どうぞお気軽にご相談ください。
▶ご相談はこちらから
▶アクセリアのサイバーレジリエンスサービスソリューションのご紹介
弊社アクセリアでは、企業のWebサイトを守るにあたって強力な味方となるソリューションを複数ご提供しています。
様々なタイプのCDNサービスをはじめ、セキュリティエンジニアが検証を重ね、ITに加えOT(制御テクノロジー)にまで及ぶセキュリティサービス、幅広いサイバーリスクに対応する保険サービスなど、他社にない包括的なラインナップが特長となっています。
機能や利便性を貴社のビジネスに最大限お役立ていただけるよう、アクセリアの経験豊富な日本人エンジニアがサポートいたします。
貴社のご状況や課題に合わせてコーディネートいたしますので、どうぞお気軽にご相談ください。
▶ご相談はこちらから
▶アクセリアのサイバーレジリエンスサービスソリューションのご紹介
アクセリア株式会社
サービス事業部
Contact usお問い合わせ
サービスにご興味をお持ちの方は
お気軽にお問い合わせください。
Webからお問い合わせ
お問い合わせお電話からお問い合わせ
03-5211-7750
平日09:30 〜 18:00
Free Service