サイトのセキュリティ対策は他人事ではありません！

サイトのアカウント乗っ取りや情報漏洩等の事件が未だに発生していますが、皆様のサイトのセキュリティが対策は大丈夫でしょうか。

サイトにセキュリティ対策を行うには、いくつかの段階があります。今回はその段階に沿って何をすべきかを説明します。

▼自社のサイトの構成を知る　

サイトのセキュリティ対策を行うには、まず自分達のサイトがどのような構成で作られているかを知ることが必要です。

具体的には、以下の点を確認します。

• サーバは自分たちで所有しているのか、レンタルサーバやクラウドを利用しているのか
• 利用しているサーバにどのようなセキュリティ対策が取られているのか。また、レンタルサーバやクラウドを利用している場合、業者側が対策を行うのがどの範囲か。　
• サーバのOSやミドルウェアの種類やバージョン。ミドルウェアとしては主にWebサーバを構成するソフトウェア（apache,IIS等）、データベース（MySQL、SQLServer、PostgreSQL等）を確認します。
• サイトを独自で作成しているのか、WordPress等のツールを利用しているのか。またサイト作成やツールで利用しているプログラム言語の種類（php、Java等）とバージョンやツール自体のバージョンの確認も必要です。

▼セキュリティに関する情報を入手する

セキュリティの対策を行うには、自分たちのサイトにどのようなセキュリティ上の問題があるかを把握する必要があります。

その為には、最新のセキュリティ情報を入手することが必要ですが、いくつかの方法があります。

ひとつは、利用しているツールや製品により、そのツールや製品の更新情報が通知されるものです。通知があった場合には、その内容を必ず確認するようにします。

ひとつは、セキュリティ情報を発信しているサイトで確認する方法です。主なサイトとしては、以下のものがあります。

• IPA：https://www.ipa.go.jp/security/announce/alert.html
• JPCER：https://www.jpcert.or.jp/
• JVN iPedia：https://jvndb.jvn.jp/

どのサイトも多くの情報が提供されていますので、自分達のサイトを構成しているソフト等に絞って確認するようにしてください。また各情報には深刻度が表示されています。（IPAでは注意→警告→危険、JVN iPediaでは注意→警告→重要→緊急）深刻度に応じて対策を検討することが必要です。

また各サイトからの情報をメールやRSSで取得できるサービスも提供されています。都度サイトにアクセスしなくてもセキュリティ情報を取得できますので有効な手段です。

さらに情報入手の方法として、業者の有償サービスを利用することも可能です。この場合は、自分達のサイトに必要な情報を選択し、対策の要否も判断した上で情報を提供してもらえることも可能です。

▼対策を行うことで問題がないかを確認する

自分達のサイトにセキュリティ対策を行う必要があると判明すれば、できるだけ早く対策を行うことが重要です。

ただ、利用しているソフトのバージョンが変わる場合には、サイトが正常に動作しなくなる可能性があります。その為、テスト環境をあらかじめ用意しておき、セキュリティ対策を行った状態でサイトが正常に動作するかどうかを確認したうえで、本番環境に対策を施すようにしてください。

以上、セキュリティ情報の取得および対応を中心に紹介しました。第三者からの不正アクセスやシステムへの攻撃は大企業や有名企業だけが狙われているわけではなく、中小企業における被害も多く発生しています。一番大事なことは、これらは他人ごとではないということを認識することです。
　
皆様のサービスや商品を利用されている方の情報を守ることは会社の信頼に直結することになります。

セキュリティ情報に敏感になり、常に自分達の身は自分達で守るという意識をもって頂ければ幸いです。