• POSTED : 2020/09/26
• LAST UPDATED : 2020/09/28

Webサイトのサーバーセキュリティ対策-SSLやFW（ファイアウォール）などの基礎知識からCMSや個人情報を扱うサイトの対策まで紹介-

ウェブサイトを作りたいと思ったときに避けて通れないのがセキュリティ対策です。

セキュリティといっても様々な観点、種類があり何をどこまで対策するかは作るサイトや規模に応じて決める必要があります。

 

まずはセキュリティ対策の必要性について考えてみたいと思います。

 

■セキュリティ対策の必要性

セキュリティ対策を行わないと何が起こるのでしょうか。大きくは以下の2点がリスクになります。

 

• ・情報漏洩
• ・改ざん

 

情報漏洩はニュースでも取り上げられることが多いのでご存知かと思います。 サイトに不正侵入されてしまうことで機密情報が漏洩してしまっては社会的な信頼を失ってしまいます。 改ざんはサイト自体が書き換わってしまうことで、間違った情報発信を行ってしまう、詐欺サイトへの踏み台になってしまう、情報漏洩につながってしまうなどのリスクになってしまいます。

 

これらのリスクに対して防衛を行うためにセキュリティ対策を行うのです。 つぎに大きなくくりとしてのセキュリティの観点をご説明します。

 

■セキュリティの観点

【サーバーにおけるセキュリティ対策】

ウェブサイトを作るためには公開するためのサーバーが必ず必要になります。

ホスティングサービスやクラウドサービスにおいては各管理会社がセキュリティ対策を行っていますが、対策の種類や費用感が変わっています。

サーバーのセキュリティ対策はサーバー管理会社を選定し実際の運用後に決めてしまうと、後々追加のセキュリティ対策ができなかったり制約ができるので導入時にあらかじめどの程度のセキュリティ対応をおこなうかしっかり検討する必要があります。

 

例）SSL、FW、WAF、IDS、IPS、改ざん検知、など

 

【ウェブアプリケーションにおけるセキュリティ対策】

制作するウェブサイトがCMSを利用したサイトであったり、アプリケーション機能を持ったサイトを作る際はウェブアプリケーションとしてのセキュリティ対策が必要です。

通常は制作会社が対策を検討し、利用するCMSやパッケージで対策を施しております。

 

例）クロスサイトスクリプティング・SQLインジェクション対策など

 

【運用としてのセキュリティ対策】

日々変化するサイバーセキュリティにおいて、同じ対策を取り続けているだけでは、日々新たな脅威が発生する中で弱点をつかれてセキュリティを突破されてしまうかもしれません。

運用としてPDCAをまわすことにより弱点の発見・対策・維持を行い、セキュリティリスクを低くすることができます。

 

例）サイバーセキュリティに対するインシデント対策、インシデント発生時の復旧対策など

 

■どの程度のサーバーセキュリティを導入する必要があるか

Webの世界だけで考えると難しいので、ホームセキュリティで例えてみましょう。

家の鍵をギザギザの鍵からディンブルキーにしたり、簡単な窓ガラス防犯ブザーをつけたり、もっと厳重にしようと防犯カメラで監視をしたり、と様々なレベル・種類の対策があります。

どの程度のセキュリティにするかは、千差万別で予算に合わせて決めることが多いと思います。

家の中にどれだけ守るものがあるかも重要です。高級なものがある場合はそれに合わせてセキュリティを高めると思います。

 

同じようにWebサイトも守るべき情報がどの程度あるかを考えてください。

サイトに公開する情報しか持たせない場合は、情報漏洩対策の必要性は高くありませんが個人情報を収集するとなるとしっかり対策が必要になります。

 

導入の基準と製品の概要を説明します。

 

■ベースのセキュリティ

家の鍵のように、基本として導入するセキュリティがあります。

Webの世界では常にウィルスからのサイバー攻撃にさらされているので基礎的なセキュリティが必要になります。

具体的にはファイヤーウォール（FW）やSSLなどがあります。

 

• ・ファイヤーウォール…接続を制限することで不正侵入を防ぎます
• ・SSL…通信を暗号化することで情報漏洩や改ざんを防ぎます

 

■問い合わせフォームやCMSなどの動的サイトのセキュリティ

動的サイトには脆弱性が発生する可能性があり、その対策としてのセキュリティサービスがあります。

以下の対策の中から２つ程度を選択すれば安心です。

 

• ・WAF（ウェブアプリケーションFW）…攻撃を受けた際にあらかじめ攻撃とわかっている通信を防ぎます
• ・改ざん防止・IPS（侵入防止）・IDS（侵入監視）…FWやWAFの侵入防止を突破された後に情報漏洩や改ざんを防ぎます。

 

■個人情報を取り扱うサイトのセキュリティ

問い合わせフォームでデータを蓄積したり、会員サイトを開設したい場合など、個人情報を取り扱う場合はセキュリティレベルを高くする必要があり、運用としての対策が必要になります。

 

• ・定期的なログ監視、リスクアセスメント

 

 

■まとめ

・Webサイト制作のセキュリティは作成するサイトの内容に合わせて変更する必要があります。

・サーバーセキュリティは導入後に変更することが難しいのでレベルに合わせて選定をしてください。

・サイト公開後に運用としてのセキュリティを意識するとスムーズな運用が可能です。

 

---

オレンジ社では、セキュリティ対策を考慮したWebサイトの企画・構築・運用サービスをご提供しています。

国内サイト海外サイト問わず、Webサイトのことならお気軽にご相談ください。

 

• ▶　Webソリューション事業

• ▶　Web戦略立案サービス

• ▶　Webサイト集客・SEO対策サービス

• ▶　CMS構築サービス

• ▶　Webサイト制作実績

 

各種お問い合わせはこちらから