WEBサイトのセキュリティ対策について②
今回は前回のコラムでお話しさせていただきましたWEBサイトのセキュリティ対策の方法についてご紹介したいと思います。
[WEBサイトで行っておきたい5つのセキュリティ対策]
①常時SSL設定
SSL(Secure Sockets Layer)とは、インターネット上でデータを暗号化させて安全な通信をするためのセキュリティプロトコルです。通常インターネットでは情報は暗号化されずにデータが送信されている為、通信の途中でデータが傍受される可能性があり、情報が第三者に漏れてしまう可能性があります。
またGoogleは2018年にリリースした Chrome68 以降、非httpsのWEBサイトにアクセスした際に「保護されていません」の表示を行っています。
常時SSL設定を行うことで、警告表示を回避することができ、個人情報漏洩の対策を行うと同時にサイトユーザーの信頼度を高めることができます。
②WAF設定
WAF(Web Application Firewall)とは、ホームページなどWEBアプリケーションの脆弱性をついたサイバー攻撃からWEBサイトを保護するセキュリティ対策のことです。
最近では、大企業ではなく中小企業を狙ったサイバー攻撃が増えており、セキュリティ対策を行っていなかったがために個人情報を流出させてしまったというケースも出ています。
SSLは情報を暗号化させ通信を保護する役割はありますが、WEBサイトをサイバー攻撃から守る働きはありません。
サイバー攻撃による、ファイルの改ざんや乗っ取りを防ぐ為には、WAFの設定が必要となります。
③CMSのアップデート
現在のWEBサイト改ざんの主なターゲットは、専門知識がなくても簡単にWEBサイトを作成して管理できるCMS(Contents Management System)とも言われており、CMSの脆弱性を突いて不正アクセスを行い、WEBサイトを改ざんする手口が増えています。
特に古いバージョンのワードプレスやサポートが終了したバージョンのCMSなどをそのまま使用しているWEBサイトは、脆弱性を露呈しているようなもので危険性が非常に高いと言えます。
CMSのアップデートを行うことで、不正アクセス防止の対策をとる事が出来ます。
④WEBサーバーの整理
WEBサーバーに不要なデータベースを放置したままにしておくと、その脆弱性を悪用したWEBサイト改ざんのリスクが高くなってしまいます。不要なデータベースやアカウントなどが残っている場合は削除を行い、整理することが重要です。不要なデータを削除してサーバーの整理を行うことで、リスクを回避することができます。
⑤セキュリティ診断
セキュリティ診断を行うことで、WEBサイトの安全性を確認することができます。
ツールを使用し自ら診断することもできますが、より安心なWEBサイトにするためにプロによるセキュリティ診断をオススメします。
プロによる診断では疑似的なサイバー攻撃を仕掛け、「どのような攻撃に弱いか」「どのように対策すればよいか」を調査し、より強固なセキュリティ対策を行うことが可能となります。
今回ご紹介させていただきました5つのセキュリティ対策は一例にはなりますが、WEBサイトの乗っ取りや改ざん、個人情報の漏洩は、対策を行うことで回避することが可能ですので、ぜひ参考にされてみてください。