WEBセキュリティセミナーでお話ししたこと。

フューチャースピリッツでは、お客様の気になる“あの情報”をお聞きし、ご要望があればセミナーを開催させていただいております。

今回のセミナーは「WEBセキュリティセミナー」と題しまして、WEB制作会社様や、企業のWEB担当者様向けに、基本的なWEBセキュリティに関しての知識や対策について、お話ししました。
登壇者は、〝攻撃遮断くん〟を開発した株式会社サイバーセキュリティクラウド様。そして、GMOグローバルサイン株式会社様をお迎えして、
最近のサイバー攻撃に関する傾向や、事例についての気になるあれこれをお話しさせていただきました。
フューチャースピリッツからも、もちろんお話しさせていただきましたので、その一端をご紹介します！

お話しさせていただいた内容は、“Web担が知っておくべき７つのルール”。
ルールというよりも、WEBセキュリティを考える上での注意すべき視点について、わかりやすく説明しましたのでこちらでももう一度振り返りです。

＜７つのルール＞

RULE 1　“サイトを知る”
RULE 2　“リスクを知る”
RULE 3　“事後対策を考える”
RULE 4　“基本的な対策を行う”
RULE 5　“セキュリティサービスを検討する”
RULE 6　“利用サーバーを検討する”
RULE 7　“リスクは残るものと考える”

です。

では、簡単にご説明していきます。

RULE 1　“サイトを知る”

まずは、自分が担当しているサイトがどんなサイトか知ることがセキュリティ上でも非常に大切です。

当然、担当している方は、ざっくりとはわかっていると思います。

しかし、セキュリティ対策の「目的」は、何を何から守るか。

その何をにあたる部分です。もう一度よく考えてみましょう。

考えるべきサイトの特性は、以下の通りです。

・エンドユーザー（サイト提供者）の規模は？ブランドは？
・サイト訪問者がどんな人か、どのくらい訪問されるか？
・個人情報や重要な情報があるか？
・問い合わせフォームはあるか？
・個人が投稿できる機能はあるか？
・決済機能はあるか？

などなどの状態を知る必要があります。

サイトが扱っている内容によって、リスクは大きく変わります。

予算感を含め、どのような、そしてどの程度のセキュリティ対策が必要かを検討します。

RULE 2　“リスクを知る”

さまざまなWebサイトへの攻撃がある中で、“被害”という部分に目を向けたいと思います。
大きく分けて、Webサイトの被害は、3種類に分けることが出来ます。

１．改ざん
２．サービスダウン
３．情報漏洩

１．改ざん

サイトを書き換えられたり、不正なファイルを設置されることを「改ざん」と言います。
この不正ファイルにウィルスを混入されるケースがあります。
改ざん内容によっては、サイト訪問者が、マルウェアの被害にあってしまう事で
企業ブランドが著しく傷つけられる場合もあります。

２．サービスダウン

サーバーの脆弱性を突かれたり、ネットワークに
過度な負荷をかける事で、サイトをダウンさせます。

特にECサイトなど、売上に直結するサイトでは、
機会損失が大きくなります。

メジャーな攻撃としては、DDos攻撃などが挙げられます。

３．情報漏洩

最近のニュースでよく目にする被害として、情報漏洩があります。大きな被害として、よく新聞等で取り上げられるのがこの“情報漏洩”です。
個人情報や、機密情報を抜きとられる事で、事後対応に大きな時間と費用が必要となり、
企業ブランドも失墜します。

RULE 3　“事後対策を考える”

被害が実際に発生した場合、
どんな対応が必要かを検証します。

・エスカレーションフロー
・対策委員会の設置
・広報対応 … and more

実際に発生した場合を想定して考えていきます。
改ざんされた場合、サービスダウンした場合、情報漏洩した場合。。。。。

それぞれに、必要な対応を予め、想定しておくことで、実際にセキュリティ事故が発生した場合に、正確で迅速な対応が可能になります。
特に情報公開などは、タイミングが遅れたり、拙速な対応をすると二次被害が発生する場合もあるので、
事前にルールを決めておく事が重要となります。

