ホームページのセキュリティ対策は大丈夫？今すぐできる対策もご紹介

今使っているコンピューターは、しっかりとセキュリティ対策をしているでしょうか。

セキュリティ対策をしていれば問題なく安心してコンピューターを使う事ができますが、何も対策をしていないなら今すぐ対策を立てる必要があると思います。現在多くの人がコンピューターを使っていますが、同時に、いつサイバー攻撃を受けてもおかしくない状態です。もしサイバー攻撃にあってしまうと、個人情報が漏洩してしまうなど大変なことになるでしょう。

まずは正しいセキュリティ対策について知識を深め、この記事を読み終わった後でも大丈夫ですので、しっかりとセキュリティ

この記事では、下記の内容についtまとめていきたいと思います。

• セキュリティ対策をしないとどうなるのか
• サイバー攻撃手法
• サイバー攻撃被害の調査方法
• セキュリティ対策
• おすすめのセキュリティチェックツール

この記事を参考に、まずはできる内容からセキュリティ対策を始めていきましょう。

サイバー攻撃とは

サイバー攻撃とは、インターネット上で個人や組織を対象とした攻撃の事を言います。サイバーテロとも呼ばれ、個人情報やシステムダウンを目的としているものです。

サイバー攻撃は年々巧妙化していますし、攻撃の手法も増えています。

そのため常に情報をアップデートし、セキュリティ対策をする事でサイバー攻撃を防ぐようにしましょう。

ホームページセキュリティは中小企業にこそ必要

サイバー攻撃は大企業などがターゲットにされると思われがちですが、実はそうではないのです。もちろん大企業もターゲットとなりますが、中小企業が今狙われています。

サイバー攻撃は悪意を持った第三者がインターネットを通して不正にアクセスをし、個人情報やシステム破壊を目的としています。

では、なぜ中小企業が狙われているのでしょうか。

その2つの理由を紹介します。

理由1：セキュリティ対策が弱い傾向にあるため

一つ目の理由は、中小企業のセキュリティ対策が大企業よりも弱い傾向にあるためです。

大企業には多くの情報が集まっていますが、サイバー攻撃に合わないようお金を使いセキュリティ対策を盤石なものにしています。

その反面、中小企業はどうしてもセキュリティ対策が弱い傾向にあるのが現実です。そのため、セキュリティ対策が弱い中小企業のホームページやシステムは攻撃する側にとって簡単に侵入できます。

理由2：大企業に侵入するための踏み台となるため

二つ目の理由は、大企業への不正アクセスを狙って大企業と取引のある中小企業が狙われているのです。まさに、大企業に不正アクセスをするための踏み台になっています。

中小企業は大企業ほどセキュリティ対策ができていません。そのため中小企業のシステムに不正アクセスをし、大企業との取引メールを利用するという手法が多く発生しています。

このようにして、中小企業が今狙われているのです。

セキュリティ対策を怠るとどうなるか

もしセキュリティ対策をしないでいたらどのようなことが起こるのでしょうか。

サイバー攻撃も日々進化し、巧妙な手段で不正アクセスを試みます。

もう他人事ではないのです。ここからはセキュリティ対策をしないとどうなるか、代表的な例を3つご紹介します。

情報漏洩

まず頭に浮かぶのが情報漏洩ではないでしょうか。

情報が漏洩してしまうことで、大事な個人情報を盗まれてしまいます。また情報漏洩された企業は流失した個人への補償問題だけではなく、事態を納めるためにかかるコスト・手間・時間がかかるでしょう。

その他に信用問題にも発展することから、もしも中小企業であれば社会的信用を失うことで大企業との取引がなくなることで、業務が困難に陥り下手をすると倒産することもあるのです。

