サイバーセキュリティリスクと自社ホームページのリスク低減

サイバーセキュリティリスクについて

数あるサイトの中から弊社のサイトを訪問していただき誠にありがとうございます。 今回は、昨今問題となっている情報セキュリティについてお伝えしたいと思います。

Windows95の登場によって爆発的に普及したインターネットはもはや私たちの生活に欠かせないものとなりましたが、利便性を得られた反面、その負の側面が大きくなってきています。

デジタル化が叫ばれ、AIの登場とその進化、またIoTにより全ての物がインターネットに接続されることで、第３次産業革命などとも呼ばれたりしました。 そしてそこでやりとりされるデータも、個人情報やクレジットカードなどの金融情報などにも拡大し、その内容も複雑化しています。

ビッグデータと呼ばれる大規模なデータはビジネスにおいて欠かせないものとなり、その分析と利用によってよりビジネスを効率化することも可能となってきています。 その分析を担うデータサイエンティストは人材が不足し、どの企業も確保に苦労しているのが現状です。

その生活が便利になる一方で、そのデータの漏洩等や、巧妙なデジタル犯罪によってその安全性が脅かされています。 昨今で最も企業にとってダメージが大きかったのは身代金ウイルスによる犯罪でしょう。

これらは大企業の問題と捉えられていますが、インターネットに接続するもの全てが、その標的になる可能性があり、それは小規模な企業でも変わりはありません。 そこに金銭的なメリットがないのならば、それを足がかかりにする攻撃が増加しています。 いわゆる踏み台攻撃といわれるものですが、知らず知らずに犯罪の手助けをしてしまう可能性があります。 特に脆弱なものは、IoT機器のセキュリティです。数年前にMIRAIというウイルスがIoT 機器の脆弱性を利用して、拡大しました。

IoTの利用がすぐに危険につながるわけではありませんが、これはパソコン等のセキュリティ対策は行われても、それに接続される情報機器のセキュリティは疎かになっているケースが考えられます。 例えば、使用しているパソコンのセキュリティアップデートは確実に行われているが、それと関連する機器のアップデートは行われておらず、その脆弱性を利用され被害に遭うというケースです。 そのため、パソコンだけではなく、インターネットに接続される機器は、定期的なファームウエアのアップデートが必須であり、パソコンと同様の取り扱いを行う必要があります。

そして古い機器はサポート自体が終了していることもあるため、最新の機種に更新することも重要です。

ホームページのセキュリティリスクについて

前述したケースは、社内のシステムにおける攻撃についてのものが、多くありますが、それではほとんどの企業が所有しているホームページについての危険性はどのようなものがあるのでしょうか。

ホームページが公開されるWEBすなわちインターネットは不特定多数により接続・閲覧されることで、その利便性を享受できます。 そのため、常に危険性が内在しています。社内のイントラネットなど限られたネットワークの利用ではそれほど問題とはなりませんが、全世界がネットワークでつながっている以上、そこにはリスクが存在すると認識するべきでしょう。 隔離された社内のイントラネットであっても、ウイルスに感染したPCが接続されれば、ネットワークに接続された機器が簡単に被害を受けるように、全世界におよぶインターネットの危険性は容易に想像できます。

世界中からアクセス可能なホームページはそのようなリスクにさらされていることをまず知ることが重要です。 ただ現在は当然これらのリスクを軽減するサービスが提供され、適正な方法をとっていればリスクを低くすることが可能です。 その内容を見ていきましょう。ここでは一般的なブログやお知らせなどを配信できるCMS(コンテンツマネジメントサービス)を搭載したコーポレートサイトを想定して話を進めていきます。

ホームページの公開方法について知る

ホームページを公開（デプロイといいます）する方法ですが、いくつか選択肢があります。いわゆるインフラと言われる分野です。

• 1.自分でサーバーを用意する
• 2.レンタルサーバーやクラウドサービスを利用する
• 3.ホームページ作成サービスを利用する

そしてホームページのの制作においても自社で行うのか他社に依頼するのかで異なります。 他社でおこなうのであれば、デプロイを含めセキュリティについても依頼すると思うのでここでは省略します。

