セキュリティ対策

個人情報・金融情報の流出

お問い合わせフォーム（入力フォーム）を設置している、ホームページやECサイト（ネットショップ）などデータベースと連携して動作するホームページに登録した個人情報やクレジットカード情報が盗まれたりWebサービスが破壊されます。

SQLインジェクションと呼ばれるデータベースを不正に操作する攻撃手法が使われます。

ホームページの改ざん

ホームページのデザイン（見た目）だけでなく、動作まで改ざんされてフィッシングサイト（詐欺目的の偽サイト）に誘導されます。誘導先のサイトが 偽物だと見抜けない場合、個人情報やクレジットカード情報が盗まれます。

その他にも、偽サイトではWebサービスやパソコンへの侵入や破壊を目的としたマルウェア（コンピューターウイルス）に感染される場合があります。

クロスサイトスクリプティング（XSS）と呼ばれるWebページを操作する攻撃手法が使用されます。

Webサーバーのセキュリティ対策

当社のWebサーバーはSSL（個人情報などの暗号化）やWAF（Webアプリケーションファイアフォール）などのセキュリティシステムを導入していますので、上記で紹介しました不正アクセスを防ぐことができます。
また、不正アクセスはそのほとんどが海外からのアクセスのため攻撃を受けやすいデータを対象に海外からのアクセスを遮断しています。

ホームページのセキュリティ対策

CMS（コンテンツマネージメントシステム）において国内トップシェアのWordPressにも脆弱性が潜んでいます。
WordPress本体のみならず、プラグイン（拡張機能）のバーションアップをこまめに行なうことが重要となってきます。

当社ではWordPressでホームページを制作した場合、アップデート以外に次のセキュリティ対策を行っています。

• ・管理画面のURL変更
• ・管理画面の2重認証
• ・ブルートフォースアタック対策
• ・ファイル権限（パーミッション）の最適化

ホームページの運用方法によってはセキュリティ対策の一環として、WordPress管理画面も最適化を施しています。

• ・お客様にとって不要なメニューの非表示化
• ・お客様のアカウント権限の最適化
• ・自動的に管理画面からログアウトするログインタイマー
• ・多人数運用サイト向けにアカウントごと2段階認証の適用

ID・パスワードを紙だけで保存しない

紙は燃えます。劣化します。無くします。止めてください。

ですが、手帳で管理したい方もおられるでしょう。
その場合は鍵の掛かる引き出しなどで厳重に管理してください。また、できることならID・パスワードが記載されている手帳などをスキャン等でデジタルデータ化して保管してください。

ID・パスワードを工夫する

ID・パスワードを使い回したり自分の誕生日や電話番号を使っている方もいるのではないでしょうか。 これはNGです。
人為的なミスや他のサイトで使い回しのID・パスワードが流出した場合、様々なWebサービスで手当り次第に不正ログインが実行されます。

ただ、使い回しも対策を行えばセキュリティを強化できます。 使い回し元のID・パスワードの前後に任意の文字列◯◯を付け加える方法です。

例　◯◯使い回しパスワード◯◯

文字列◯◯は大文字・小文字・記号を組み合わせます。このルールを自分の中でパターン化すれば、覚えやすいパスワードが生成できます。

2段階認証

2段階認証とはログインの認証プロセスが2段階に行われることです。
GoogleアカウントやSNSやメジャーなWebサービスでは2段階認証機能がありますが、自分から2段階認証を有効にしなければならないWebサービスが、まだ多いのが現状です。

2段階認証でよく使われる認証方法は「SMS認証」です。
アカウント登録の際に携帯電話番号の入力を求められるシーンがあることと思いますが、これはそのためです。

SMS認証を有効にした状態でログインを試みると、自分のスマートフォンに認証コード（ワンタイムパスワード）がSMSで届きます。その認証コードを入力しなければログインできませんので、セキュリティが向上します。

また、万が一IDとパスワードが両方とも流出しても2段階認証が働くことでスマートフォンに2段階認証の通知が届くだけですので、水際でハッカーの不正ログインを阻止できます。

ただ最近は、巧妙に本物そっくりに作られたフィッシングサイトが出てきました。
メールなどでフィッシングサイトに誘導されて偽物だと見破れない場合は2段階認証も意味がありません。