日々熱を増していくサイバー攻撃に対して、企業規模を問わず「セキュリティ対策」の必要性が叫ばれています。今回は「中小企業のホームページ」に焦点を当て、セキュリティ初心者のWeb担当者でも実行可能なセキュリティ対策を紹介していきたいと思います。
中小企業のホームページでも、セキュリティ対策をすべき?
この記事をご覧の方の中に「サイバー攻撃は大企業が被害に遭うもの」「うちみたいな小さな企業のホームページなんか狙われない」といった認識をお持ちの方がいれば、一度以下の記事をご覧いただければと思います。
大企業と比較して中小企業はいまだにセキュリティ意識が低く、対策が進んでいないところが多いです。それなりの個人情報等を抱えていて、かつ大企業のサプライチェーンを構成しているケースが多い日本の中小企業は攻撃者にとってまさに「格好の的」であり、その被害実態は大企業以上に深刻です。
狙われる中小企業のWebサイト、小規模でも被害に遭う現実的な理由
初心者でもできる、企業ホームページのセキュリティ対策
システムは常に最新の状態で利用する
ホームページを構築しているソフトウェアや管理システムなどは、日常的にアップデート通知を確認するようにして常に最新の状態を保つように心がけましょう。アップデートの目的はそのシステムのパフォーマンスを改善するためだけではなく、システムに存在する脆弱性を排除するために行われることが多々あります。
特にセキュリティ脆弱性を修正・排除する目的で配布される「パッチ(修正プログラム)」は必ず適用するようにしてください。パッチを適用しないまま運用を続けると不正アクセスの被害にあったり、ランサムウェアなどのコンピューターウィルスに感染してしまう可能性があります。
不要なソフトウェアは削除する
システム内に存在している不要なソフトウェアはできる限り削除しましょう。使用していないソフトウェアにはついついアップデートをかけ忘れたり、他のソフトウェアに干渉して新たな脆弱性を生む可能性があります。
また、定期的にアップデートをかけていても弱点がなくなるわけではありません。ソフトウェアの数だけ脆弱性を悪用されるリスクが高まることは事実なので、不要なソフトウェアは削除した方が無難です。「いずれ使う」としても「しばらく使わない」のであれば削除することをお勧めします。
アカウント・アクセス権限管理
ホームページ管理システムやレンタルサーバーシステムにアクセスできる人数は必要最低限にし、アカウント・アクセス権限の管理を徹底して行いましょう。あらかじめ「誰が・どこに・どうやって」アクセスできるのかを明らかにしておくことで、無用なアクセス権限の付与を防げますしインシデント発生時の原因特定にも役立ちます。
また、異動・退職した従業員のアカウントをそのままにしておくと不正アクセスの原因となり得ますので、使われなくなったアカウントはすぐに削除すると良いでしょう。
強固なパスワード設定
パスワードの作成・管理に関しては「長く」「複雑に」「使いまわさない」という3つのルールを守ることが重要です。長さに関して「〇文字以上なら安全」といった基準はありませんが、少なくとも8文字以上で設定すると良く長ければ長いほど安全になります。複雑さに関しては、英数字の大文字小文字と記号を組み合わせてかつ推測されにくい文字列を使用すると良いでしょう。誕生日や名前に関連する単語は使用するべきではありません。
また最近は同じパスワードを使いまわす人が多いことを利用し、1つのWebサイトから流出したパスワードを利用して他のWebサービスへ不正アクセスされるケースが増えてきています。
最近ではブラウザが自動でログイン情報を保存・利用できるようになるなど、設定したパスワードを自分で覚える必要はなくなってきていますから、極力自分とは全く関連の無いランダムな文字列・記号を使用してパスワードを作成するようにしてください。
常時SSL化
常時SSL化とはWebサイト全体をHTTPS化することを言います。HTTPSはWebの通信経路を暗号化することで盗聴や改ざんを防ぐ技術で、ホームページ全体をHTTPS化することで、ユーザーが入力したパスワードやクレジットカード情報などを悪意のある第三者から保護することができます。
最近ではSSL化の有無がホームページの検索順位に影響するなど、セキュリティ面以外でも影響力を持ってきていますから、導入することを強く推奨します。
ホームページを常時SSL化するにはSSLサーバ証明書が必要になりますが、ドメイン取得時に手軽に取得・設定出来ることが多いので、ややこしい手続きは必要ありません。
システムのログ取得・保存
システムログの取得・保存は、セキュリティインシデントが発覚した際にとても重要になります。ユーザーのアクセスログ、データベースの操作ログ、システムファイルの変更ログなどを保存していれば、ログを検証することでインシデントの原因を究明し対策を講じることができるのです。
また、日常的なログのチェックや監視もセキュリティインシデントを防ぐ上で重要です。
WordPressサイトのセキュリティ対策
WordPressは全世界のWebサイトの約43%で使用されている無料のオープンソースCMSです。企業のホームページをWordPressで制作・運用しているケースは多いと思いますが、その人気度の高さゆえに、特に対策せずとも「安全」だと思っていませんか?
