セキュリティ対策
Webセキュリティ対策
私たちが普段利用しているWebサービスは大小関係なく日々不正アクセス(サイバー攻撃)を受けています。ですが、防壁となるセキュリティシステムが何重にも機能して情報改ざんや流出を防いでいます。
index
- 不正アクセスに繋がる脆弱性
- ハッカーによる不正ログイン
- 不正アクセスにより起きること
- 当社のセキュリティ対策
- 誰でも行えるセキュリティ基本対策
不正アクセスに繋がる脆弱性
脆弱性とはソフトウェアのセキュリティ上の欠陥のことを指します。「セキュリティホール」とも呼ばれます。Windowsは毎月アップデートが行われますが、これには脆弱性を補う目的のアップデートも多く存在します。
脆弱性は完全に無くなることはありません。それは、ソフトウェアは人間が設計・プログラミングにより製造・運用されているからです。
この脆弱性を突いて不正アクセスを試みるのがハッカー(クラッカー)です。
ハッカーによる不正ログイン
Webサービスは主にID・パスワードなどにより保護されていますが、もし、IDが漏洩した場合、ハッカーは全自動化されたパスワード解析プログラムを用いてホームページなどのWebサービスに不正ログインを試みます。
総当たり攻撃
パスワードに使われる英数字・記号をすべて試す攻撃手法。
辞書攻撃
パスワードに使われやすい単語を全て試す不正アクセス手法。
これらの攻撃手法はブルートフォースアタックと呼ばれています。
ブルートフォースアタックを人間の手で行うと、とてつもなく長い作業時間がかかりますが、コンピューターならば短時間で突破できます。コンピューターの処理能力の向上により、その所要時間も短くなってきています。
以下は2020年2月現在のパスワードの解読に掛かる目安時間です。
8文字かつ数字のみ ➠ 3秒
8文字かつ記号 + アルファベット大小文字 ➠ 21時間
8文字かつ記号 + 数字 + アルファベット大小文字 ➠ 2日
10文字かつ記号 + 数字 + アルファベット大小文字 ➠ 53年
不正アクセスにより起きること
個人情報・金融情報の流出
お問い合わせフォーム(入力フォーム)を設置している、ホームページやECサイト(ネットショップ)などデータベースと連携して動作するホームページに登録した個人情報やクレジットカード情報が盗まれたりWebサービスが破壊されます。
SQLインジェクションと呼ばれるデータベースを不正に操作する攻撃手法が使われます。
ホームページの改ざん
ホームページのデザイン(見た目)だけでなく、動作まで改ざんされてフィッシングサイト(詐欺目的の偽サイト)に誘導されます。誘導先のサイトが 偽物だと見抜けない場合、個人情報やクレジットカード情報が盗まれます。
その他にも、偽サイトではWebサービスやパソコンへの侵入や破壊を目的としたマルウェア(コンピューターウイルス)に感染される場合があります。
クロスサイトスクリプティング(XSS)と呼ばれるWebページを操作する攻撃手法が使用されます。
当社のセキュリティ対策
Webサーバーのセキュリティ対策
当社のWebサーバーはSSL(個人情報などの暗号化)やWAF(Webアプリケーションファイアフォール)などのセキュリティシステムを導入していますので、上記で紹介しました不正アクセスを防ぐことができます。
また、不正アクセスはそのほとんどが海外からのアクセスのため攻撃を受けやすいデータを対象に海外からのアクセスを遮断しています。
ホームページのセキュリティ対策
CMS(コンテンツマネージメントシステム)において国内トップシェアのWordPressにも脆弱性が潜んでいます。
WordPress本体のみならず、プラグイン(拡張機能)のバーションアップをこまめに行なうことが重要となってきます。
当社ではWordPressでホームページを制作した場合、アップデート以外に次のセキュリティ対策を行っています。
- ・管理画面のURL変更
- ・管理画面の2重認証
- ・ブルートフォースアタック対策
- ・ファイル権限(パーミッション)の最適化
ホームページの運用方法によってはセキュリティ対策の一環として、WordPress管理画面も最適化を施しています。
- ・お客様にとって不要なメニューの非表示化
- ・お客様のアカウント権限の最適化
- ・自動的に管理画面からログアウトするログインタイマー
- ・多人数運用サイト向けにアカウントごと2段階認証の適用
誰でも行えるセキュリティ基本対策
最後に誰でも行えるセキュリティの基本対策に触れたいと思います。
お客様へのお願いでもあります。
ID・パスワードを紙だけで保存しない
紙は燃えます。劣化します。無くします。止めてください。
ですが、手帳で管理したい方もおられるでしょう。
その場合は鍵の掛かる引き出しなどで厳重に管理してください。また、できることならID・パスワードが記載されている手帳などをスキャン等でデジタルデータ化して保管してください。
ID・パスワードを工夫する
ID・パスワードを使い回したり自分の誕生日や電話番号を使っている方もいるのではないでしょうか。
これはNGです。
人為的なミスや他のサイトで使い回しのID・パスワードが流出した場合、様々なWebサービスで手当り次第に不正ログインが実行されます。
ただ、使い回しも対策を行えばセキュリティを強化できます。 使い回し元のID・パスワードの前後に任意の文字列◯◯を付け加える方法です。
例 ◯◯使い回しパスワード◯◯
文字列◯◯は大文字・小文字・記号を組み合わせます。このルールを自分の中でパターン化すれば、覚えやすいパスワードが生成できます。
2段階認証
2段階認証とはログインの認証プロセスが2段階に行われることです。
GoogleアカウントやSNSやメジャーなWebサービスでは2段階認証機能がありますが、自分から2段階認証を有効にしなければならないWebサービスが、まだ多いのが現状です。
2段階認証でよく使われる認証方法は「SMS認証」です。
アカウント登録の際に携帯電話番号の入力を求められるシーンがあることと思いますが、これはそのためです。
SMS認証を有効にした状態でログインを試みると、自分のスマートフォンに認証コード(ワンタイムパスワード)がSMSで届きます。その認証コードを入力しなければログインできませんので、セキュリティが向上します。
また、万が一IDとパスワードが両方とも流出しても2段階認証が働くことでスマートフォンに2段階認証の通知が届くだけですので、水際でハッカーの不正ログインを阻止できます。
ただ最近は、巧妙に本物そっくりに作られたフィッシングサイトが出てきました。
メールなどでフィッシングサイトに誘導されて偽物だと見破れない場合は2段階認証も意味がありません。