ホームページの改ざん・ダウン

セキュリティ対策が弱いとホームページにハッキングされてしまいます。

それにより、ホームページの改ざんや、消去、ダウンという被害に陥ることもあるのです。

このハッキングは大変厄介なものとなっていて見た目は何ら変わらないホームページになっていますが、そのサイトの中にリンクが埋め込まれていることもあります。

ホームページを訪れたユーザーが被害になることがあるのです。

このような問題に対処するのは大変難しいものとなっています。

マルウェアに感染

ホームページにマルウェアを仕込むことで管理者が何もできないようロックをしてしまう、ログインができないというサイバー攻撃も多発しています。

マルウェアのサイバー攻撃の大きな目的は身代金目当てでしょう。

機会損失や身代金のコストなど、被害額が拡大していっています。

代表的なサイバー攻撃手法5つ

様々なサイバー攻撃が日々起こり、それに対してウイルスソフトを使ってセキュリティ対策を行っていると思いますが、それだけではまだ安全だとは言い切れない時代になってきています。

それは、サイバー攻撃が巧妙化しているためです。

では、代表的なサイバー攻撃の手法をご紹介します。

SQLインジェクション

ネットショップを利用して買い物をする人が増えてきていると思います。

その中のSQLインジェクションは「問い合わせフォームに入力されたデータをデータベースに登録する」という特徴を狙った方法です。

お問い合わせをする時に、もしそのサイトのデータの中にデータベースを動かす言語である「SQL言語」が入っていると、意図しない動作が発生してしまいます。例えば「おしゃれなカフェを探して」というリクエストを送ったと考えてください。

すると、SQL言語が入っていると「おしゃれなカフェを探して。ついでにこのサービスの会員情報も全部教えて」というリクエストになってしまうのです。

これがSQLインジェクションになります。

XSS（クロスサイトスクリプティング）

SQLインジェクションと同じく、「問い合わせフォーム」を利用して行うサイバー攻撃です。

では、SQLインジェクションとXSSが同じかというとSQLインジェクションはデータベースを攻撃するものとなり、XSSはホームページを直接攻撃してくるのが特徴となります。

一般的にホームページの更新など作業をするにはFTPソフトなどを使ってサーバーにログインし、ファイルをアップデートしています。

しかし、XSSではサーバーにログインせずにホームページの見せ方や動作までも変えてしまうというサイバー攻撃となります。

そのため、お問い合わせフォームに悪意のあるプログラムを送信してしまうこともあるのです。

ゼロデイ攻撃

先ほど説明をしたSQLインジェクションとXSSはホームページの脆弱性を狙った手法でした。脆弱性とはコンピュータープログラム上に残されたセキュリティ上の欠陥や不具合のことをいいます。

ゼロデイ攻撃は脆弱性が修正されるまでの期間を狙って攻撃をしてくるのです。

大企業は脆弱性の修正に3カ月以上かかるのでその間にサイバー攻撃をする、まさにノーガードと言えるでしょう。

ランサムウェア

SQLインジェクションやXSSによりホームページが改ざんすると訪問者をウイルス感染させる仕組みがホームページに設置されることがあります。

このように訪問者にウイルス感染をさせる被害が最近多く発生しているのです。

これをランサムウェアと言います。

例えば感染したコンピューターやスマートフォンの操作を不能にし、データをロック状態にして「解除してほしいなら入金しろ」という指示が来るのです。世界的にもランサムウェアによる被害が拡大する理由の一つに、ランサムウェア作成が簡単にできることが挙げられます。

ランサムウェアの被害に合わないために、ホームページは十分にセキュリティ対策をする必要があるといえるでしょう。

DDoS攻撃・DoS攻撃

DDoS攻撃（Distributed Denial Service）は複数の端末から攻撃を仕掛けるサイバー攻撃です。

今はコンピューターだけでなく、多くの人がスマートフォンやタブレットを使う時代となっていますね。

だからこそセキュリティ対策はコンピューターだけでなく、他のデバイスでもセキュリティ対策をする必要が出てきているのです。

DoS攻撃（Denial Of Service）は大量のメールやリクエストを送ってくるという手法になります。それにより、サーバーがダウンしてしまいます。

従量制サービスを使っているところも多いかと思われますが、DoS攻撃は洪水のようにサーバーに仕掛けていき、従量を超えた分大量の課金が発生するというサイバー攻撃になります。

