ホームページ制作

あなたの発注コンシェルジュ

登録者数No.1
フリーダイアル

0120-917-819

営業時間 平日 10:00~19:00

【2019年最新】ホームページ制作担当者必見!知っておきたいwebセキュリティ対策

ホームページ制作におけるセキュリティ対策

更新日:2019年07月03日 | 公開日:2017年04月24日

ホームページの運営では、魅力的なコンテンツやユーザーの目を引くデザイン、あるいは売上につながる動線設計と同じくらいセキュリティ対策が重要です。

数多くの企業がインターネット上で情報提供や製品・サービスの販売を行い、社内外における重要な情報をやり取りする現代において、ネットワークを介して企業に損害を与えるサイバー攻撃の手口も多種多様になっています。インターネット上で稼働するすべてのホームページがサイバー攻撃のターゲットとなる可能性を秘めており、被害者になってしまった場合のダメージは決して小さくありません。あらゆる企業において、Web上のセキュリティ対策は必須事項だと言えるでしょう。

この記事では、サイバー攻撃の種類や企業に与える具体的な脅威をご紹介するとともに、その対策方法についても解説します。セキュリティ対策に強いホームページ制作会社もご紹介しますので、「社内にwebセキュリティの専門家がいないけれど安全にホームページを運用したい」という方もぜひ参考にしてみてください。

サイバー攻撃の脅威

サイバー攻撃とは、データが保存されているパソコンやサーバーなどにネットワーク上から侵入して危害を加える行為です。具体的には、ホームページに関わるデータの不正入手、破壊、書き換え、消去などが挙げられ、インターネットにつながっていれば個人・法人や規模を問わず被害を受ける可能性があります。

顧客との接点やサービスの提供の大部分をインターネットに頼るケースも珍しくない現代において、もし企業のホームページがこのような被害に遭えば、甚大な損害を招きかねないことは想像に難くありません。そのため、サイバー攻撃にはどのような種類があるのか、どのように対策を取れば良いのか把握しておくことが極めて重要です。

攻撃例(1)SQLインジェクション

SQLインジェクションは、webアプリケーションの脆弱性(セキュリティ上の欠不備)を利用してデータベース上のシステムを不正に操作する行為です。SQLというサーバーを操作する命令文を使い、不正な指示を注入(インジェクション)することからSQLインジェクションと呼ばれています。

SQLインジェクションの被害に遭うと、個人情報の流出やホームページの書き換え・消去などの被害を受ける可能性があります。最悪、ホームページのデータがあるサーバー自体を乗っ取られる危険性さえあるのです。実際に国内外の大手サービスサイトや企業のホームページも被害に遭っており、内容の改ざんや情報漏洩など大きなトラブルに発展しています。

攻撃例(2)XSS(クロスサイトスクリプティング)

XXSは、SNSやネット掲示板など管理者だけでなくユーザーも情報を追加できるタイプのホームページに仕掛けられるサイバー攻撃です。セキュリティ上の不備を利用して、本来は健全なホームページ上から悪意あるwebページへ誘導するような罠を張り、ユーザーの個人情報を盗み取ろうとします。

たとえば、会員登録やコメント投稿のフォームに入力して情報を送信すると、フィッシングサイトなど悪意のあるホームページにリンクされて個人情報を抜き取ってしまうのです。つまりXXSの場合、直接的に被害を受けるのはホームページを利用しているユーザー、つまり企業の見込み客やファンということになります。

攻撃例(3)CSRF(クロスサイトリクエストフォージェリ)

CSRFもXSSと同様、掲示板や入力フォームのあるホームページが被害に遭うサイバー攻撃です。罠を張られたwebページにユーザーがアクセスすると仕掛けが作動し、そのユーザーになりすましたかのように勝手にSNSを投稿する、オンラインショップで買い物をするなど、インターネット上でさまざまな行為が勝手に行われてしまいます。

