いうまでもなく、Webサイト制作においてもセキュリティ対策は重要な考慮すべき事項の一つです。

それは企業に様々な損害が発生するためです。
例えば、

などがあります。

今回はWebサイトのサーバやシステム周りを中心としたセキュリティ対策についてお伝えします。

Webサイトの重要性や、利用価値も年々増しており、Webサイトで取り扱うべき情報も増えています。ECサイトではない場合も、個人情報を扱い、個人に最適化した情報を提供するサイトも増えてきています。
その分、個人情報が漏洩するリスクも上がっています。

また、今では様々な業種でWebサイト経由でも申し込みや登録などが簡単にできるようになり、ユーザーにとっては便利になりましたが、その時にアクセスしてもサイトが繋がらない、サイトが停止しているということが起こると、大きな機会損失になります。

そのようなことは企業に大きな影響を及ぼし、被害は取引先や顧客などの関係者へも波及します。
当然、Webサイト制作を行った会社にも影響が出てくる場合があります。

企業にとって、Webサイトのセキュリティに対するリスク管理は、経営課題としてとらえるべきで、特に個人情報を扱う場合は社会的責務ともなります。

対応が難しい点としては、セキュリティの問題は必ず問題が発生するというものではない、ということです。
またある程度対応したからといって、すべてを防ぐということも難しい部分ではあります。
そのため、重要性を認識したうえで、リスク管理をおこなっていくことが重要となります。

また、情報漏洩事故などの場合は、誤操作や設定ミスなどの人為的ミスや、犯罪にあたる内部犯罪や情報の持ち出し・盗難が７割以上を占めています。

そのため、システム以外での対策考慮も重要となってきます。
今回はWebサイトのサーバやシステム周りを中心としたセキュリティ対策についてのお話ですが、運用面においても十分リスク管理をする必要があります。

まず、セキュリティの概念として、

というものがあります。

アクセスを許可された人だけが情報にアクセスできること

ページの内容、記載されている情報が正しい状態で新しいものであること

Webサイトに必要なときにいつでもアクセスできること

これらを考えて、Webサイトを構築し、運用していくうえでのセキュリティの脅威となる事象を上げていきたいと思います。
情報処理推進機構（IPA）の「情報セキュリティ10大脅威 2020」より、Webサイトと関連性の高いものについてです。

出典　情報セキュリティ10大脅威 2020

発生要因としては自然災害や、作業事故、設備での障害などで発生します。
事例としては、アマゾンウェブサービス（AWS)で、
昨年2019年8月に比較的広範囲なシステム障害が発生し、利用している国内の様々なサービスに影響がありました。

ウェブアプリケーションの脆弱性を利用して、個人情報などを不正に搾取されるおそれがあります。

については、攻撃者が対象とするウェブサイトに対して、一斉にアクセスすることで、Webサイトにアクセスしづらくするものです。
場合によっては攻撃の停止と引き換えに金銭を要求したりすることもあるようです。
サイトが停止してしまう場合は機械損失による損害が発生することになります。

その他の脅威としては、

などがあげられます。

それぞれの脅威に対する対策を５点紹介します。

1）予期せぬIT基盤の障害に伴う業務停止
2）インターネット上のサービスからの個人情報の窃取
3）サービス妨害攻撃によるサービスの停止
4）ウィルスの感染
5）Webサイトの改ざん

対策としては、冗長性をより高める必要があります。
具体的にはアマゾンウェブサービスの場合であれば複数の拠点でシステムが稼働できる状態を維持するなどです。
ただし、この冗長性の保持は費用影響も大きいため、Webサイトでの必要性を考慮しての対応が良いでしょう。

脆弱性をもとに個人情報を取得されるものです。
そのため、WebアプリケーションやサーバOS,ミドルウェアの脆弱性が無い状態とすることが必要です。
また「脆弱性試験」を行うことで確認します。かつ、「脆弱性試験」は初期だけではなく定期的も実施していく必要があります。

DDoS対策は1企業単体で行うことは難しいことが多いため、アマゾンウェブサービスやアカマイ（Akamai）など、DDoS対策が行われるサービスを利用することがよいでしょう。

CMSでのサイト更新や、FTPでサーバへファイルをアップする場合、利用者のPCがウィルスに感染すると、そのウィルスをWebサイトにアップしてしまう可能性があります。
クライアントPC、及びサーバでウィルス対策ソフトをインストールし、排除するようにすることです。

サイト改ざんについても「脆弱性試験」の実施と、場合によっては、改ざん検知ソフトを導入することで、万が一改ざんがあった場合に検知をする、又は自動的に元の状態に戻す対応を実施する方法があります。

セキュリティ対応の構成例は、様々なポイントでセキュリティの対策を行うことで、安心したWebサイト運用か継続できる状態をつくることが重要となります。

セキュリティ対応については、いつ起こるか起こらないか、何が起こるかなど、事例や警告などを踏まえ、予測や想定で対策を立てる必要があるため、安心・安全をどこまでも高めようとすると強固になることはありますが、それ相応の費用がどんどんかかります。
その上、100％絶対はありません。

公開後Webサイトがトラブルのもとにならないように、自社のWebサイトの役割や目的を前提に優先順を検討した上で、セキュリティ対策をどこまでやるか、方針を決める必要があります。
その上で、システム対応や、運用体制、ルールなど、システムで守るもの、人が守るもの、それぞれの対策を具体的に決めることが大事です。

大規模CMS成功セミナー

【Webを営業に活かしたい担当者へ】簡単に見込み顧客が見つけられる事例紹介セミナー

PowerCMS X 活用セミナー効果的なサイト運営のための最新テクニックを学ぶ

がんばれ！Web担当者

大規模CMS成功の法則

大規模Webサイト向けCMS比較・選び方

大規模Webサイト構築(リニューアル含め）

大規模Webサイト制作におけるSEO

大規模Webサイト制作事例

CONTACT