コラム

2019/07/24

Webのセキュリティ対策 サイバー攻撃に備えて必要なこと

  • jQuery
  • その他

Webのセキュリティ対策 サイバー攻撃に備えて必要なこと「Webはセキュリティ対策が重要である」となんとなく思っている方もいらっしゃるのではないでしょうか。Webのセキュリティは、Webサイトを運営する上で最初に考えておくべき重要なものです。万が一、Webサイトがサイバー攻撃の標的にされたとき、Webのセキュリティ対策を万全にしておかないと被害が拡大してしまいます。今回は、Webのセキュリティ対策の重要性やサイバー攻撃の種類、基本的なWebのセキュリティ対策について解説していきます。

Webのセキュリティ対策とは

Webのセキュリティ対策について、背景や重要性について見てみましょう。

Webのセキュリティ対策が求められる背景

1990年代、インターネットはごく一部の企業、個人が運用するものでした。攻撃側も特殊なスキルをもつ個人がほとんどだったため被害の件数も少なく、社会的にもWebにおけるセキュリティの注目度は低かったのです。

対して2000年以降、WordPressなどのWebサイトの運用ツールが普及するとともに、サイバー攻撃のための方法も多様化しました。特殊なスキルを求められたサイバー攻撃が、誰でも簡単にできるようになったわけです。

サイバー攻撃は年々増加傾向にある

日本全体でのサイバー攻撃の件数は年間どれくらいなのでしょうか。国立研究開発法人情報通信研究機構の発表によると、2018年ではたった1台のネットワーク機器に対して約80万件ものサイバー攻撃が観測されました。ちなみに、この調査によると、2017年では1台あたり約60万件、2016年では約50万件となっています。どのパソコンやネットワーク機器がサイバー攻撃の対象になってもおかしくはないと言えるでしょう。

Webサイトを守るための対策が重要

Webサイトには、必ずどこかに“セキュリティホール(脆弱性)”があります。サイバー攻撃には、このセキュリティホールをついてくるものが多くあります。セキュリティホールをいちはやく発見し、適切に対策を講じることが重要なのです。

サイバー攻撃の種類と脅威

サイバー攻撃の手法は多様化しています。ここでは、主要なサイバー攻撃の種類と脅威についてご紹介します。

標的型攻撃

特定の企業、個人をターゲットにしてサイバー攻撃を仕掛けるものです。有名なものに“フィッシングメール(偽装メール)”があります。取引先や知り合いを装ってメールを送信し、ウイルス付きのURLやファイルに誘導します。

安心してURLやファイルを開くとウイルスに感染し、パソコンやスマホに記録された情報が盗まれることになります。最悪の場合、ウイルス感染した端末が中継器となり、企業のネットワーク全体に感染拡大することもあります。

ランサムウェア

“身代金(ransom)”を目的としたサイバー攻撃のことです。標的型攻撃などの手口でターゲットのパソコンに侵入すると機密情報を勝手に暗号化します。犯人以外は機密情報を閲覧したりアクセスしたりすることができない状態になります。この情報を閲覧できるようにするため、犯人は身代金を要求します。

2017年、アメリカのある病院がランサムウェアの標的となり、一切の電子カルテが閲覧不可になりました。このような重要な情報は企業にとって日々の業務に欠かせないものだけに、身代金を支払うというケースもあります。

水飲み場型攻撃

ターゲットを直接攻撃するのではなく、よく利用しているWebサイトにサイバー攻撃を仕掛けるという手口です。サバンナにいるライオンが、水飲み場にくるシマウマなどの草食動物を待ち伏せするシーンをイメージするとよいでしょう。

サイバー攻撃を受けたWebサイトは情報を書き換えられたり、ウイルス付きのURLが添付されたりします。いつものように安全だと思ってWebサイトを訪問すると、パソコンがウイルス感染したり、情報を盗まれたりするのです。

DoS攻撃 / DDoS攻撃

サーバーの処理能力の限界以上に外部からアクセス負荷をかける攻撃を仕掛けるという手口です。処理能力を超えたサーバーは性能がいちじるしく低下し、レスポンスの低下や場合によっては機能の一部または全てが停止することさえあります。

DoS攻撃/ DDoS攻撃の恐ろしいところは、いつ・どこから攻撃されるのか分からないという点です。そのうえ、集中的に攻められるとすべてを防ぎきるのは困難なものとなります。

