COLUMN
コラムWebセキュリティとは?ホームページを守る基礎知識や対策方法!

パソコンの安全を守るうえでも、Webセキュリティが昨今の関心を集めています。
ホームページを守るうえで、大切な役割をしているのではないかと推察されますが、どのように対策をしたらよいのでしょうか。
本記事では、Webセキュリティについて、その基礎知識からはじまり、その種類や対策まで広く紹介します。
Webセキュリティとは
ホームページは、Webサイトでその運用がなされています。
パソコンなどを使用して、ネット環境につながっているわけであり、ネット環境の影響を色濃くうけることになります。
昨今、ネット環境においては、いまのところ大企業中心ではありますが、外部からのいろいろなサイバー攻撃が話題となっており、たとえば銀行などでも業務が一時停止したりしています。
このため、そこで運用されているホームページなどもセキュリティ対策が非常に重要になってきます。ネット環境につながっている以上、これらの脅威から身を守ることが特に大切です。このような脅威から安全に運用するための対策が、Webセキュリティとよばれています。
サイバー攻撃とその影響
Webセキュリティに脅威をおよぼすのが、いろいろなサイバー攻撃となります。
サイバー攻撃とは、外部からホームページを運用しているパソコンやサーバーのなかに入って、攻撃をしかけることです。ネット上のすべてのWebサイトにその影響がおよぶ可能性があり、その攻撃を過少評価することはできません。
Webサイトがサイバー攻撃にあうとどのような状況となるのでしょうか。
たとえば過剰なサーバー負荷などがあります。これはサーバーに外部から多くの攻撃が一緒にくるため、一時的に大きな負荷がかかり、Webサイトへのアクセスが難しくなったりします。このような状態では、自社のホームページは正常に稼働することはできません。昨今の外部からのサイバー攻撃で銀行業務などが、一時的な停止に追い込まれていることと同様なものです。
またそれ以上に問題となるのが、自社が保有する情報流出です。
ホームページでは、顧客情報などのお客様に関するいろいろな情報を扱っています。このような情報が外部に流出すれば、昨今よくあるようにすぐ新聞沙汰となってしまうことになります。これは企業にとって大変なダメージをあたえます。企業ブランドの価値低減にさらにつながったり、信頼性の大幅ダウンということになりかねません。
顧客情報とは、顧客に関して、自社が取り扱っているあらゆる情報のことをさします。
個人情報保護法により、顧客情報の適切な管理がもとめられています。
顧客が個人であれば、名前や住所や、問い合わせ履歴などのすべての情報が対象です。このため保護法の趣旨にのっとった適切な管理が必要となります。
このように重大な影響をあたえるサイバー攻撃に対して、いろいろな対策をとることは、ホームページを運用する企業や個人にとっても非常に大切です。
サイバー攻撃の種類

Webサイトがサイバー攻撃をうける場合、どのような脅威があるのでしょうか。
その主なサイバー攻撃の種類についても紹介します。
DDos 攻撃
攻撃対象となるパソコンなどに大量のサーバー負荷をかけさせる行為であり、Webサイトに対して、過剰なアクセスやデータが送りつけられます。
昨今よくある脅威もあり、いまのところは銀行や大企業などが対象となっていますが、今後はさらに中小のサイトが狙われる可能性もあります。国外のいろいろな悪意ある集団などからの、一斉攻撃によるものとなります。
SQLインジェクション
データベース上のシステムを外部から操作するというサイバー攻撃となります。
外部から操作するというのはおだやかではありませんが、Webサイトのセキュリティ上の脆弱性や弱点などを足がかりとして、外部から操作が可能となってしまいます。
この攻撃をうけるとホームページなどにある情報の書き換えや情報自体の消去などの被害にあう可能性があります。
クロスサイトディスクリプション
XSSともよばれますが、ホームページなどの管理者以外に、外部からの攻撃で勝手に外部へのリンクなどを貼り付け、悪意ある外部のWebサイトへ誘導するものです。
昨今やや下火にはなっていますが、外部のサイトにたくみに誘導することにより、顧客情報など、自社ホームページと間違えて入力された、いろいろな情報がすべて抜き取られてしまいます。また自社サーバーも乗っ取られてしまう可能性が高く、深刻な事態を引き起こします。
クロスサイトリクエストフォージェリ
CSRFともよばれますが、XSSと同様にWebサイトにある掲示板などが直接的に攻撃をうけるものです。
CSRF攻撃をうけたホームページなどのWebサイトに、従来からの顧客が間違って訪れると、顧客情報がそのまま盗まれてしまいます。さらには抜き取られた顧客情報を使用して、勝手に商品を注文されるなどの被害が多発することになります。これもホームページを運用する企業や個人にとって、重要な脅威となり自社の信頼性が大幅に低下することにもつながります。
サイバー攻撃への対策

次に、サイバー攻撃へのいろいろな対策についても紹介します。
データのバックアップ
クラウド環境では、データ消失などやサイバー攻撃では、データ自体が狙われることが多いため、定期的なバックアップもしておくと安心です。
簡易な方法としては、外付けHDDなどの外部機器にコピーしておきます。データ自体は盗まれても、自社の運用環境を復帰できる可能性が高まります。
ファイアウォールやIPSの使用
単純な方法ですが、ファイアウォールを使用することも効果的です。
ファイアウォールは、多くのパソコンにあらかじめ備わっているセキュリティシステムのことです。その名前の通りweb上のさまざまな脅威から、パソコンを守ってくれる機能があります。
IPSもファイアウォールと同様に、悪意あるアクセスを遮断する機能があり、両方を併用するとより防御性が高まる効果があります。
脆弱性の検知
バックアップは有効なものの消極的な方法ですが、外部からの攻撃の可能性を事前に確認する方法として、脆弱性の検知テストがあります。
専門的な技術でもあり、自社で実施するには社内エンジニアがかかせませんが、外部のセキュリティ対策会社のソフトや有償診断を受けるという方法があります。
特に、中小企業でも海外との取引が多い場合などに有効な対策です。事前にチェックすることにより、今後に有効な対策を前もって立てることができます。なお部品メーカーなどサプライチェーンに組み込まれている企業では、複数のメーカーを含むシステム全体で脆弱性診断などをするときもあります。
適切なクラウド事業者の選定
ホームページ運用にあたるクラウド事業者の選定にあたっては、適切な事業者を見極めることも大切です。
大手事業者だからといっても、自社のシステムの改変などを任せる場合にはかなりの注意が必要です。データバックアップ機能があるか、不正アクセスを防止する対策があるか、ハードウエア機器障害への対策があるか、データ暗号化やストレージ・データ廃棄方法なども記載しているか、などは最低限ですので、これらの機能をクラウド環境で有するクラウド事業者を選定するようにしましょう。
まとめ
本記事では、Webセキュリティについて、その基礎知識からはじまり対策まで広範囲に紹介しました。
ホームページなどのWebサイトでは、アプリケーション更新を長期間行わないと、その脆弱性を狙われてしまい、サイバー攻撃の被害に遭うリスクもあります。標的にされないよう、定期的にwebアプリケーション情報をチェックし、しっかりと更新を行うことも大切です。
パソコンの安全を守るうえでも、Webセキュリティについて、今一度、自社のホームページなどの点検をしてみてはいかがでしょうか。