Webサイトをサイバー攻撃から守るセキュリティ対策とは
Webサイトの重要性が上がる一方で、セキュリティ対策が十分ではないWebサイトも多く、さまざまな脅威にさらされています。狙われるのなんて大企業だけと考えている方や、セキュリティ対策なんて何をしたらいいかわからないという方もいるでしょう。
しかし近年、悪意ある攻撃によるマルウェア感染や、大規模な情報漏洩による被害が増加しており、セキュリティ対策が欠かせなくなってきました。
セキュリティ事故を起こしてしまうと、企業の信用やイメージを低下させてしまうことにつながるだけではなく、損害賠償問題にまで発展します。そこで今回は、Webサイトに対する攻撃とその対策法について紹介します。
目次
Webサイトのセキュリティ対策とは?
Webサイトを構成するOSやミドルウェア、Webアプリケーションには、数多くの脅威が隠れています。日々脆弱性が発見され、それを修正するためのアップデートが行われていますが、もしその脆弱性を放置したままにしてしまうと、悪意ある第三者によってサイバー攻撃が行われる可能性があります。
Webアプリケーションの脆弱性を防ぐには、以下のようなセキュリティ対策が必要になります。
・Webアプリケーションの脆弱性を放置しない ・不要ファイルや非公開ファイルを公開しない ・Webアプリケーションを構成するソフトウェアの脆弱性対策を行う ・Webアプリケーションのログ管理を徹底する ・Webアプリケーションのログを保管する
Webサーバーに不要なアプリケーションやアカウントがあった場合は、停止もしくは削除を徹底しましょう。また、不正ログインを防ぐためにも管理者パスワードは複雑なパスワードを設定することを推奨します。
悪意ある第三者がWebサーバーのファイルやディレクトリにアクセスできないように、ファイルやディレクトリへのアクセス制限やWebサーバーのログを保管・確認も徹底しましょう。
・複雑なパスワードを設定する ・ファイルやディレクトリへのアクセスを制限する ・Webサーバーのログを保管・確認する
甘くみてはいけない!Webサイトがサイバー攻撃の標的に
Webサイトの脆弱性や運用管理の穴をついたサイバー攻撃が狙うのは大企業だけではありません。セキュリティ対策が不十分な中小企業は狙われやすく、実際にサイバー攻撃の被害は年々増えています。
実際に多いサイバー攻撃として代表的なのが「脆弱性」を狙った攻撃手段です。まずはその代表的な攻撃手段をいくつかご紹介します。
SQLインジェクション
Webサイト内に任意のキーワードで検索できるフォームがあった場合、攻撃者がそのフォームに不正な内容を含むSQL文を送り、データの漏洩や改ざんが実行されてしまう攻撃です。顧客の個人情報やパスワード、クレジットカード情報が奪われたり、Webサイトが改ざんされるリスクがあります。
クロスサイトスクリプティング
脆弱性がある掲示板など、攻撃対象のWebサイトにスクリプトを埋め込み、サイト訪問者の個人情報を奪う攻撃です。SQLインジェクションと並んでWebサイトの脆弱性を狙った代表的な攻撃手法であり、ユーザー情報が盗まれてしまったり、攻撃者の偽サイトにリダイレクトされたりするなどの被害が世界中で起きています。
ブルートフォースアタック
パスワードを大量に自動生成し、ログインに成功するまで文字列パターンをひとつずつ試す総当たり攻撃です。覚えやすい単純なパスワードを使っていると、簡単に破られてしまう恐れがあります。
ランサムウェア
感染したパソコンをロックしたり、ファイルを暗号化したりすることによって、利用者のシステムへのアクセスを制限。使用不能にしたのち、元に戻すことと引き換えに「身代金」を要求するマルウェアの一種です。身代金要求型不正プログラムとも呼ばれています。
DoS攻撃
Webサイトに短時間で大量のアクセスリクエストを送り続けることで、サーバーダウンを狙う攻撃方法。サイトの表示速度が遅くなったり、表示できなくなったりする状態になります。
バッファオーバーフロー
悪意ある第三者が標的のコンピューターに許容量以上のデータを送りつけ、コンピューターが誤作動を起こした後に、乗っ取る攻撃
上記以外にも、Webサイトの脆弱性を突く攻撃によって不正アクセスし、情報漏洩やWebサイト改ざんを引き起こす攻撃手段は数多く存在します。Webサイトを立ち上げる際は、こうした脆弱性を出さない開発を行うことはもちろん、Webサイト公開後もセキュリティ対策を行うことが求められます。
Webサイト側のセキュリティ対策はどうすればいい?