また、想定される被害額によりどの対策に力を入れるのかも明確になります。

RULE 4　“基本的な対策を行う”

つぎに“基本的な対策を行う”についてです。
実は、被害にあっているほとんどのサイトは、基本的な対策を行っていなかったりします。

最近流行りの標的型攻撃のように、完全に狙われる場合は別ですが、攻撃者もわざわざ、セキュリティがしっかりしたサーバーを狙ったりしません。
基本的な対策をしっかりとするだけでも、リスクは大幅に下がります。

＜Webサイト運営基本対策＞

・簡単なパスワードは避ける
・管理画面URLはデフォルトのままにしない
・データベースの管理画面にアクセス制限をかける
・セットアップファイルは放置しない
・SSLを導入する

＜プログラム上での基本対策＞
・パスワード設定時簡単なパスワードは登録できない仕様にする
・クレジットカード情報をなるべく保持しない
・パスワードは暗号化して保存
・SQLインジェクション対策は必ず行う

＜意外としていない基本対策＞

・利用するソフトウェアのリスクを調べる

OSS等を利用した場合、過去の脆弱性情報やリリースノートを確認し、脆弱性への対応方針や、更新がどの程度行われているかなどを調べます。

メジャーなものであれば、更新も頻繁に行われていますが、その分狙われやすいといったリスクも同時にあります。

など基本とはいえ、他多数あります。

RULE 5　“セキュリティサービスを検討する”

どういうサービスがあるのか？
価格は？
何から守ってくれるのか？

たくさんあるサービスの中から、
自社に必要な機能を上手く利用すれば、
セキュリティにかける手間を削減することが出来ます

このほかにも、DDos対策サービスや、ウィルス検知サービス等、様々なサービスが多くのセキュリティベンダーから提供されています。
価格や機能、それぞれ、特徴がありますので、RULE１～RULE３で検討したことを踏まえて、サイトに適切なサービスをご検討ください。

フューチャースピリッツが提供するサービスも、ぜひご検討ください。（宣伝）

＜関連サービス＞

クラウド型WAF「攻撃遮断くん」

外部からのサイバー攻撃を遮断し、個人情報漏洩、改ざん、サービス停止などから
Webサイトを守るクラウド型Webセキュリティサービスです。

RULE 6　“利用サーバーを検討する”

Webセキュリティには、サーバーも非常に重要です。
クラウド、専用サーバー、共用サーバー、オンプレミスなどと選択肢はいろいろあります。

サーバーサービスもプランや種類によっても、どういう機能があるのか様々です。
特に、AWSなどのクラウドを利用した場合は、全て自分で対応する必要があるケースもありますので

特に注意です。

サーバーで検討すべきポイントは下記です。

・OSレイヤーで脆弱性が発生した場合、誰が対応するのか？
・サーバーの基本的なセキュリティ設定はどうする？
・アクセス制限はどこまでかける？
・ログの取得、保存方法は？
・バックアップの内容・タイミングは？

最近は、サーバーの運用を丸ごと面倒みてくれるフルマネージドサービスも
数多くあるので、検討してください。

ちなみに、弊社サーバーのfurure web シリーズは、共用はもちろん、VPS、専用サーバーも全てフルマネージドですので、安心してご利用いただけます。
ちょっとだけ、宣伝でした。

＜関連ページ＞

サービスの考え方

RULE 7　“リスクは残るものと考える”

これまで、対策についてお話してきましたが、残念ながら、どれだけ対応しても、
リスクが完全になくなることはありません。

攻撃者も手を変え品を変え攻撃してきます。
また、内部犯行など防ぐのが難しいリスクもあります。

リスクは残ると考え、発生した場合の対策や
日々の運用、社内の啓発も進めていくことが肝心です。

以上が、フューチャースピリッツからお話しした、セミナーの内容になります。

そのほか、株式会社サイバーセキュリティクラウド、GMOグローバルサイン様からも有益なお話がありました。
是非次回開催時には、会場までお越しいただければと思います。