セキュリティ対策

人気記事

新着記事

  • Webサイトのセキュリティ、把握していますか?Web担125人にアンケート

    2024.02.29 WEB制作

    52.8%がセキュリティ被害に遭ったことがあると回答!サイト運営者125人にアンケート
    コーポレートサイトやオウンドメディアなど複数のWebサイトを運用するのが当たり前になった昨今、セキュリティ管理の重要性は日に日に大きくなっている。セキュリティリスクに対し予算や人的リソースを割く企業も増えているにもかかわらず、サイバー攻撃による被害は後を絶たない。特に海外、国内問わず最大シェアを誇るCMSのWordPressは無料かつ便利で使いやすいと同時に、セキュリティ保守を怠ると脆弱性を悪用した犯罪に狙われやすいCMSともいえる。内製・外部委託問わずセキュリティ人材の確保が急務だといわれているが、現実はどうなのだろうか。今回は、実際にWebサイトを運営している企業の担当者125名を対象にアンケート調査を行った。アンケート回答者:Webサイトを運営している担当者125名アンケート回答期間:2024/2/15~2024/2/16アンケート機関:ECマーケティング株式会社アンケート方法:インターネット調査WordPressの使用状況・用途Q1:サイト運用業務におけるWordPressの使用状況を教えてください。(単一選択)Webサイト運用担当者のうち92.0%はWordPressの使用経験があると回答。現在WordPressを利用している担当者は「1年未満」が全体の16.8%、「1年以上」が56.0%と、ある程度の期間WordPressの運用に携わってきた担当者が多い結果となった。Q2:WordPressを導入していたサイトの用途を教えて下さい。(複数選択)※「WordPressを利用したことがある」と回答した方への質問WordPressを使ったサイトの用途として最も多かったのは「コーポレートサイト」46.1%、次いで「ブランドサイト」が41.7%。やはり会社や自社商品の基本情報を掲載するWebサイトをWordPressで制作している企業は多いようだ。採用サイトやサービスサイトのページ制作にWordPressを利用しているケースも多くみられる。サイトセキュリティの状況把握Q3:WordPressのバージョン情報を把握していましたか。(単一選択)※「WordPressを利用したことがある」と回答した方への質問78.3%の参加者が「WordPressのバージョン情報を把握している」と回答。WordPressにおけるバージョン管理の必要性を認識している担当者は多いということだろう。Q4:WordPressの保守で実施したことがあるものを教えて下さい。(複数選択)※「WordPressを利用したことがある」と回答した方への質問全体の50.4%が保守の一環としてWordPressのコアアップデートを実施したことがあると回答。しかし、コアアップデート以外は一気に50%未満にとどまった。Q5:サイト運用におけるセキュリティリスクについて、自身は正しく認識していると思いますか?(単一選択)サイト運用におけるセキュリティリスクについて正しく認識していると思うか聞いたところ、33.6%は「そう思う」、44.0%が「どちらかといえばそう思う」と回答。合計で77.6%、およそ8割のWeb担当者がサイト運用に関わるリスクをしっかり認識していると捉えているようだ。Q6:次の単語を知っていますか?「死活監視」「サプライチェーン攻撃」「マルウェア」「ランサムウェア」「フィッシング」「DDoS」(単一選択)前項の質問で「セキュリティリスクを認識している」と回答したのは全体のおよそ8割であると述べたが、具体的なセキュリティ用語すべてを知っている人は41.6%とその半数程度にとどまっている。また、すべての単語について「完璧に説明できる」と回答したのは全体のわずか15.2%。リスクの認識に対する自己評価が高いわりに、リスクの詳細までは知らないというのが現実のようだ。セキュリティ対策の実施状況Q7:運用サイトのセキュリティ対策について、あてはまるものを答えてください。