こんにちは。新規事業の開発や既存業務の効率化などに使える補助金・助成金の無料診断 / 申請支援を行う『補助金サポート』を提供しているクラウド軍師運営チームです。

近年、Webサイトを用いたビジネスは増加傾向にあります。
それに伴い、同様に増加傾向にあるのが、サイバー攻撃。Webサイトの脆弱性を突いたサイバー攻撃の被害は増えていて、手口も巧妙化してきています。
サイバー攻撃の被害を防ぐには、Webサイトの脆弱性を排除し、セキュリティを強化しなければなりません。

そこで今回は、サイバー攻撃を防ぐためにWebサイト運営者が行うべき、サーバーセキュリティ対策についてご紹介します。

Webサイトを狙うサイバー攻撃は増加傾向

近年、Webサイトを狙うサイバー攻撃は増加傾向にあります。その背景にあるのが、新型コロナウイルス。
まずは、新型コロナウイルスの影響を受け、サイバー攻撃が増加している背景について詳しく解説していきます。

コロナ禍でECビジネスが増加

2020年、世界的に新型コロナウイルスが蔓延したことで、ビジネスは大きく変わりました。
それまでは、会社に出社し商談相手と会って商談を進めたり、店舗で直接顧客に接客したりするのがビジネスの当たり前でしたが、「人と会う」行為は避けられるように。多くの企業でテレワークが採用され、運営を自粛する店舗も現れました。

しかし、完全に経済活動を止めるわけにはいきません。
そこで以前にも増して活用されるようになったのが、Webツールを用いた営業活動やマーケティング、Webサイトでの販売など、Web経由のビジネスです。

特にBtoCの物販分野でECの市場規模は大幅に拡大
経済産業省『電子商取引に関する市場調査の結果を取りまとめました』によると、コロナ禍前後の2019年と2020年におけるBtoC物販の市場規模を比較すると、その伸長率は21.71%にも及んでいます。

Webサイトを狙うサイバー攻撃

Web経由のビジネスは、コロナ禍における人と会わない経済活動を可能にしました。コロナ禍の対策として、Webサイトでの販売を開始したりWebツールを導入したりした企業も多かったでしょう。

そこに目をつけたのが、サイバー攻撃を行う攻撃者です。攻撃者にとっては、コロナ禍でWebサイトやWebツールを活用する企業が増えたことで、サイバー攻撃のターゲットが増えたことになります
経済産業省サイバーセキュリティ課『最近のサイバー攻撃の状況を踏まえた 経営者への注意喚起』によると、サイバー攻撃に関するインシデントの数は、2020年に大幅に増加。特に、電子メールを媒介したマルウェアの被害が急増しており、多くの企業が機密情報の漏えいや生産停止の被害を受けています。

WebサイトやWebツールはいまやビジネスにおいて欠かせないものですが、それらを安全に使用するためには、脅威に対するセキュリティ対策が重要。自社の社会的信用を維持するためにも、企業はWebサイトの脆弱性を排除し、セキュリティ対策に力を見れる必要があります。

サーバーの基本的セキュリティ対策

サーバーの基本的なセキュリティ対策の具体例を8つご紹介します。

パスワード管理の徹底

パスワード管理の徹底は、セキュリティの基本。推測されやすいパスワードの設定やパスワードの使い回しは避け、大文字や小文字、アルファベットを混ぜた辞書に載っていない言葉でパスワード設定を行いましょう。
また、シングルサインオンや多要素・多段階認証などで、ログイン時のセキュリティ強化を図るのもおすすめです。

参考:
シングルサインオンとは?主要なシングルサインオンサービスを徹底比較!失敗しない機能や選び方のポイントまで解説

アカウント管理の徹底

セキュリティを高めるには、アカウント管理も徹底する必要があります。
まずは、アカウントの複数人での共同使用を避けること。IDやパスワードなどのログイン情報の共有は、情報漏えいに繋がりやすくなります。

