【セキュリティ入門】ホームページ制作で知っておきたい基礎知識

更新日:2017年04月24日 | 公開日:2017年04月24日

ホームページ制作におけるセキュリティ対策

ホームページを制作するにあたり、その業務を任された担当者は、デザインやコンテンツといったユーザーに見える部分はもちろんのこと、運用体制や管理体制といった裏側の部分も考えることが、とても重要となります。

なかでも「セキュリティ」を考慮することは最重要課題だといえるでしょう。悪意あるサイバー攻撃は年々増加しており、その攻撃方法も変化しています。不正にアクセスされ、顧客情報や機密情報が流出してしまっては会社にとって重大な問題となります。

そのため、ホームページの制作担当や運営担当になったのなら、「セキュリティなんか関係ない。知らなくてもいい」とは言っていられません。しかも、セキュリティ対策はいつまで経っても終わりのない戦いでもあります。最低限の知識だけは持っておきたいものです。

1. とっても怖いサイバー攻撃

サイバー攻撃とは、悪意をもった人間がテクノロジーを駆使してインターネットからホームページなどに対して攻撃してくることをいいます。ホームページやサーバーでセキュリティが弱体化している部分を探し出し、その部分を突き、サーバーから情報を盗んだり、ホームページを改ざんします。

そんなサイバー攻撃の対象は国や大手企業のホームページだけではありません。無差別に攻撃してくることもあるため中小企業であっても例外ではないのです。「うちの会社には関係ない」と安心していられません。

2. 運営側が受ける被害

サイバー攻撃を受けるとどんな被害が発生するのか? 多くの人は理解していると思いますが、簡単におさらいしたいと思います。

2-1. ページが違うものになっている

ホームページの全体や一部が書き換えられてしまうことがあります。また、見た目は同じでもリンクが悪意のあるホームページに飛ばされるように書き換えられてしまうこともあります。

2-2. サイトがまったく見れなくなる

悪意を持って一度に、大量にホームページにアクセスするといった攻撃をされることがあります。すると、サーバーは処理能力の限界を超えてしまい、サイトの表示が遅くなったり、まったく見えなくなったりします。

2-3. 社会的信用を失う

ホームページ運営側の一番、大きなデメリットは、会社の信用を社会的に失ってしまう可能性があることでしょう。機密情報が悪意のある者の手に漏洩することで会社の事業に致命的な打撃を受けることにつながります。また、被害を受けると損害状況の調査やユーザーへの損害賠償などに多額の費用がかかってしまいます。特にユーザーの個人情報を扱うECサイトや、メールアドレスなどを登録させるホームページなどは注意が必要となります。

3. 利用者に及ぶ被害

運営側にデメリットがあるだけならまだしも、そのホームページを利用したユーザーにも被害が及ぶ場合があります。被害が露見した場合、素早い謝罪の対応が重要です。「トラブルが起きたら考える」ではなく、ホームページの運営体制として、事前にトラブルが発生したときの対応マニュアルを準備しておく必要があります。

3-1. 身に覚えのない請求が届く

ECサイトなどで個人情報を取り扱っている場合、そのデータが悪意のある者によって盗まれ、架空請求業者に渡るとユーザーに架空請求が届く場合があります。また、メールアドレスが盗まれるとユーザーに広告やスパムメールが送られてしまうことにもなりえます。

ECサイトでIDとパスワードが盗まれると、盗んだものが勝手に商品を購入し、請求だけがされる、ということになります。

3-2. ログインできなくなる

IDとパスワードが盗まれることで、アクセスできなくなることもあります。そのことで、マイページにある個人情報を盗まれることもあります。

4. セキュリティを理解しよう

セキュリティ対策では、入力フォームに入力した認証情報や個人情報、決算情報などのデータを安全に扱うため、SSLという暗号化送信技術が利用されています。しかし、サーバー攻撃は高度化し、SSLだけでは守れなくなってきています。webアプリケーションやシステムの脆弱性(セキュリティホール)といった欠陥を突いた、さまざまな攻撃を仕掛けてきます。ホームページの管理者はそれらの攻撃に対応しなければなりません。サーバー攻撃の例を3つ、紹介します。

4-1. SQLインジェクション

webアプリケーションのセキュリティの不備を利用し、webアプリケーションにSQL文を実行させ、データベースを不正に操作する攻撃方法です。改ざんしたり、個人情報の漏えい、ウイルスなどを置かれることがあります。

4-2. XSS(クロスサイトスクリプティング)

悪意のある攻撃者が入力フォームなどから攻撃用のスクリプトコードを混入させ、ホームページ上で実行させる攻撃方法です。入力フォームに脆弱性があるとコンピューターがスクリプトを実行してしまいます。

4-3. CSRF(クロスサイトリクエストフォージェリ)

webアプリケーションのサーバー側機能を、ユーザーの意図とは違って勝手に実行させる攻撃方法です。悪意のあるホームページに用意したコンテンツに、罠を仕組んだリンクなどを用意し、正規にログインした状態のユーザーを誘導し、ボタンをクリックしたことで、オンラインショップで買い物をさせられたりします。

5. セキュリティに強い制作会社を選ぶ

ホームページの制作でセキュリティを優先して考えるのなら制作会社はやはり、セキュリティに精通している制作会社が安心です。また、独自でサーバーも検討するならセキュリティに定評のあるレンタルサーバーを選びたいものです。

5-1. 株式会社ティファナ・ドットコム

大手一流企業においてweb制作の実績があります。ISO27001 認証取得(情報セキュリティマネジメントシステム)などの国際規格ISO認証を取得していおり、脆弱性診断、webサイト改ざん検知などのサービスも展開しています。また、AIの分野にも取り組んでいます。

5-2. 株式会社エスアンドシー

福島県郡山市にあり、地元の企業を中心に数多くの実績を持っています。強みを「市場調査に基づいた集客・収益アップ戦略」「WEBサイト公開後の保守サポート」「堅牢で安心なセキュリティ対策」の3つとしており、セキュリティも含めてトータルに対応しています。

5-3. 株式会社 KDDI ウェブコミュニケーションズ

KDDI ウェブコミュニケーションズが運営する「CPI」は、レンタル・専用サーバーです。ビジネスユースに実績を誇っています。最高水準の大容量・高速回線と、ビジネス基準のサービス設計で快適なレスポンスを実現しています。大切なデータを365 日24 時間で監視しています。

【まとめ】トラブルを避けるためにはいいパートナーを見つけること

ホームページの制作において、セキュリティ対策は必須となっています。トラブルがあったとき、責任を取るのは運営会社ですから、ホームページを作るあたってはセキュリティ対策に積極的なホームページ制作会社やレンタルサーバー会社を選びたいものです。

「近くにあるセキュリティに強い制作会社を知りたい」「どこがセキュリティに強いレンタルサーバー会社なのかがわからない」といった場合はぜひ、日本最大級の業者比較サイト「アイミツ」にご相談ください。

「アイミツ」ではご希望のサービス内容に応じて、もっとも適した業者を無料でご紹介させていただきます。

見積もり、取ってますか?

発注をする際に最も大切なことは適正価格を知ることです。
3~4社から見積もりを取ることで、
発注への納得度を高めることができます。

コンシェルジュ

発注は時間も手間もかかりますよね?

コンシェルジュが解決します!

コンシェルジュに相談、あなたにあった業者を提案、発注の手間を削減!

完全無料

まずはお気軽にご相談ください