マーコム・サポーターの椎名です。中小企業や個人事業主のマーケティング活動をサポートする傍ら、ライティング活動も行っています。今回は「Webのセキュリティ対策」をテーマに取り上げたいと思います。

Webサイトは常にサイバー攻撃の脅威にさらされています。いったん被害をうけてしまうと、その対策に多くの工数や費用が発生してしまいます。そればかりか、個人情報の流出など会社の信用を落とすリスクも高いです。

そして、この問題は大企業だけの話ではありません。むしろ、情報システム部門や専任担当者がいない中小企業や個人事業主のほうが、大きな問題にかもしれません。特にWeb制作に関わる担当者は、実際にこうした問題に真っ先に直面する可能性が高いでしょう。

そこで本記事では、そうした背景を受け、Web制作関係者が知っておくべきサイバー攻撃の脅威とセキュリティ対策について解説します。

サイバー攻撃の脅威

増大するWebサイトの脆弱性問題

Webサイトの脆弱性の問題が増えています。脆弱性とは、コンピューターのOSやソフトウェアにおけるセキュリティ上の欠陥のことです。プログラムの不具合や設計上のミスによるもので、これが増えることでサイバー攻撃を受けるリスクが高まります。

情報処理推進機構の発表によると、2020年のWebサイトに関する脆弱性の届け出件数は755件です。ここ1,2年で再び増加傾向にあり、2018年の238件から3倍以上となっています。

図1　脆弱性の届け出件数の推移（出典：情報処理推進機構）

狙われる中小企業

サイバー攻撃の中で、近年問題が増えてきているのがサプライチェーン攻撃という、中小含むすべての取引関係企業を狙ったものです。中小企業では、大手に比べるとセキュリティ対策が十分でありません。情報システム部門はなく、専任担当者がいない企業も少なくないでしょう。一般的に対策に関するリテラシーが低い傾向にあります。そのため、最終的な狙いは大手でも、サプライチェーンでつながっている中小企業がまず標的にされてしまうのです。

実際、中小企業でも攻撃を受けた企業は多いようです。 デジタル・インフォメーション・テクノロジー株式会社が実施した「中小企業のサイバー攻撃対策」に関する実態調査によると、従業員100名以上の中小企業の7割がサイバー攻撃を受けたことがあると回答しています。そのうち4割が「Webサイトが改ざんされた」としており、2割以上が「情報漏洩」の被害を受けたとしています。

WordPressの問題

Web関係で狙われやすいケースとして、中小企業でもよく利用されているWordPressがあげられます。Wordpressはオープンソースのコンテンツマネジメントシステム（CMS）で利用者が非常に多く、 ターゲットになりやすいといえるでしょう。

WordPress上でも脆弱性が度々発見されています。主な被害として、コンテンツを改ざんされたり、マルウェアに感染し情報流出されたりといったものがあげられます。

サイト立上げ時に設定すべきセキュリティ対策システム

ここでは、Web制作担当者が、新たにサイトを立ち上げる際、対策しておきたいセキュリティシステムについてお話します。

ファイアウォール

ファイアウォールは、サイバー攻撃における ウィルスの侵入を遮断するシステムです。サーバーが提供するサービスを除き、使っていない侵入口（ポート）を塞ぐことで、ウィルスの攻撃から守る役割をもっています。

ファイアウォールの設定は、使用しているWebサーバーの種類によって、やり方が異なります。レンタルサーバーの共用サーバーの場合、運営会社があらかじ め設定してくれていますので、自分で設定する必要はありません。一方、専用サーバーやVPS、クラウドサーバーでは「iptables」というソフトウェアで設定する必要があります。設定する項目は、開閉するポートやプロトコル、アクセスを遮断する特定のIPアドレスです。

IPS（Intrusion Prevention System）

IPSは、不正な通信を監視し、通信を遮断するセキュリティシステムです。ファイアウォールを通過してしまった悪意のあるアクセスを検出します。

IPSが防御するのは、コンピューターのOSやミドルウェア層への攻撃です。例えば、トロイの木馬などの不正プログラムや、Webサイトやサーバーに大量の通信を送り込み、正常なシステム動作を停止させるDoS攻撃を回避できます。

なお、IPS製品には、「ネットワーク型」「ホスト型」「クラウド型」の3タイプあり、監視する役割内容が異なります。導入費用や工数も変わってくるので目的をしっかり定めた上で製品を検討することをおすす めします。

WAF（Web Application Firewall）

WAFは、Webアプリケーションへの脆弱性に対する不正な攻撃から守ります。アクセスのパターンを検知し、通信許可と拒否の判断を行う仕組みです。Webページを不正操作する「クロスサイトスクリプティング」やデータベースを改ざんする「SQLインジェクション」などの不正トラフィックに有効となります。

WordPressの場合、WAFのプラグインが無料で提供されています。また、レンタルサーバー会社の共用サーバーを利用する場合も、標準で装備されていることが多いです。

日ごろから気を付けたいセキュリティ対策

ここでは、Web制作関係者が、業務の中で意識しておきたいセキュリティ対策についてお話します。よく言われていることなので、当たり前の話に聞こえるかもしれませんが、うっかりすると放置しがちになってしまうこともあるので普段から注意しておくとよ いでしょう。

不要なアプリケーションは削除せよ

使っていないアプリケーション、サービスを残しておかずに削除しておきましょう。例えば、WordPressで フリーで便利に使えるプラグインが多くあるので、ついあれこれ入れてしまうことがあります。しかし実際には使わず放置してしまう。これは、セキュリティ上問題となってしまいます。

悪用されるリスクだけでなく、サイトの表示速度にも影響するので必要ないものは削除しておきましょう。

OS・ソフトウェアは常に最新状態に

サーバーOSやソフトウェアのアップデートは、発見された脆弱性に対するセキュリティパッチが施されていることが多いです。放置しておくと攻撃対象になるので、忘れずに最新版にアップデートしておきましょう。

WordPress の場合、管理画面上で、現在使われているバージョンの情報や更新情報が確認できます。プラグインのアップデートも必要です。管理画面上で通知されるので、サイトの更新がしばらくない場合でも、コマメにチェックすることをおすすめします。

複雑なパスワードを設定せよ

管理者パスワードが容易に推測しやすいものや、他と共通で使いまわすのよくありませんは 。自動生成パスワードで総当たり攻撃するブルートフォースアタックを仕掛けられ、不正ログインされるリスクがあります。

パスワードの問題は、Web関係者に限らずすべての人に当てはまる話ですが、特に管理者用のパスワードが破られると被害が大きくなるので注意しましょう。

まとめ

今の時代 、専門知識がなくても手軽にWeb制作ができる環境が整っています 。そして、クラウド上でさまざま なアプリケーションを利用 できます。しかしながら、それらの中にはサイバー攻撃の対象となる脆弱性が潜んでいるものがたくさんあります。

最近では、中小企業を狙ったサプライチェーン攻撃も増えてきました。中小企業の場合、情報システムに関する知見が社内のどこにもない場合が多いです。Web制作も含め、総務・事務系スタッフがいくつもの業務を兼任して回していることも普通にあるでしょう。

被害を受けてしまってからでは遅いのです。Webを立ち上げる際に、どんなセキュリティシステムを導入すべきなのか、日ごろどんなことに気を付けなければならないのか、最低限の知識でよいので頭にいれておくことをおすすめします。具体的な設定方法などは、ネットに初心者向けの情報がたくさんあるのでチェックしておくとよ いでしょう。