また、使用していないアカウントが攻撃者に狙われるリスクもあるため、退職者のアカウントなど、不要なアカウントはすぐに消去するようにしましょう。

不要なサービス・アプリケーションの削除

不要なサービス・アプリケーションは、放置せずすぐ削除することが大切です。放置したサービスやアプリケーションの脆弱性を突いたサーバー攻勢を避けるためです。

管理者権限アカウントIDの変更

管理者権限のアカウントIDは、初期設定ではWindows系OSでAdministrator、UNIX系OSでrootと設定されています。中にはこのIDを変更しないまま使用し続ける人もいますが、それはNG。
第三者からすぐに予測されるIDでは、パスワードを突破するだけで、アカウントへの侵入が可能になってしまいます。

パスワードに対するポリシー設定

パスワードに対するポリシー設定を利用し、簡単に予測・突破されないようなパスワードのルールを決めておきましょう。パスワードの長さや文字の組み合わせなどを、第三者から予測されにくいルールに設定しておくことで、個々の社員が予測されやすいパスワード設定を行うリスクを防げます。

セキュリティパッチの適用

セキュリティパッチとは、公開されているサーバーやソフトウェアの脆弱性を修正するプログラムのこと。
使用しているサーバーの脆弱性情報が確認されたら、速やかにセキュリティパッチの適用を実施し、脆弱性を放置しないようにしましょう。

サーバーマシンの管理

サーバーマシンに触れる人を制限するという物理的なセキュリティ対策も必要です。不特定多数の人がサーバーマシンに触れる状態だと、トラブルは起きやすく、またそれが誰の手によるものか把握しづらくなるためです。
サーバーマシンに触れるのは、少数の管理責任者だけというルール付けは必要でしょう。

ログの取得・保管

ログの取得・保管は、サイバー攻撃が行われた場合の原因究明や、事後対策を行うために重要です。
このログは、ログ収集を行なった本体機器ではなく、別の管理システムや媒体に保管することで、ログの改ざんや不正の予防ができ、さらにバックアップとしての保存も可能になります。

サーバーセキュリティ対策に有効なWAF

サーバーセキュリティ対策としては、WAFの導入もおすすめです。

WAFとは

WAFとは、Web Application Firewallを略した言葉。Webアプリケーションの脆弱性を突いた攻撃を防ぐセキュリティ対策のことです。

その仕組みは、アクセスパターンを記録する「シグネチャ」を用い、Webアプリケーションのアクセルパターンと照合して、通信の可否を判断するというもの。

WAFは個人情報を扱うWebサービスのセキュリティ対策として有効で、導入により、不正アクセスや情報漏えい、情報の書き換えなどといったサイバー攻撃を防ぐことができます。

WAFの種類

WAFは、提供形態によって、「ソフトウェア型」「アプライアンス型」「クラウド型」の3種類に分かれます。

ソフトウェア型

WAFのソフトウェアを対象のWebサーバーにインストールするタイプ。
専用機器やネットワーク環境の変更は不要なので、導入にコストや手間がかかりません

アプライアンス型

ネットワーク内にWAFの専用機器を設置するタイプ。
サーバーに負担がかからず柔軟な設定ができる一方で、導入にはコストがかかり、運用には専門知識も必要です。

クラウド型

インターネットを経由してWAFのサービスを受けるタイプ。
専用機器・ネットワーク環境の変更不要でコストがかからず、すぐに導入できるのが特徴です。ただし、サービス提供側のトラブルによるシステム障害のリスクがある点や柔軟な設定が行えないというデメリットもあります。

まとめ

コロナ禍でWebサイトの運営が増える中、巧妙な手段で攻撃を仕掛けてくるサイバー攻撃を防ぐには、あらゆる面でセキュリティを徹底する必要があります。Web上で個人情報を扱う企業は特に、複数のセキュリティ対策を活用し、万全な体制を整えるべきでしょう。

サイバー攻撃による情報漏えいや運営停止は、その企業の社会的信用を失墜させてしまいます。WebサイトやWebツールの導入時にはセキュリティ対策もセットで行い、また教育を通して社員ひとりひとりのセキュリティに対する意識も育てていくようにしましょう。