ゼロデイ攻撃

定期的に更新される修正プログラムのセキュリティホールを狙ったサイバー攻撃です。セキュリティホールのすべてに対処するのはコストがかかるため、セキュリティホールはソフトウェアの流通後に少しずつ修正されます。

プログラムによっては修正されていないセキュリティホールが残ったままの状態にあるため、サイバー攻撃の標的にされやすいのです。ただ、プログラムの修正は開発会社の問題なだけに、ユーザーが実施できるセキュリティ対策はあまりないでしょう。

クロスサイトスクリプティング

掲示板やブログの投稿部分を利用して、不特定多数に対してサイバー攻撃を仕掛ける手口です。例えば、アクセス数の多い掲示板にウイルス付きのURLを掲載しておくと、ウイルス感染を簡単に拡大させられます。

自社に直接的な被害がなくとも、運営するWebサイトから被害者が拡散されるだけでも企業イメージの悪化につながります。一度失ったイメージは簡単には回復できないだけに、無視できないサイバー攻撃でしょう。

ブルートフォースアタック

“総当たり攻撃(Brute-force attack)”とも呼ばれ、無数にあるID・パスワードの組み合わせをひとつずつ試していくというものです。人間の手作業ではまず不可能ですが、高性能なパソコンを使用すると十分に実行可能です。

このブルートフォースアタックを簡単に実行できるツールもあるようです。このツールを使えば、まったくの素人であっても企業のID・パスワードを解読できるかもしれないのです。

Webのセキュリティ対策 基本5か条

ここまでサイバー攻撃の種類と脅威について見ていきました。ただし、Webのセキュリティ対策はとても専門的な分野なだけに、完璧にこなすことは困難です。そこで、実践すべき基本の5か条をご紹介します。

対策ツールの導入と更新

Webのセキュリティ対策の基本となるのが“ウイルス対策ツール”のような対策ツールの導入と更新です。サイバー攻撃は日々進歩しています。たとえウイルス対策ツールを使用していたとしても、古いままでは最新のサイバー攻撃に対応できません。これはウイルス対策ツールに限らず、あらゆるアプリケーションやミドルウェアにも当てはまることですので、定期的に更新しセキュリティの脆弱性のリスクの低い最新のものを利用することが重要です。

情報の取り扱いの周知徹底

情報漏洩でよくあるのが社員の“ついうっかり”です。Webのセキュリティ対策を行っていても、社員が意識不足では効果を発揮できません。「見知らぬ相手からのメールは開かない」といった基本的なルール策定をはじめ、定期的に講習会を開くなどして社員全員に情報の取り扱いについて周知徹底しましょう。

定期的なバックアップ

どれほどWebのセキュリティ対策を行っても、すべてのサイバー攻撃を防ぐこと不可能です。万が一に備えて定期的なバックアップを取るとよいでしょう。もし、サイバー攻撃でWebサイトが停止しても、バックアップを利用してWebサイトを再開できる場合があります。

パスワードの設定と管理

Webのセキュリティ対策で意外と見逃されがちなのがパスワードの設定と管理です。共通のID・パスワードを複数人で利用して、Webサイトを運用している方もいらっしゃるのではないでしょうか。共通のものでは誰から流出したのかの特定が困難です。少なくともWebサイトの運用に関わっている社員全員分のID・パスワードを準備し、できれば閲覧できる権限まで細かく設定するのがいいでしょう。

万が一の対処マニュアルの作成

先述したように、Webのセキュリティ対策に100%の安心はありませんが、万が一の“対処マニュアル”を作成しておくとよいでしょう。万が一、第三者に侵入されたときに、情報漏えいしたときにどう対処するのかを事前に決めておけば初動が早くなります。初動が早ければ、それだけ被害の拡大を防ぐことができるでしょう。

WEBSASくん

Webのセキュリティ対策は定期的に見直しを!

サイバー攻撃の手口は時代とともに進化を遂げ、件数も年々増加傾向にあります。その為、Webのセキュリティ対策も定期的に見直し、時代に合わせて更新していかなければいけません。

今回紹介したサイバー攻撃の種類と脅威、Webのセキュリティ対策はあくまで基本的なものです。この記事をきっかけにWebのセキュリティについて改めて検討し、対策を進めてみてはいかがでしょうか。