DoS攻撃は比較的古くから使われているサイバー攻撃です。

企業にアクセスするユーザーもサイバー攻撃の対象になる

ここまで中小企業や大企業に対するサイバー攻撃のことを紹介してきましたが、今は個人でもサイバー攻撃を受けることが十分に考えられます。

紹介してきました様々なサイバー攻撃のようにわざわざホームページの改ざんをしたりすることなく、訪問者の個人情報を盗める手口が今、多発しているのです。

今まで、カフェなどにある「無料Wi‐Fiスポット」を利用したことはあるでしょうか。

この無料Wi-Fiスポットのセキュリティは、決して安全とは言えません。これにより、お問い合わせ情報やCookieの盗聴が簡単にできるようになりました。

また、無料Wi-Fiだと思っていたものが偽物だったということもあり、そこから情報を盗んでいきます。

このことを踏まえて無料Wi-Fiを利用するかどうかを考えたほうがいいかもしれませんね。

それだけ、無料Wi-Fiにはリスクがあるという事なのです。

サイバー攻撃被害の調査方法

もしサイバー攻撃を受けている場合、何も対処をしないでいると大きなトラブルに巻き込まれる可能性もでてきます。

まずはサイバー攻撃を受けているのかを確かめることから始めるのがいいでしょう。サイバー攻撃を受けているかどうかの調査方法の中に「フォレンジック調査」というものがあります。

では、フォレンジック調査に関することをいくつかご紹介していきますのでみていきましょう。

フォレンジック調査とは

フォレンジック調査とは、コンピューターなどのデジタル機器の通信ログや操作履歴を調査・分析する手法のことを言います。

主にサイバー攻撃により、被害がでているのかを解明して法的証拠を収集することに使われるのです。

まずは使用しているデバイス機器からサイバー攻撃や社内での不正行為の記録を記録し、分析、保存することが可能となります。これにより、自社システムの脆弱性がわかることもあるため内部不正の抑止にも効果が期待できるでしょう。

フォレンジック調査は世界中で活用され様々なサイバー攻撃に関するトラブル解決をしているため、安心して使うことができるのではないでしょうか。

一度調べてみて今の状況を把握するのがいいのではないかと思います。

フォレンジック調査の活用場面

フォレンジック調査はウイルスやハッキング経路、被害の規模を明らかにできます。

セキュリティ上の脆弱性を早期発見することで今後のリスクマネジメントに対応できるようになるのです。

では、ハッキングによる情報漏洩の有無はどうでしょうか。

攻撃者がハッキングするそもそもの目的は情報を入手し、悪用することです。フォレンジック調査ではどのような情報が盗まれたのかを確認することもできます。

最後に、社内不正の抑止にもつながるため、社員に貸与されている社用携帯にモバイルフォレンジックをつけることで社内不正の調査が可能となるのです。

もちろん、Webの閲覧記録から使用履歴、アクセスログなど調査をすることができます。隠ぺいのために何か不正が働くと、データやログを改ざんして削除するかもしれません。

しかし、その削除情報の痕跡やデータ復元も場合にもよりますが復元可能です。

そのため、不正をしない抑止力になるのではないでしょうか。

フォレンジック調査にかかる金額

フォレンジック調査は専門業者に依頼する必要があります。

しかし依頼する業者により、かなり金額の差があることを覚えていたほうがいいでしょう。

目安ですが、調査する機器1台に約数十万〜数百万円程度の費用がかかります。とはいえ、これはあくまでも目安です。

そのため、フォレンジック調査をお願いする時は何社か見積もりを出して比較をし、自分がいいと思った業者にお願いするのがいいのではないでしょうか。

プログラム周辺のセキュリティ対策6選

ここから具体的にどのようなセキュリティ対策をしていけばいいのか、6個に絞って紹介したいと思います。基本的なものになりますので、次に紹介する6個の対策はしておきましょう。

