こんにちは、キノトロープアカデミーです。

「キノトロープアカデミー」は、Web業界のトップランナーである株式会社キノトロープの社員が講師を務めるオンラインアカデミーです。リモートワーク時代に不可欠な「個のスキル」を高め、職人のような「匠」を目指す人を増やしたい。そんな願いを込め、基礎から経営判断、業務フローまで、一生モノのナレッジを惜しみなく公開していきます。

<初級編 第7回>
Webサイトにおけるセキュリティ
についてお伝えします。

担当は高橋です。

現代のWebサイト運営において、セキュリティ対策は企業の経営課題であり、果たすべき社会的責務でもあります。

万が一、個人情報の流出やサイトの停止が発生すれば、損害賠償だけでなく、企業の信頼失墜や大きな機会損失につながりかねません。

Webサイトを守るためには、システムエラーや不正アクセスといった技術的な脅威だけでなく、誤操作などの人為的リスクも含めた多角的な視点が必要です。

サーバやシステムの脆弱性をなくす定期的なメンテナンス、そしてWAFやDDoS対策といった適切な防御システムを導入し、常に安心・安全な運用を継続できる体制を整えることが重要です

”Webサイトにおけるセキュリティ”をテーマに、
今日お伝えしたいことは3つあります。

いうまでもなく、Webサイト制作においてもセキュリティ対策は重要な考慮すべき事項の一つです。

なぜ重要かですが、それは企業に様々な損害が発生するためです。
例えば、
・個人情報の流出による損害賠償
・サイト停止における機会損失
・ブランド価値、企業に対する信頼の失墜
などがあります。

Webサイトの重要性や、利用価値も年々増しており、Webサイトで取り扱うべき情報も増え、ECサイトではない場合でも、個人情報を扱い、個人に最適化した情報を提供するサイトも増えてきています。その分、個人情報が漏洩するリスクも上がっています。

また、ユーザが調べたり問題解決をする際にWebサイトに訪れますが、様々な業種でWebサイト経由でも申し込みや登録などが増えており、その時にサイトがつながらなかったり、停止していたりしたら、大きな機会損失となります。

そのため、企業に大きな影響を及ぼし、被害は取引先や顧客などの関係者へも波及します。当然、Webサイト制作を行った会社にも影響が出てくる場合があります。企業にとって、Webサイトのセキュリティに対するリスク管理は経営課題としてとらえるべきで、特に個人情報などと扱う場合は、企業にとって社会的責務ともなります

対応が難しい点としては、セキュリティの問題は必ず問題が発生するというものではないことです。また、ある程度対応したからといって、すべてを防げるというものではありません。そのため、重要性を認識したうえで、リスク管理をおこなっていくことが重要となります。

また、情報漏洩事故などの場合は、誤操作や設定ミスなどの人為的ミスや、犯罪にあたる内部犯罪や情報の持ち出し・盗難が7割以上を占めています。



そのため、システム以外での対策考慮も重要となってきますが、今回はWebサイトのサーバやシステム周りを中心としたセキュリティ対策についてお話してきます。

セキュリティの概念として、
・機密性
・完全性
・可用性
というものがあります。

Webサイトでの例としては、
・機密性
CMSなどの管理画面について、アクセスを許可された人だけが情報にアクセスできること。さらには、IRなどの特定情報については会社内でも許可された人だけがアクセスでき、それ以外の人には閲覧できなくするもの

・完全性
ページの内容、記載されている情報が正しい状態で最新のものであること

・可用性
必要な時、Webサイトにいつでもアクセスできること

そのうえで、Webサイトを構築し運用していくうえでのセキュリティの脅威となる事象を上げていきたいと思います。

まずは 情報処理推進機構(IPA)の、「情報セキュリティ10大脅威 2020」より、Webサイトと関連性の高いものについてです。



【予期せぬIT基盤の障害に伴う業務停止】
発生要因としては自然災害や、作業事故、設備での障害などで発生します。事例としては、アマゾンウェブサービス(AWS)で、2019年8月に比較的広範囲なシステム障害が発生し、利用している国内の様々なサービスに影響がありました。

【インターネット上のサービスからの個人情報の窃取】
ウェブアプリケーションの脆弱性を利用して、個人情報などを不正に搾取されるおそれがあります。

【サービス妨害攻撃によるサービスの停止】
攻撃者が対象とするウェブサイトに、DDoS攻撃という一切にサイトやシステムに対してアクセスすることで、ウェブサイトにアクセスしづらくするものです。

場合によっては攻撃の停止と引き換えに金銭を要求したりすることもあります。サイトが停止してしまう場合は機会損失による損害が発生することになります

その他の脅威としては、【ウィルスの感染】【Webサイトの改ざん】などがあげられます。

それぞれの脅威に対する対策を簡単に紹介します。

【予期せぬIT基盤の障害に伴う業務停止】
対策としては、冗長性をより高める必要があります。具体的には、アマゾンウェブサービスの場合であれば複数の拠点でシステムが稼働できる状態を維持するなどです。ただし、この冗長性の保持は費用影響も大きいためWebサイトでの必要性を考慮しての対応がよいです。

【インターネット上のサービスからの個人情報の窃取】
脆弱性をもとに個人情報を取得されるものです。そのため、WebアプリケーションやサーバOS,ミドルウェアの脆弱性が無い状態とすることが必要です。また、対策後に「脆弱性試験」を行うことで確認します。こちらは初期だけではなく定期的な試験も必要となります

【サービス妨害攻撃によるサービスの停止】
DDoS対策は1企業単体で行うことは難しいことが多いため、アマゾンウェブサービスやアカマイ(Akamai)などDDoS対策が行われるサービスを利用することがよいでしょう。

【ウィルスの感染】
CMSでのサイト更新や、FTPでサーバへファイルをアップする作業を行っている場合、
クライアント(利用者)のPCがウィルスに感染するとそのウィルスがWebサイトにアップしてしまう可能性があります。対策としてはクライアントPCおよびサーバでウィルス対策ソフトをインストールし排除することです。

【Webサイトの改ざん】
サイト改ざんについても、脆弱性への対応とテストを行うことで対策をおこないます。

最後に最近多いパターンでのセキュリティ対応の構成例です。様々なポイントでセキュリティの対策を行うことで、安心したWebサイト運用か継続できる状態をつくることが重要となります。

最後までご覧いただきありがとうございました。

の3点についての内容でした。

\ がんばれ!Web担当者 /

Web担当者応援マガジン

属人化の嵐の中で、時間と各部署と
そして上司と戦うWeb担当者のために

大規模Webサイトの運用業務に
よくある課題を解決するための手法を
簡潔にまとめました!

大規模CMS成功の法則