自社で制作する場合、安全な度合いは、３、２、１の順番となります。 ３を利用する場合、多くの場合、そのサイトの保護機能が担保されており、安心して利用できるケースが多いでしょう。利用料金を支払えば、だれでも簡単にサイトを制作できます。デメリットとしては、細かいカスタマイズが難しい。そのサービスに依存してしまうリスクがある。などが考えられます。

問題となるのは１と２です。 １の場合、自社でサーバーを用意して、展開するのはそれなりの技術力も必要でサーバーやネットワーク機器など実機の用意も必要なため費用がかかります。これだけの知識があればセキュリティにも精通していると考えられます。そのため、多くの場合、問題となるのは２のケースでしょう。

自社でサイトを制作し、気に入ったレンタルサーバーや、クラウドサービスを利用するケースです。多くの場合、セキュリティリスクが存在するのはこの部分になると考えられます。コストも３つの中で最も抑えることが可能で、カスタマイズも可能です。将来の運用の自由度も高まります。 機器を用意することなく、WEBを展開できる反面、そのセキュリティについてあまり考えることも少なくなるからです。あまりセキュリティの対策を考えずに利用してしまうケースです。

多くの場合これらのサービスは、責任共有モデルを用意して、ユーザーと運営会社の責任範囲を明確にしています。そのため、サービス会社のセキュリティが万全であっても、ユーザーの責任範囲において、脆弱性があり被害に遭ってもそれはユーザーの責任となります。

そのため、責任範囲においては自社で対応しなければなりませんが、そこが疎かとなり被害に会うケースが多いのです。

攻撃の種類を知る

次にセキュリティの種類です。攻撃の内容をまず知ることが重要です。 これらに対応する方法はどのようにすればいいのでしょうか。 セキュリティ対策を外部の専門家や機関に依頼していれば、安心感が高まりますが、それにはコストがかかってしまいます。 そのため自社運営されているケースも多いと思います。それでは攻撃の種類を見ていきましょう。

代表的なWEBサイトへの攻撃手法

1.クロスサイトスクリプティング(XSS)

こちらは意図することはWEBサイトに意図しない動作をさせるという点は同じですが、DBではなく、WEBページを操作します。 例えば、入力フォームなどにプログラムを送信する攻撃です。 ページを書き換えたり、動作を変えてしまいます。 悪意のあるページへと誘導したりして、情報を抜き取ったりします。

2.SQLインジェクション

なんらかのデータをサーバーに保存する場合、DB（データベース）保存の際にDBを動かすSQL言語が利用されます。 それを悪用して異なった命令を流し込み、データを盗んだり、サイトに何らかの悪影響を与えたりします。

3.ブルートフォースアタック（総当たり攻撃）

パスワードにいろいろな文字を機械的に入れてログインを試みる攻撃です。簡単なパスワードは簡単にスルーされてしまい、ログインされることで機密情報を抜き取られたりします。

4.DDOS攻撃

サイトに多数のアクセスをする攻撃をかけてダウンさせてしまう攻撃です。サイトが正常に閲覧できなくなります。

攻撃からの防御方法

それではそれらの攻撃からサイトを守るにはどうすればいいのでしょうか。 代表的な防御方法は以下となります。

不正な通信を遮断する。

1.ファイアウオールを導入する。

今や一般のPCにも導入されるセキュリティ対策で、不要なポート（通信の入り口）を閉じて、不正なアクセスを遮断します。

2.IPSを導入する

侵入防止ガードシステムとも呼ばれています。なんらかの通信が行われる以上、ファイアウオールだけでは完全に不正アクセスを防ぎきれないケースがあります。そのため、IPSを導入することで例えば、不明なIPアドレスの通信を遮断するなどして、そのアクセスを遮断します。

3.WAFを導入する。

サイバーセキュリティの難しい点は、正常なアクセスと不正なアクセスが混載することです。前述したSQLインジェクションやXXSはファイヤウオールやIPSでは某業できません。そのため、WAF（ウェブアプリケーションファイアウオール）を導入することでこれらの攻撃を検知し、不正アクセスを遮断します。

4.WEBサイトの脆弱性を減らす。

前述の防御は、デプロイサービスに含まれていたり、オプションで導入したりできます。しかしコストがかかり、その運用も技術知識が必要です。（昨今はかなり簡単にはなってきていますが） そして、費用がかからず、全ての基礎になるのが、ソフトの定期的なバージョンアップによる脆弱性のリスク削減です。継続的な対策が必要です。