過去には、CSRFによってユーザーの意思とは関係なく日記が投稿されてしまい、さらにその投稿にCSRFを誘発するリンクが貼られていたため、爆発的に被害が拡大してしまいました。また、ネット上でCSRFによるなりますましの殺害予告が出され、被害を受けた複数のユーザーが誤認逮捕されるという事件も発生しています。

サイバー攻撃がもたらす被害

ホームページがサイバー攻撃の被害に遭った場合、企業が受けるダメージは非常に大きなものとなりえます。損害度合いや業種・業態によっては製品やサービスの提供さえ危ぶまれ、仮に復旧させたとしても長きにわたって業務や対外的な信用において後遺症を引きずることになるでしょう。
ユーザーから支持されている企業やホームページであるほど、企業自身だけでなく顧客にも大きな被害がもたらされる可能性が高くなるため、注意が必要です。

出典セキュリティ対策

企業側への被害

自社のホームページの内容が書き換えられたり消去されると、ユーザーに正しい情報を伝えたり見込み客へのアピールができなくなります。また、サーバーへ大量の情報を送って負荷をかけてパンクさせるといった攻撃を受けると、ホームページがダウンしてしまいアクセスさえ不可能となるのです。

もし、収益の大半をオンラインショップなどインターネット上で販売している製品やサービスに頼っていた場合、企業が多大な損失に被ることは必至でしょう。個人情報を盗まれて流出が発覚でもすれば社会的な信用の失墜にもつながります。たとえ優れた製品やサービスであっても、ウィルス感染や情報漏洩などのリスクがあればユーザーはアクセスを躊躇するようになり、一度そうなってしまうと信用を回復するのは至難の業です。

顧客側への被害

ユーザーが受ける被害として真っ先に挙げられるのは、個人情報の流出でしょう。会員サイトのデータベースに侵入されれば、氏名や住所、メールアドレス、電話番号が奪われ、営業リストとして悪質な業者の手に渡る可能性があります。自分の名前やIPアドレスで勝手にSNSに書き込まれたり詐欺の片棒を担がされたりすれば、社会的な信用を失うどころかえん罪に巻き込まれる可能性さえあるのです。

たとえ重大な被害を受けなくても、たとえば調べもの中に書き換えられたホームページに当たってしまえば間違った情報を覚えてしまいますし、日用品や食料品を購入しているオンラインショップが利用できなくなれば普段の生活にも支障が出てくるでしょう。

ターゲットは中小企業

成功すれば広範囲にわたってダメージを与えられ、金銭目的であれば大きなリターンを見込める。そう考えるとサイバー攻撃のターゲットになるのは大企業ばかりだと考えるかもしれません。しかし、近年では多くの中小企業がサイバー攻撃の餌食になっています。その理由は、大企業に比べてセキュリティ対策に不備があるケースが多いからです。

攻撃をする側にしてみれば、防御が固く攻撃の難しい大企業を狙うよりも中小企業を狙う方が効率よく成果を得ることができます。また、傘下の会社である場合や取引関係があるといった理由によりネットワーク上で大企業とのつながりがある場合も狙われやすくなります。最初から大企業に攻撃を仕掛けるのでなく、セキュリティの穴がある中小企業を経由して大企業のデータベースに侵入するという方法が取られるのです。

【防御システム】セキュリティ対策3選

さまざまなサイバー攻撃の脅威にさらされる中、ただ手をこまねいているばかりではいられません。攻撃からホームページを守るためのセキュリティ対策を講じましょう。

ご存じの人も多いと思いますが、サイバー攻撃とセキュリティはイタチごっこの関係にあり、セキュリティシステムを構築しても被害を完全に防ぐことは難しいです。しかし、決して無駄ではありません。空き巣は解錠が可能だとしても侵入に5分以上かかる場合は諦めるといわれるように、インターネット上のサイバー攻撃もセキュリティの甘いホームページの方が狙われやすくなるのです。

認知度が高く高い効果を見込めるセキュリティシステムを3つご紹介しますので、参考にしてみてください。

ファイアウォール

ファイアウォールは、ほとんどのパソコンにあらかじめ組み込まれているセキュリティシステムです。導入が容易で、ファイアウォール(防火壁)の名前のとおり高い防御力を誇ります。

