2020年、あけましておめでとうございます。
今年もフューチャースピリッツをよろしくお願いいたします。
年始から固い話ではありますが、昨年2019年もセキュリティ関連の話題に事欠かない年でした。
「セキュリティ事故」や「脆弱性」という言葉が、テレビニュースや新聞で当たり前に報じられるようになったことにも時代の流れを感じます。
前回のフューチャーメディア「WEBセキュリティセミナーでお話ししたこと。」では、弊社で開催したセキュリティセミナーの内容をご紹介させていただきました。
今回の記事では、その中からもっと基本的な「今すぐチェックしていただきたいセキュリティ対策」をピックアップしてご紹介いたします。
*セキュリティのトレンド?
セキュリティ情報というと「Windows/Linuxの脆弱性」のように、恐ろしげだけど何が起こるのかイメージしづらい話題も多いですが、攻撃者はその中から「不正侵入に利用できそうな物」を選んで隙を置かず利用してきます。
こちらの画像は、弊社でご提供しているWAF(Web Application Firewall)「攻撃遮断くん」の管理画面です。
サーバーを公開していると国を問わず世界中から攻撃アクセスを受けるのは、もはや日常茶飯事です。
そして攻撃が成功してしまうと、
・クレジットカード情報の流出
・ログインアカウント情報の流出、不正利用
・サーバーをスパム配信や別の攻撃の踏み台にされる
という被害が皆様の身近で起きてしまいます。
このような被害は2019年に限らず以前からあちこちで起きており、決して目新しいものではありませんが、より気づかれにくく巧妙に、すばやく不正侵入が行われてしまうことが近年の特徴と言えそうです。
また、サーバーを踏み台にされ、スパム配信や他社への攻撃に利用されてしまうと、「加害者」の立場になってしまう事ともなります。
もし「自社のECサイトからクレジットカード情報が流出する」事故が起きてしまえば、影響は計り知れません。
*攻撃を防ぐために
弊社では、サーバーのコア部分(「Kernel」「OpenSSH」「PHP」など)の「脆弱性」について日々情報を収集し、重要度に応じサーバーのアップデートを実施して、お客様に安心してご利用いただける環境を整えています。
しかし、不正侵入などの事故を避けるためには、サーバーのコア部分の対策だけではなく、お客様によるセキュリティ対策も合わせて行っていただくことが大切です。
先に書いたように、「不正侵入され、メールアカウントの不正利用やサーバーを踏み台にされて加害者の立場になってしまう」ことを避けるためにも、ごく基本的な対策を改めてお伝えいたします。
*アカウントのパスワード管理
・推測されにくい複雑なパスワードを付ける
(アカウント名と同じ、会社名と同じ、複数のアカウントが同じパスワード、全て厳禁です!)
昔から「耳タコ」で言い古された内容ですが、未だに不正侵入の原因で多く見受けられます。
また、以前から使っていたパスワードが他社のセキュリティ事故で流出してしまった、という事例もみられます。
「Have I been pwned」というサイトで、パスワードが流出してダークウェブで広められてしまっていないかを確認できますので、一度チェックしてみてはいかがでしょうか。
https://haveibeenpwned.com/Passwords
*CMS(WordPress等)のアップデート
WordPressに代表されるCMSはWebコンテンツ制作にとても便利なツールですが、広く使われているためセキュリティホールを狙われる事も多く、残念ながら弊社管理下のサーバーでも不正侵入・改ざんの被害が発見されています。
WordPressに関しては、以下の対策が推奨されます。
・WordPress本体の自動アップデートを有効にする
・管理画面を定期的に確認し、お使いのWordPressプラグインにアップデートが提供されていたら速やかに適用する
この2点は、今や必須とも言える対策でしょう。
・WordPressの編集画面には、.htaccessによるアクセス制限を設定し、自社のIPアドレス以外からはアクセス拒否する
WordPressへの攻撃手法に「[wp-admin]のような文字列のURLを総当りし、脆弱性が放置されているサイトを探す」ものがあるため、このようなアクセス制限も効果的な対策です。
また、フューチャースピリッツでは、最初にご紹介したWAFサービス「攻撃遮断くん」をご提供しており、すでに多くのお客様にご利用いただいております。
共用サーバー「FutureWeb3」では標準・お申し込み不要でご利用可能、専用/VPSサーバーでも追加でご契約いただけます。
ご興味のある方は、ぜひ弊社営業担当・サポート宛にご相談下さいませ。
TEL
お問い合わせ
総合サポート