【質問】WEBサイトのセキュリティ対策を教えてください。
今週の質問と回答
【Q】
WEBサイトのセキュリティ対策を教えてくださ
い。WEBサイトを立ち上げようと思いますが、
セキュリティにはどういうことを気を付ければい
いでしょうか?
─────────────────────────
【A】
WEBサイトのセキュリティは、どのようなサー
バに立ち上げるかでその対応が異なってきます。
また、外部からの脅威に対しての対策と、内部か
らの脅威に対する対策も必要ですが、まずは外部
からの脅威に対しての対策を考えていくと良いと
思います。
─────────────────────────
→WEBサイトを立ち上げるには、以下のような
サーバの選択があります。
・自分たちでサーバを購入し
サーバの構築から行う。
・レンタルサーバを借り
WEBサイトは自分たちで制作する。
・レンタルサーバを借り
WEBサイトもCMSを使って制作する。
・ショッピングモールやプロバイダサービスを
利用してWEBサイトを立ち上げる。
→自分たちでサーバを購入しサーバの構築から行
う場合は、セキュリティ対策もOSレベルから
アプリケーションレベルまですべて自分たちで
実施する必要があります。
→OSレベルでは、常に最新のパッチを適用して
おくことや使わないサービス、プログラムは起
動しないようにしておくことが必要です。
→また、作成するユーザ(特に特権ユーザ)の利
用制限やパスワードの考慮、サーバに接続でき
る端末の制限なども考える必要があります。
→構築するWEBサイトとしては、SQLインジ
ェクションやクロスサイトスクリプティングと
いった攻撃に対する対策をプログラムレベルで
行っておく必要があります。
→また、WEBサイトへの接続はSSLという暗
号化された通信で行うような設定も必要です。
→レンタルサーバを借りWEBサイトは自分たち
で制作する場合には、OSに対するパッチの適
用やアクセス制限などは通常業者にて対応供さ
れています。
→レンタルサーバの契約は、起動できるサービス
やプログラムが必要なものに限定されているも
のにしましょう。
→利用できるサービスやプログラムが少ない方が
安価に借りれます。ひょっとしたら使うかもし
れないといって必要以上に利用できるサービス
やプログラムを増やすのは、費用面だけでなく
セキュリティ面でもお勧めできません。
→また、レンタルサーバではいろいろなセキュリ
ティ対策もオプション提供されている場合も多
くあります。契約する業者を検討する際にはど
のようなセキュリティ対策が提供されているか
も参考にしてください。
→WEBサイトをCMSツールを使って製作する
場合は、CMSツールに対する対策が必要です。
CMSツールを標準の設定のまま利用するとセ
キュリティ面で不足があります。
→代表的なCMSツールである「WordPre
ss」では、以下のような対策をとる必要があ
ります。
・WordPressを常に新しいバージョンにしておく
・テーマやプラグインはなるべく公式のものを
利用する
・テーマやプラグインも最新版にしておく
・使っていないプラグインは停止ではなく削除
しておく。
・ログインページ(wp-login.php)へのアクセ
ス制限やデフォルトユーザーの「admin」は
削除しておくなどブルートフォースアタック
(総当たり攻撃)対策をする
・データベースのプレフィクスは初期のものか
ら変更する
・「All In One WP Security & Firewall(AIOW
PS)」などのセキュリティ用のプラグインを利
用する
・管理用ページのログインID/パスワードは
簡単なものにしない。またパスワードは定期
的に変更する。
→CMSツールもレンタルサーバのサービスとし
て提供されている場合は提供業者によりセキュ
リティ対策が行われている場合もあります。
→ただし自分たちで設定しないと有効に機能しな
いものもありますので提供されている内容を十
分確認してください。
→ショッピングモールやプロバイダサービスを利
用してWEBサイトを立ち上げる場合は、通常
提供業者によりWEBサイトのセキュリティ対
策は行われています。
→ただし、誤操作により顧客情報がインターネッ
ト上から見えるようになっていたなどというこ
とも実際に発生していますし、未知の脆弱性に
対する対策は提供業者側でも施すことができま
せんので、情報の取り扱いやセキュリティへの
意識は常に持つようにしてください。
→大企業ではないから攻撃を受けることなんてな
いと思われるかもしれませんが、セキュリティ
対策の甘い中小企業だからこそ狙われることと
なり、経済産業省の「情報処理実態調査」によ
ると、ここ数年では中小企業の約6社に1社で
何らかの情報セキュリティトラブルが発生して
いる状況が続いています。
→WEBサイトのセキュリティ対策を疎かにする
と、顧客情報などが漏えいしてしまったり、コ
ンピュータウィルスを組み込まれてしまう、他
のサーバを攻撃するための踏み台にされてしま
うなどの状況に陥る可能性があります。
→これらの情報セキュリティトラブルが発生した
場合、WEBサイトの閉鎖や損害賠償なども発
生し経営への大きなダメージとなります。
→WEB活Plus会員の方は、あなたのWEBサイトに
マッチしたセキュリティ対策とは何なのか?ど
のように取り組めば良いのかをメール相談で専
門家に相談してみてくださいね。
▼WEB活Puls会員とは
https://goo.gl/j1Q5UW
★WEB活では、あなたからの質問をお待ちしてます!
以下のURLをクリックして表示される入力フォームから
質問をご投稿ください。
⇒ https://1lejend.com/stepmail/kd.php?no=ylTrjxAg
※ご質問は、メルマガ「WEB活用の教科書」で採用公開さ
れる場合がございますので、ご了承下さい。
■今回の授業の先生のプロフィール
──────────────────────────
WEB活認定コンサルタント
上野 貢(うえの みつぐ)
▼プロフィール・経歴
入社以来、大学を中心とした教育機関の業務・
教育システムの構築、開発に従事。
インターネットの黎明期よりWEBを利用した
システムの構築、開発を担当。大学から中・高
、専門学校、塾等の業務システム、教育システ
ムの要件定義から運用に至るまで業務支援を多
数実施。企業のeラーニングシステム導入、利
用、サービス提供に関しての支援を実施。
※詳しいWEB活コンサルタントのプロフィールは
こちらをご覧ください
>>> https://goo.gl/fB1yRq
無料メルマガ「WEB活用の教科書」購読申し込み
お名前とメールアドレスと入力して[無料メルマガを購読する]をクリックすると、中小企業~個人事業主がWEBを活用してビジネスを展開するために必要なノウハウをお届けする無料メルマガ【WEB活用の教科書】を毎週水曜日にお届けいたします。いつでも配信解除ができますので、お気軽にご購読ください。