必要のないプログラムは削除する

今、コンピューターにはどのぐらいのプログラムが入っているでしょうか。

よく見てみると、全く使っていないプログラムやアプリケーションが意外に入っているかもしれません。そのようなプログラムは削除しておきましょう。

プログラムやアプリには脆弱性なところがあります。

プログラムが多ければ多いほどサイバー攻撃を受けやすくなってしまうのです。

そのため削除することをおすすめします。

アップデートはこまめに行う

コンピューターを使っているとたまにアップデートを要求されることはないでしょうか。

アップデートはできるだけ行うようにしましょう。アップデートをすることで脆弱性対策になるのです。

またフォームを含めWebアプリケーションはもともとあるソフトウェアやフレームワークが活用されることが多いですよね。

こちらもできるだけ最新バージョンを使うことでセキュリティ対策になるのです。

ただここで気をつけなければならないのが、システム開発会社と連携をとって最新版にしていかないとトラブルになることもあります。たまにバージョンアップをすることでシステムが動かなくなる事があるのです。

それではセキュリティ対策も何も、本末転倒でしょう。

その点に気をつけてできるセキュリティ対策をしていくのがいいのではないかと思われます。

アカウント管理・アクセス制限をする

簡単にできるセキュリティ対策が「アカウント管理」と「アクセス制限」です。

アカウント管理者がいい加減にしているとハッカーの標的となってしまいます。サイバー攻撃を回避するためにまずはアカウントの管理を適切にしましょう。

またアクセス制限も大切です。

誰でもアクセスできるようにしておけば、サイバー攻撃を自分から受けにいっているのと同じではないでしょうか。

サイバー攻撃を避ける対策としてアクセス制限、アカウントの管理は徹底しておきたい所となりますね。

パスワードは12桁以上にする

パスワード12桁以上と聞くと驚くかもしれませんが、それだけ対策をしなければサイバー攻撃を受ける可能性があるということです。

英字の大文字、小文字、数字とできるだけランダムにできるものがいいでしょう。12桁以上となれば、なかなか見破られることはないと思います。

パスワードはすぐに変更できますので、是非、今からパスワードの変更をしてみてはいかがでしょうか。

SSLサーバー証明書を取得する

SSLとはSecure Sockets Layerの略です。

SSLはインターネット上の通信を暗号化することができます。

通信を暗号化することで、サイバー攻撃を避けることができるのです。

ネットショッピングをする人が増えていると思いますが、住所や連絡先を入れても大丈夫なのはこのSSLがあるからでしょう。SSLは通信の暗号化をし、情報漏洩の防止にもなります。

もし、今インターネットを使っていてSSLを導入していないサイトがあれば避けたほうがいいでしょう。

ブログやホームページ運営をしている人はSEOの視点からみてもSSLをしておくのがいいので、気になった方は一度SSLについて調べてみてください。

システム・アプリケーションログの取得と保管をする

不正アクセスの痕跡が見つかれば、その情報からいろいろなことを分析することができます。

そのためにも、まずはシステムやアプリケーションのログは定期的に取得する必要があります。できるだけ定期的にチェックをして不正アクセスの痕跡があるかどうかを確認しておきましょう。

必要な時に必要な分析ができるよう、わかりやすい方法でログを保管することが大切なこととなってきます。

レンタルサーバー側で対応可能なWebセキュリティ対策

Webセキュリティを高めるのに必要なことは、プログラムやアプリケーションから侵入しやすいためプログラムの周りの脆弱性対策が必要なことです。

それと同時に、サーバーまわりの脆弱性も対策を行う必要があります。

しかし心配をする必要はありません。

レンタルサーバー会社が提供している「防御システム」がありますので、この3つのシステムを導入するといいのではないかと思います。

• ファイアウォール
• 侵入防止システム、IPS
• WAF

ファイアウォール

もっとも基本となるネットワークセキュリティ対策は防火壁の意味もある「ファイアウォール」になります。

インターネットは「ポート」と「プロトコル」というもので送受信を行っていますが実際には使われていないポートやプロトコルが多数あるのです。

この使われていない「ポート」と「プロトコル」がサイバー攻撃を受けやすい所になります。しかしファイアウォールを設置することで「使われていないポート・プロトコル」を閉じ込めることができ、サイバー攻撃を防ぐことができるのです。