(単一選択)「全て社内で管理している」が32.0%で、「部分的に外部委託している」が46.4%。多くの企業が自社でセキュリティ対策を行っているものの、外部に委託している企業も少なくない。「部分的に」もしくは「全て」外部委託していると答えた企業は全体のおよそ6割。半数以上の企業が内部の運用担当者とは別に外部委託でセキュリティ対策を行っていることが分かる。また、「セキュリティ対策をしていない」「わからない」と回答した企業は8%いることが判明した。サイトの運営者でありながらセキュリティ対策においては、関与していない担当者も一定数いるようだ。Q8:運用サイトにおけるセキュリティ対策は万全だと思いますか?(単一選択)運用サイトにおけるセキュリティ対策は万全だと思うか聞いたところ、23.7%が「万全だと思う」、51.7%が「どちらかといえば万全だと思う」と回答。合わせて75.4%の担当者が自社のセキュリティ対策状況に自信を持っているようだ。Q9:運用サイトで実施しているセキュリティ対策を教えて下さい。(複数選択)自社サイトで行っているセキュリティ対策として一番多かったのが「定期バックアップ」63.5%。サイト運用には必須の保守作業だが、自社では管理せず外注しているケースやリソース不足で作業に手が回っていない企業が多いのかもしれない。Q10:あなたの勤め先はサイバー被害に備えた保険に加入していますか。(単一選択)サイバー被害に備えた保険に加入していると回答した参加者は60.0%。セキュリティ対策としてサイバー保険に入るという選択肢は一般的になりつつあるようだ。WordPressのアップデートについてQ11:運用サイトに導入しているツール・システムのバージョン情報や、アップデート時に想定される影響など把握できていますか。(単一選択)バージョン情報やアップデート時の影響の把握を「完全にできている」と回答した人は21.6%。次いで「どちらかといえばできている」と答えたWEB担当者は55.2%と半数以上に上っており、アップデートの影響を把握している担当者はかなり多いことがわかる。一方、全体の約4分の1にあたる23.2%のWEB担当者は「どちらかというと(把握)できていない」「(把握)できていない」と回答している。状況を把握せず運用しているケースも一定数あるようだ。Q12「表示崩れ」や「不具合」を理由にシステムやプラグインのアップデートを後回しにした経験はありますか?(単一選択)アップデートを放置した経験が「かなりある」「おそらくある」と回答したのは合計で77.6%。前項で述べたアップデート時の影響に関する意識の高さから鑑みると、バージョンによる影響をある程度理解していても、更新に手が回っていない企業も少なからずあると思われる。セキュリティ対策の予算についてQ13:サイト運用予算におけるセキュリティ維持費用(月額換算)を教えてください。(単一選択)サイト運用予算におけるセキュリティ維持費用について聞いたところ、20.8%は5万円以下、29.6%が6万円~10万円と回答。月額10万円以下に収まっている企業が半数以上、その他の企業のうち33.6%は月額11万円~50万円の費用を投じている点も興味深い。Q14:運用サイトのセキュリティ対策予算はここ数年間で変化しましたか。(単一選択)運用サイトのセキュリティ対策予算について聞いたところ、15.2%が「増えた」、40.0%が「どちらかといえば増えた」と回答した。半数以上の企業において予算増加があったと答えていることから、企業としてセキュリティリスクへの意識は高まっていると推測される。Q15:運用サイトのセキュリティ対策予算は足りていると思いますか?(単一選択)サイトのセキュリティ対策予算について、「足りていると思う」と回答した参加者は28.0%、「どちらかといえば足りていると思う」と回答した参加者は47.7%。予算の増加に伴い、現状で十分と考える担当者が多いようだ。セキュリティ被害に関する意識Q16:セキュリティ被害について「うちは大丈夫」と他人事に思った経験はありますか。(単一選択)セキュリティ被害について「うちは大丈夫」と他人事に思った経験はあるか聞いたところ、「ある」と答えた人は40.0%、「どちらかといえばある」と答えた人は31.2%。