5.その他の対策

ウイルス対策ソフトの導入も有効です。サーバーの監視及びログのアクセス解析などにより、攻撃の予兆や予防を実現することができます。 しかし、これらには専門的な知識が必要であり、自社で行えない場合、外部のサービスなどを利用することが有効です。 またあらかじめそのようなサービスが含まれている、デプロイサービスを利用することが有効です。

静的サイトと動的サイト

展開方法がわかったところで、もう少しホームページ制作とデプロイについてもう少し深いところを見ていきたいと思います。 少し技術的な話となりますが、WEBサイトには静的サイトと動的サイトという概念があります。英語でSTATICとDYNAMICです。なお動的についても、２通りの解釈が可能です。 少し技術的な話になりますが、クライアントサイドとサーバーサイドです。ここでは詳しい説明はまたの機会として、サーバーサイドに関するものを動的と表現します。 簡単な動き、例えばボタンを押すと何かが動くというようなものも、動的にはなりますがここではそれらは含めません。あくまでサーバーがサイトを更新するというようなものについて述べています。

静的と動的サイトの違いは、簡単に言えば、サーバーに、広告のポスターだけを置いておくのか、ポスターと一緒に、絵を描く道具を置いておくのかどうかということです。前者が静的で後者が動的です。

誰かがサーバーに侵入してそのポスターに悪さをしようと思った時、どちらを狙うでしょうか。道具は自分では持っていないと仮定します。この場合、誰もが後者を狙うと思います。 道具があるのですから、それで書き直すなど色々なことができます。

これがホームページのセキュリティにおける重要な概念です。ATTACKING SERFACE（攻撃可能箇所）とも言われたりしますが、この違いを理解するだけでも、相当なセキュリティ対応の違いが生まれます。

もちろん、静的なサイトであれば１００％安全とも言えませんが、もし犯罪者であればより狙いやすい方を狙います。さらに動的なサイトは多くのプログラミングの集合体でできており、その内容も高度で複雑な分、穴も見つけやすいのです。その結果サービスも複雑化し、収益性を高めやすくなり、貴重なデータも存在する可能性が高くなります。

そのため、まずは何をしたいかを考え、コーポレートサイトなどであれば、静的なものを選択する方が有効と判断できます。 静的なサイトにもデメリットがあります。 それは前述したようにポスターが貼ってあるだけというイメージのため、その内容をユーザーによって変更するなどの動的な動作を行うことが困難です。しかし、ある程度は解消されてきています。

例えばブログなどの記事を書いて展開することや、顧客データを登録したいなどの対応が難しいことがあります。 しかし昨今では、CMS（コンテンツマネジメントサービス）等では動的なサイトである必要がありましたが、最近では静的サイトでも対応ができるようになってきています。

さらに、いわゆるインフラというWEBサイトを世界に公開するためのプラットフォームを提供するサービス会社が簡単に導入できるように機能を提供していますので、簡単に動的な要素を取り入れることができます。

それでは動的なサイトだと思われるかもしれませんが、こちの場合は、静的なサイトに追加するというイメージとなり、従来の動的なサイトが全てを担うという点と比較して異なります。

安全な運用のために

このようにWEBサイトの安全性を保つためには、数々の技術的な対応を行う必要があり、複雑化しています。 そのため、自由度と制約のバランスを取らなくてはいけません。 過度に意識すると何もできなくなりますので、不安な場合は、前述したサイト制作サイトを利用すれば安心です。もう少し自由度が欲しければ、サイトデプロイサービス（WEBサイトを公開するプラットフォーム）も高いセキュリティを誇っていますので、静的なサイトであれば高い防御力を有していると考えていいと思います。

それよりも大切なのは定期的なアップデートなどによる脆弱性の排除、機密情報を公開しないなどの基本的な対応が重要なのは言うまでもありません。 これらだけでも相当の攻撃は回避が可能です。

そして最悪の場合に備えて、主に損害保険会社が提供している、サーバーセキュリティ保険をかけておけばさらに安心です。

一度自社のサイバーセキュリティについて見直してみてはいかがでしょうか。