ファイアウォールの主な機能はポート上のセキュリティ制御です。パソコンをインターネットに接続する際、パソコンはポートという情報の通り道を開くのですが、このポートから不正なプログラムやウィルスなどが侵入しようとするとファイアウォールはそれを感知してポートを閉じてくれるのです。

また、パソコン側からネットワーク上にウィルスが流出しそうになった際も、ファイアウォールが検知し外部とのアクセスをシャットダウンしてくれます。これにより、たとえば社内ネットワークに接続しているパソコンから社内全体へウィルスが広がるのを防いでくれるでしょう。

ファイアウォールには、特定のプログラムやソフトウェアに強いものもあります。環境に合わせて使い分けることで、さらにセキュリティ強度を高めることが可能です。

IPS(Intrusion Prevention System)

日本語で「侵入禁止システム」を意味するIPSは、悪質なアクセスやハッキングを検知・遮断し通知するセキュリティシステムです。検知のみの機能を持つIDSというシステムの名前を取ってIDPSと呼ばれることもあります。

記憶されたサイバー攻撃のパターンに基づいてネットワーク上のやり取りを常時チェックし、ファイアウォールで防げなかった不正アクセスを検知・遮断し管理者に知らせてくれます。ファイアウォールとあわせて導入することでより堅牢なセキュリティ体制を構築することができるでしょう。

ただし、サーバーに大量のトラフィックを送りつけてパンクさせようとするDos攻撃のような明らかに悪質のある攻撃には非常に強いですが、他社のIPアドレスを使って不正なアクセスを行う「なりますまし攻撃」には対応できないのが難点です。

また、セキュリティパフォーマンスをフルに発揮させるには、環境に合わせて設定をチューニングすることがポイントとなります。

WAF(Web Application Firewall)

WAFはwebアプリケーションに特化したタイプのファイアウォールです。通常のファイアウォールやIPSの機能は、あくまでネットワーク上の不正なアクセスやウィルスを監視するものであるため、基本的にwebアプリケーションに対するセキュリティは守備範囲外。しかしその反面、近年のホームページは検索機能や投稿機能、会員登録機能など何らかのwebアプリケーションを有しているケースが大半であるため、この点を介した攻撃への対策は必須といえるでしょう。

具体的には、先ほどご説明したXSSやCSRFなどのサイバー攻撃が該当します。このwebアプリケーションを介した攻撃に対して力を発揮するのがWAFなのです。特に、会員制サイト、口コミサイト、オンラインショップ、SNSなど、インターネット上で何らかのサービスを行っている企業では導入が必須といえます。最近では、クラウド型のWAFも登場して導入費用が小さくなっていることから、コストパフォーマンスの高いセキュリティ対策となるでしょう。

セキュリティ対策に強いホームページ制作会社3選

セキュリティ対策はホームページ運営において欠かせないものです。しかし、セキュリティシステムの性能をフルに発揮するためには、セキュリティソフトやネットワークに関する深い知識と運用スキルが必要となります。素人では何をどのように設定すれば良いか見当さえつかないケースもあるでしょう。

また、自社のホームページにとって最適なセキュリティシステムが何なのか判断が難しい面もあり、ここを間違うと無駄な費用ばかりが発生してしまうことになります。「餅は餅屋」というように、万全なセキュリティシステムを構築してホームページを運用する確実な方法は、専門家にシステムの構築を依頼することです。

