Webセキュリティを見直してみませんか?
Webサイトが正しく表示されているというのは当たり前のことなのですが、監視サービスや目視などで毎日確認されていますか?弊社へあるお問い合わせでも、「ホームページが改ざんされてしまって、検知の仕組みを早急に導入したい」という内容を拝見します。
これらの改ざんに気がつく大半は、取引先やお客様がWebサイトにアクセスしたときに「おかしなサイトに誘導された」「ウイルス対策ソフトなどがブロックした」など、自社以外のお問い合わせで気がつくことが大半となっています。
結果、取引先やお客様からの信頼を損なうなど、企業ブランドに傷がついてしまうことにも繋がります。今回は、そのようなWebサイトのセキュリティ対策についてご紹介します。
1.Webサイトで講じるべき施策
Webサイトの運用については、IPA(情報処理推進機構)にて「安全なウェブサイトの運用管理に向けての20ヶ条 ~セキュリティ対策のチェックポイント~」が公開されています。
https://www.ipa.go.jp/security/vuln/websitecheck.html から引用。
(1)ウェブアプリケーションのセキュリティ対策
・公開すべきでないファイルを公開していませんか?
・不要になったページやウェブサイトを公開していませんか?
・「安全なウェブサイトの作り方」に取り上げられている脆弱性への対策をしていますか?
・ウェブアプリケーションを構成しているソフトウェアの脆弱性対策を定期的にしていますか?
・不必要なエラーメッセージを返していませんか?
・ウェブアプリケーションのログを保管し、定期的に確認していますか?
・インターネットを介して送受信する通信内容の暗号化はできていますか?
・不正ログインの対策はできていますか?
(2)ウェブサーバのセキュリティ対策
・OSやサーバソフトウェア、ミドルウェアをバージョンアップしていますか?
・不要なアカウントが登録されていませんか?
・推測されやすい単純なパスワードを使用していませんか?
・ファイル、ディレクトリへの適切なアクセス制御をしていますか?
・ウェブサーバのログを保管し、定期的に確認していますか?
(3)ネットワークのセキュリティ対策
・ルータなどを使用してネットワークの境界で不要な通信を遮断していますか?
・ファイアウォールを使用して、適切に通信をフィルタリングしていますか?
・ウェブサーバ(または、ウェブアプリケーション)への不正な通信を検知または、遮断していますか?
・ネットワーク機器のログを保管し、定期的に確認していますか?
(4)その他のセキュリティ対策
・クラウドなどのサービス利用において、自組織の責任範囲を把握した上で、必要な対策を実施できていますか?
・定期的にセキュリティ検査(診断)、監査していますか?
詳しくは、IPAのサイトを確認してください。沢山ありますが、これらを100%対応できていなくても、こうした内容があることを理解しておくだけでも変わってくると思います。
2.複数ソリューションで守ることが大切
ひとつのサービスで全てをカバーできれば良いのですが、なかなかそうもいきません。今回は弊社にて提供できるサービスを中心にご説明させていただきます。
・GRED Webセキュリティ診断 Cloud、脆弱性診断サービス
こちらは、Webサイトのインフラやプログラムに対して、脆弱性が存在しないかを解析するサービスです。これらの利用にて、先程のIPAの20か条の「1.ウェブアプリケーションのセキュリティ対策」、「2.ウェブサーバのセキュリティ対策」の大半を網羅することができます。
これら脆弱性診断は、Webサイトの公開時に実施されることが多いですが、脆弱性は日々発生しているため、定期的な実施が大切になっています。1年前は安全でも、今は安全ではないということです。
・SecureBrain Scam Radar(セキュアブレイン・スキャムレーダー)BD
こちらは、Webサイトというより、会員サイトなど、クレジット情報を含む個人情報の漏洩対策になります。先程のIPAの20ヶ条の「1.ウェブアプリケーションのセキュリティ対策」の中にある「不正ログインの対策はできていますか?」という項目にも該当すると思います。
昨今は、不正に入手された個人情報を用いて、ECサイトや金融商品を扱うサイト、会員サイトに不正にログインして、不正行為に及ぶような事件も多発しています。
こうした対策はWebサイトそのもののセキュリティ対策ではないのですが、Webサイトを運用している側の責任として、何かしらの対策を講じることが求められています。
・GRED Web改ざんチェック Cloud
こちらはWebサイトが改ざんされたことを発見するサービスです。IPAの20ヶ条に該当はしていませんが、先の通り脆弱性診断をしても、日々新しいWebサイトに関しての脆弱性が発見されている中で、対策を全て講じることは現実的に難しいと思います。
そこで、目視で確認しているのと同様に、サービスを用いて、Webサイトが正常に公開されているかを確認することで、Webサイトとしての機能を最低限担保することが可能になります。
GRED Webセキュリティ診断 CloudとGRED Web改ざんチェック Cloudには無料トライアルがございます。両サービスともクラウドサービスなので、検査するWebサイトのURLを登録するだけで、サービスの開始が可能です。お気軽にお申込みください。
■「GRED Webセキュリティ診断 Cloud」詳細ページ
https://www.securebrain.co.jp/products/gwsvc/index.html
脆弱性診断 無料トライアルはこちら
https://www.securebrain.co.jp/campaign/form-lite/
■「GRED Web改ざんチェック Cloud」詳細ページ
https://www.securebrain.co.jp/products/gred/index.html
改ざんチェック無料トライアルはこちら
https://www.securebrain.co.jp/products/gred/trial/index.html