CMSはオープンソースのプロジェクトですからソースコードは誰でも見ることができますし、サードパーティによって開発された様々なプラグインを組み込んで利用するといった特性から、サイバー攻撃の対象になりやすいという側面があります。
ここではWordPressでホームページを運用する場合のセキュリティ対策について、最低限やるべき項目をまとめています。
PHPアップデート
WordPressはPHPというプログラミング言語で構築されています。PHPにもバージョンがあり、バージョンアップするごとに脆弱性や機能性の問題が解消されるため、古いバージョンのPHPを使用し続けるとWebサイトに既知の脆弱性が残り続けてしまいます。
PHPアップデートの通知はWordPressの管理画面などに表示され、アップデート自体は通常1~2分程度で完了しますから、こまめに確認して実施するようにしましょう。ただし不具合を防ぐためにも、導入しているテーマやプラグインとの互換性についても毎回チェックする必要があります。
プラグイン/テーマのアップデート
WordPressではサードパーティが作成したプラグインやテーマを組み合わせて使用することで、より柔軟で多機能なホームページ制作が可能になります。一方で、サードパーティが作成したプラグイン等に脆弱性が含まれている可能性は否定できませんから、アップデート通知があれば迅速に対応するようにしましょう。
また、長期間に渡って開発者にアップデートされていないものや、導入数が少ないマイナーなテーマやプラグインは、脆弱性が放置されている可能性がより高まりますのでインストールしない方が無難です。
不要なプラグインの削除
WordPressが攻撃者に狙われやすい理由の一つに「攻撃の糸口が多い」ことが挙げられます。WordPressサイトでプラグイン等を利用すれば、必然的にサードパーティが作成したプログラムが多数組み込まれることになりますから、その数だけ攻撃のチャンスが生まれてしまいます。
使用していない不要なプラグインは”無効にするだけでなく”出来る限り削除するように心がけてください。また、長期間アップデートされていないプラグインなども削除して必要であれば代わりとなるもの、特に開発がアクティブなものを利用すると良いでしょう。
ログインURLの変更
WordPressサイトのデフォルトの管理者ログインURLは xxxxx.com/wp-admin です。もちろんこれは攻撃者も知っている情報ですから、ログインURLをそのままにしていると簡単に不正アクセスの機会を与えてしまうことになります。
管理者ログインURLは推測しにくいものに変更する方が望ましいです。実績のあるセキュリティプラグインの中には簡単にログインURLを変更できる機能を提供しているものがありますから、ぜひ導入して管理者ページへの不正アクセスを防いでください。
Webを丸ごと、強力に防御するなら「WAF」
最後に、より高度で堅牢なセキュリティ対策として「WAF」というセキュリティソリューションをご紹介します。WAFとは、Webサイトを様々な種類のサイバー攻撃から守ることができる製品で、現状最も有効なWebセキュリティ対策の1つです。Webサイトを公開している多くの企業で導入が進んでおり、例えばクレジットカード情報を扱う企業に対し取得が義務付けられるPCIDSSでは「WAFの導入」あるいは「脆弱性診断の実施」が取得条件の1つとして挙げられるなど、国際的にもその実要性が証明されています。
弊社ペンタセキュリティシステムズでは様々なセキュリティソリューションを提供していますが、今回はその中でもWebサイトを守るWAFとして特にお勧めな「Cloudbric WAF+」をご紹介します。
Cloudbric WAF+はWAFとしての性能はもちろん、DDoS攻撃対策、API攻撃対策、脅威IP遮断機能、悪性ボット遮断機能など、WAF以外の機能でもグローバルなセキュリティ性能が証明されています。セキュリティの専門家がいない企業でも手軽に導入・運用できる「Cloudbric WAF+」に興味のある方は、ぜひ一度製品ページにお越しください。
