2024.09.05
ウェブサイトのセキュリティ対策(1/3)
目次
中小企業の経営者や情報システム担当者の皆さん、日々のセキュリティ対策、お疲れ様です。
今回はビジネスの中でも重要であり、誰もが利用するホームページやネット通販のECサイト等、「ウェブサイトのセキュリティ」についてお伝えします。このシリーズは全3回を予定しています。
1.ウェブサイト利用の拡大
近年、スマートフォンの普及により、時間や場所を問わずウェブサイトを利用する人が増えています。商品やサービスの情報収集、インターネット通販でのショッピングやサービスの予約など、ウェブサイトの利用シーンは多岐にわたり、今や生活に欠かせないツールとなっています。
企業にとっても自社のウェブサイトは顧客との重要な接点であり、その運営は顧客獲得や売上向上に直結します。
多くの中小企業も例外ではなく、自社ウェブサイトを活用していますが、これによりセキュリティリスクも増加しています。
ウェブサイトはインターネット上に公開されているため、世界中の誰でもアクセス可能です。そのため、攻撃の対象になりやすく、悪意のある攻撃者によるサイト改ざんや情報漏えいのリスクが伴います。
ウェブサイトのセキュリティ対策が不十分であれば、顧客情報の漏えいや改ざんによる不正サイトへの誘導が発生する危険性が高まります。それにより、自社だけでなく、利用者にも被害が発生することが懸念されます。
したがって、ウェブサイト運営と同時に適切なセキュリティ対策を講じる必要があるのです。
2.ウェブサイトのセキュリティの必要性
「セキュリティ」という言葉を聞くと、多くの人が秘密情報や個人情報等、非公開の重要情報の漏えい防止を連想します。しかし、企業のホームページなどの公開情報も攻撃の対象となり得るため、セキュリティ対策は不可欠です。
現代のウェブサイトは、単に公開情報であるコンテンツの表示だけでなく、問い合わせフォームや、ショッピング機能を設けたりして、ウェブサイトの利用者から個人情報等を入力させることも多くあります。
利用者から得た情報はウェブサイトのシステム構造によっては、ウェブサーバー内に保存されます。そのため、ウェブサイトのセキュリティ対策を講じていないと、サーバー内の情報を簡単に抜き取られてしまう危険性があるのです。
サイバー攻撃による情報漏えい等の被害がなくならないのは、ウェブサイトに対するセキュリティ対策の必要性を認識せず、対策を講じていないサイトが多数存在することも一因です。被害を防ぐには、ウェブサイトのセキュリティ対策は必須であることを認識することが重要です。
3.ウェブサイトの運用形態の検討
ウェブサイトの利用が拡大する中、企業はどのような形態でサイトを運用するか、慎重に検討する必要があります。
サイト構築から運用するための様々なツールや便利なサービスがあります。企業が自社のウェブサイトを構築し運用する際、利用するツールやサービスの選択肢が増え、利便性が向上している一方で、自社サイトで実現したいことができるかどうかの選別やコスト、運用に必要な技術レベルを考慮する必要があります。
また、運営形態によって、提供できる機能やカスタマイズなどの自由度が異なり、必要なセキュリティ対策も変わってきます。特に個人情報を取り扱う場合、サイト運営者は常に最新の脅威に対し対策ができているか気を配る必要があります。
運営者はウェブサイトを構築する前に、下の表に示す運営形態ごとの特徴を理解し、組織の状況に応じた最適な運営形態を選定する必要があります。
【運営形態ごとの特徴】
| 運営形態 | 特徴 |
|---|---|
| サーバー自社設置 (オンプレミス) | ネットワークやサーバーなどの用意から、稼動するウェブサイトの 構築・運用まで、全て自社で行う運営形態。 全ての情報セキュリティ対策を自社で行う必要があります。 |
| レンタルサーバー・ クラウドサービス (PaaS) | ネットワークやサーバーなどは外部サービスを利用し、ウェブサイ トの構築・運用のみ自社で行う運営形態。ネットワークやサーバー の情報セキュリティ対策は外部サービスが行うため、ウェブサイト の構築・運用面に関わる情報セキュリティ対策のみ自社で行う必要 があります。 |
| ショッピングモール・ASP | ウェブサイトの開設に必要な機能や運用を一括して外部サービスを 利用し、ウェブサイトに掲載する文章や画像や動画などのコンテン ツだけを自社で更新する運営形態。 外部サービスを利用するための認証情報を、ウェブサイト運営者が 適切に管理する必要があります。 |
4.ウェブサイトの構築
ウェブサイトの「安全上の欠陥」(脆弱性)が狙われる事件が後を絶ちません。サイトの安全を維持するためには、サーバーOSやソフトウェアに対して脆弱性修正パッチの適用や、安全な設定を維持することが重要です。
しかし、独自に開発する「ウェブアプリケーション」※については、情報セキュリティ上の問題が発覚した場合、サービスの継続提供やコストなどの観点から、設計レベルからの修正が難しい場合が少なくありません。そのため、軽減策で対応せざるをえないこともあります。したがって、開発段階において、可能な限り脆弱性を解消することが望まれます。
また、開発を委託して脆弱性が原因で事故が発生した場合、発注者の責任を問われることもあります。そのため、脆弱性対策を要求仕様に盛り込む必要があります。ウェブアプリケーションを開発する際には、必ず脆弱性対策を実施してください。
※インターネットなどのネットワークを介して使用するアプリケーションソフトウェア
5.ウェブサイトの運営
ウェブサイトの安全な運営を実現するためには、サイトを構成する要素ごとに適切なセキュリティ対策を実施することが重要です。例えば、ウェブサーバーの管理、ソフトウェアの更新、アクセス制限、データ暗号化など、多岐にわたる対策が求められます。いずれかの対策が欠けても、ウェブサイトの安全性は確保できません。
これからウェブサイトを構築する場合も、既に運用している場合も、次に示すチェックポイントを参考に、セキュリティ対策の有無について確認してください。
【ウェブサイトのセキュリティ対策チェックポイント】
| 1 | ウェブアプリケーション | のセキュリティ対策 |
| 2 | ウェブアプリケーションが稼働しているウェブサーバー | |
| 3 | ウェブサーバーが設置されているルーターやファイアウォール | |
| 4 | その他バックアップ等 |
なお、本稿は、IPAが発行している「中小企業の情報セキュリティ対策ガイドライン第3.1版」を参考に解説しています。
次回は、ウェブサイトのセキュリティ対策について、より具体的に解説します。
おすすめ記事
2024.08.23
2024.09.16
2024.08.20
2024.10.16
2024.09.02