ここからは、セキュリティ対策に特化したホームページ制作会社をご紹介します。

株式会社ティファナ・ドットコム

ティファナ・ドットコムは、webデザイン・システム開発、コンテンツ制作、AI導入・スマホ・EC・CMS・常駐支援などのトータルサービスを提供するweb制作会社です。利益を生む企業サイト制作を強みとしており、鉄道会社や通信会社など大手企業からの受注をはじめとして20年の実績を誇ります。
大手企業のホームページ制作においては、その規模の影響の大きさからセキュリティへの基準が高い傾向にあります。そのような中、数多くの大手企業から受注を受けている点はセキュリティシステム構築のレベルの高さを裏付けるものと言えるでしょう。ティファナ・ドットコムでは、ホームページの制作にあたり独立行政法人情報処理推進機構(IPA)のセキュリティセンターから配布されている「安全なウェブサイトの作り方」に準拠した制作を行っています。この資料には、先にご紹介したSQLインジェクションやXXSなどの対策も盛り込まれていることから、さまざまなサイバー攻撃を防ぐことのできる安全性の高いホームページ制作を依頼できるでしょう。

株式会社エスアンドシー

エスアンドシーは、福島県郡山市に本社を置くホームページ制作会社です。市場調査に基づいた集客・収益アップ戦略とホームページ公開後の保守サポートよって、多彩なジャンルのクライアントから支持を得ています。集客戦略と保守サポートにあわせて強みの三本柱のひとつとなっているのが、堅牢なセキュリティ対策です。万が一のハッキングやデータ消失に備えて、セキュリティ対策のサービスを充実させており、トラブル対応も合わせて運用の保守体制も整えています。
web制作の中でも特に強みとしているのは、法律事務所や不動産業のホームページ制作です。少人数で事務所を運営している場合は、ホームページのセキュリティ対策まではしっかりと手が回らないことも多いでしょう。とはいえ、重要な情報を扱う機会が多く、セキュリティ対策に万全を期したい職種あることも事実です。その点を踏まえると、エスアンドシーは最適なホームページ制作の依頼先と言えるのではないでしょうか。

株式会社 KDDI ウェブコミュニケーションズ

KDDIウェブコミュニケーションズは、携帯キャリアauを運営するKDDIグループのwebサービス企業です。170万以上のユーザーが利用し2,000万以上のサイトで利用されている最大級規模のホームページ作成サービス「Jimdo(ジンドゥー)」を運営しています。
KDDIウェブコミュニケーションズでは、CPIというレンタルサーバーのサービスも行っており、サーバーのセキュリティ対策に力を入れています。24時間365日にわたってサーバーを管理・管理しており、また、プランに応じて専用ファイアウォール、侵入検知システム(IDS)、WAF、Web改ざん検知などのセキュリティシステムを一括で導入することが可能です。1997年の事業開始から20年以上にわたって蓄積した技術とノウハウにより、ホームページ制作やwebアプリケーション開発会社をはじめ、大手企業、官公庁、外資系企業など、数多くのクライアントから支持されています。

【まとめ】ホームページのセキュリティ対策は必須!

情報セキュリティ

インターネットによるサービスの提供やインフォメーション案内、ネットワーク上での顧客管理などがメジャーとなった現代、サイバー攻撃によるダメージは企業において致命傷となる危険性さえはらんでいます。ユーザーにも被害が及ぶ可能性がある以上、企業が100%被害者として振る舞うことも許されません。管理責任を問われることは免れないでしょう。個人情報の漏洩が度々ニュースになるなどメディアで取り上げられやすいトピックでもあるため、企業イメージの観点からもセキュリティ対策は万全を期す必要があるのです。

その一方、セキュリティシステムの構築は専門知識に堪能でないと多大な手間と時間を要するばかりか、本来の性能を発揮できない可能性さえあります。しっかりとシステムを築き上げ安心してホームページを運営するには、セキュリティ対策に強い専門の会社に任せるのが最も効率の良い方法となるでしょう。平時には恩恵の得られないものに費用をかけることにはなりますが、何かあった際の損失はその比ではありません。大切なポイントにはしっかりと投資して、盤石なweb体制を整えることをおすすめします。

アイミツでは、セキュリティ対策において高い技術と実績持つホームページ制作会社を比較・検討することが可能です。専門スタッフによるご相談も承っておりますのでお気軽にお問い合わせください

“ホームページ制作”のことなら
コンシェルジュに無料で相談!

お急ぎの方はこちら

0120-917-819

営業時間 平日 10:00~19:00

Kadono