脆弱性を狙った攻撃について紹介してきましたが、ここからは脆弱性に対するWebセキュリティ対策についてお伝えします。最近はCMS(コンテンツマネジメントシステム)を使って、Webサイトやブログを構築する企業が殆どです。CMSの中でも特に狙われやすいのがWordPressです。WordPressが狙われやすい理由には、そのユーザー数の多さも一因として挙げられます。
・世界中にユーザー数が多く、無料で公開されている ・管理画面やプラグインなど、構造がわかりやすい ・オープンソースのため、脆弱性が発見されやすい
しかしユーザーが多く、世界中で幅広く使われているオープンソースだからこそ、脆弱性が発見されれば、すぐに脆弱性を迅速に直し、セキュリティパッチを含むアップデートが開発されます。そのバージョンアップ版を常にアップデートし、サイバー攻撃から保護してくれるプラグインを入れておけば、攻撃を受けるリスクは少なくなります。
さて、ここからは最も利用されているCMS のWordPressにおいて、どのようなセキュリティ対策を講じればよいのかを紹介します。
管理画面へのユーザー名・パスワード強化
攻撃者に管理者アカウントで管理画面へ不正にログインされても、管理者アカウントやパスワードは第三者に想像されにくいような文字列で作成しましょう。
プログラムやプラグインを最新化
WordPress本体のプログラムやプラグインなどは、脆弱性やバグがみつかると随時更新され、WordPressに通知されます。更新があれば都度アップデートして、常に最新に保つようにしましょう。更新作業は、WordPressの管理画面から簡単に行うことができます。
重要な設定ファイルのアクセスを制限
WordPressのプログラムには「wp-config.php」というファイルにはWordPressの動作にかかわる各種設定、およびデータベースのID・パスワードが記載されています。このファイルを攻撃者に知られてしまうと危険なため、外部からアクセスできないようにしましょう。
不要なプラグインは削除
プラグインにも脆弱性が存在し、そのままにしておくと攻撃者のターゲットにされてしまいます。使っていないプログラムは放置せずに削除しましょう。
セキュリティのプラグインを使って管理画面を強化
プラグインを入れて管理画面を攻撃者から守ります。使いやすいものをインストールしてセキュリティを高めましょう。
ログイン画面のURLを変更
ログイン画面のURLをデフォルトのものから変更していないと、一斉攻撃の対象になりやすくなります。URLを変更するだけで、攻撃対象になるリスクを軽減できます。
ログインの失敗回数を制限
攻撃者はパスワードを自動生成して何度も管理画面のログインを試行してきます。ログインを突破されなくても、サーバーに対する負荷もかかり、画面の表示が遅くなるなどの問題も発生します。その攻撃を防ぐために、ログインに一定回数失敗したとき、その接続元から一定時間ログインできないようにすることが効果的です。
ログインに画像認証を追加する
ログイン時に人の目による画像認証を入れることで、攻撃者の自動プログラムによるなりすましを防ぐことができます。
サーバー側でもセキュリティ対策するには?
Webサイトをサイバー攻撃から守るには、サーバー側でも脆弱性対策を行う必要があります。続いては、サーバー側のセキュリティ対策を紹介します。
ファイアウォール
インターネットを通して侵入してくる不正なアクセスからWebサイトを守るため、外部ネットワークからのアクセスを常に監視して、不正アクセスをブロックするためのシステムです。
IDS/IPS
ネットワークにおいて不正侵入を検知・防御するシステムで、ファイアウォールより高度な対策が可能です。IDS(Intrusion Detection System)は、ネットワークに対して不正なアクセスがないかをリアルタイムでチェック、不正アクセスを検知したら管理者へ通知を行います。IPS(Intrusion Prevention System)は、不正なアクセスの侵入を遮断して防御するシステムです。
WAF
WAF(Web Application Firewall)は、Webアプリケーションに特化したファイアウォール。Webアプリケーションをターゲットとした攻撃に有効です。オンプレミスタイプのサーバーに設置するアプライアンス型WAFと、クラウド型WAFがあります。
最近は、AWS (Amazon Web Services) やVirtual Machines(Microsoft Azure)、Compute Engine(GCP)、さくらのクラウド(さくらインターネット)といったクラウドサーバーを使うことが多いのではないでしょうか。
クラウド型WAFは、専用機器の設置作業やソフトウェアのインストールを行う必要がないため、導入も簡単。初期運用コストが小さいため、手軽に対策できます。
Webサイトのセキュリティ対策は予防が重要!
ここまでお伝えしてきたように、サイバー攻撃は年々深刻化しており、決して他人事ではありません。販売や問い合わせなど、顧客との重要な接点となるWebサイトを安全に運営するためにも、適切なセキュリティ対策が求められます。
今回紹介したセキュリティ対策に加え、Webサイトの脆弱性診断やセキュリティ診断を定期的に実施することもおすすめします。万が一脆弱性が発覚した際は、早急に制作を依頼したWeb制作会社などに相談し、対策を実施しましょう。