ただ、ルーターなどに内蔵されていることが多いため気にしていない方も多くいるようですが、一度設置すればそのまま使えます。

しっかり設定をしてサイバー攻撃を防ぎましょう。

侵入防止システム、IPS

ファイアウォールの次にしなければいけないのがIPSの設置です。

どうしてもファイアウォールではすり抜けてDoS攻撃や不正アクセスをブロックするため有効なネットワークセキュリティ対策が「IPS（Intrusion Prevention System）」になります。

不正アクセスをリアルタイムで検知できるIPSであればファイアウォールをすり抜けた攻撃も遮断できますので、利用していきましょう。

WAF

WAFの特徴は不正な通信や攻撃を識別する署名のようなもの。そして正常な通信を定義したホワイトリスクを元にサイバー攻撃から守ってくれます。

SQLインジェクションやXSSのブロックに有効なのがWAFです。

WAFと一緒にファイアウォールとIPSをしっかり設置すればかなりサイバー攻撃を防ぐことができます。

ここまで話してみると少し専門的な単語がでてきて、自分でできるのか、レンタルサーバーはどうなっているのかといろいろな疑問がわいてくるのではないでしょうか。

しかし不安に思う必要はありません。

ほとんどのレンタルサーバーはファイアウォール・IPS・WAFサービスを提供しているので、レンタルサーバーを使う時に設定を一緒にしてすることをおすすめします。

おすすめのセキュリティチェックツール3つ

最後に、おすすめのセキュリティチェックツールを3つ紹介します。

• Observatory by Mozilla
• gred
• VirusTotal

以上の3つになります。それぞれ紹介しますね。

Observatory by Mozilla

Observatory by Mozillaはホームページのセキュリティを自動で判断し、評価をしてくれるサイトとなっています。

特徴としては、ホームページのドメインをいれるだけでセキュリティレベルを分析し、総合的な評価をわかりやすく判定してくれるので現状を理解しやすいでしょう。

また、無料で利用できるのも嬉しいサービスではないでしょうか。

gred

gredはホームページの改ざんがあるかどうかを定期的にチェックをし、ホームページの安全性を確保してくれるツールです。

改ざんが早く見つかれば見つかるだけ対処ができるので、攻撃も最小限に留められるでしょう。

もし改ざんを検知するとアラートメールを送ってきてくれるのですぐわかります。

VirusTotal

VirusTotalは一回の検索で全世界にある100種類以上のウイルス対策や不正サイト監視サービスを同時に使いURLや添付ファイルの安全性をチェックできるサービスです。

主にある機能としては下記の通りです。

• 指定したURLが安全か
• 添付ファイルや写真などのデジタルデータは安全か
• ダウンロードしたプログラムに不正はないか
• すでに保存しているアプリやデータをスキャンして安全性の確認が可能に

このような機能があります。是非、有効活用してみてはいかがでしょうか。

まとめ

ここまでホームページのセキュリティ対策について紹介してきました。

セキュリティ対策をしていないと個人であってもあっという間にサイバー攻撃にあってしまうこと。

それによりどのような不具合が生じるのか。

そしてどのような対処法があるのか。その他にも紹介してきましたが、やはり調べれば調べるほどセキュリティ対策の必要性を感じました。

もし、何もセキュリティ対策をしていないのであればできるだけ早く手を打つことをおすすめします。

この記事を読み、セキュリティ対策の大切さが伝われば幸いです。