合わせて71.2%のWeb担当者がサイバー被害を他人事に思った経験があることが分かった。Q17:ウェブサイトの不正アクセスや情報漏洩、個人情報の流出などのニュースを耳にしたとき自社の対策状況を不安に思いますか。(単一選択)不正アクセスや情報漏洩、個人情報の流出などのニュースを耳にしたとき自社の対策状況を不安に思うか聞いたところ、32.0%が「そう思う」、58.4%が「どちらかといえばそう思う」と回答した。他人事に思う経験もある一方、他社のニュースを見て危機意識を抱く担当者も多いようだ。Q18:もし運用サイトがセキュリティ被害に遭った場合、心配することは何ですか。(複数選択)もしサイトがセキュリティ被害に遭ったら心配することは何か聞いたところ、最も多かったのは「サイト利用者への影響」53.6%だった。ほか選択した参加者が多かったのは「取引先への影響」36.8%、「個人情報の流出」35.2%、「ネットでの炎上」「損害賠償」33.6%など。一方、「人材の流出」「従業員からの訴訟」など、社内への影響を不安視する担当者はかなり少ない傾向だ。サイバー攻撃に関する状況Q19:これまで運用サイトがセキュリティ被害に遭ったことはありますか。(単一選択)過去に運用サイトがセキュリティ被害に遭ったことがあると回答したのは全体の52.8%。半数以上の企業がこれまでにサイバー攻撃の被害に遭った経験があることが分かった。Q20:具体的にどのような被害に遭いましたか。(複数選択)※Q19で「被害に遭ったことがある」と回答した方への質問実際に受けた被害のうち最も多かったのは「サイトの改ざん」53.0%。次いで「不正アクセス」「ランサムウェア被害」が47.0%で同率2位、4位は「情報漏洩」40.9%と続く。回答結果から、一度攻撃に遭うと複数の被害を受けやすいことが分かる。セキュリティに関する社内状況Q21:運用サイトがサイバー被害に遭った場合の対応マニュアルの構築や周知はできていますか?(単一選択)62.4%の担当者が対応マニュアルの構築・周知をしていると回答。社内のセキュリティ体制が整っている企業は多い傾向だ。Q22:社内にセキュリティ関連の知識・技術をもった人材はいますか。(単一選択)68.6%の回答者が「社内にセキュリティ関連の知識・技術をもった人材がいる」と回答。およそ7割の企業では社内にセキュリティの知識を有した人材がいるようだ。Q23:セキュリティに関して困ったときに相談できるパートナー企業はいますか。(単一選択)※前項で「社内に人材がいない」と回答した方への質問68.0%の回答者が「社内にセキュリティ関連の知識・技術をもった人材がいる」と回答。一方、社内に人材が「いない」と回答した担当者のうち、54.5%が社外においても相談できる企業がいないと回答。いざ困った時にセキュリティ対応できるリソースがない状態でサイトを運用している企業が一定数いるという実態が浮き彫りとなった。Q24:社内でセキュリティ関連に強い人材の育成は行っていますか。(単一選択)社内でセキュリティ人材の育成を行っていると回答した参加者は63.2%。およそ6割の企業でセキュリティ人材の育成が進められているようだ。また、前項の「社内にセキュリティ人材がいるか」への回答と併せて集計した結果、以下のようになった。既に社内に人材を持っている企業はさらに育成を行っており、人材がいない企業は育成もしていないという二極化が進んでいることが分かる。Q25:セキュリティ対策における社内の理解度・意識についてどう感じますか。(単一選択)セキュリティ対策における社内の理解度、意識について聞いたところ、「高いと思う」「どちらかといえば高いと思う」と回答した担当者は合計25.6%。「どちらかといえば低いと思う」「低いと思う」と回答した担当者は69.6%と過半数を超えた。サイト運営者のセキュリティ意識はあっても従業員間の意識はまだまだ低いと感じる現実が垣間見えた。最後に、セキュリティ以外も含めサイト運営全般に対する担当者の悩みを質問した。サイト運用における悩みQ26:サイト運用業務で困ることはありますか。(複数選択)サイト運用業務で困っていることとして最も多かったのは「予算が足りない」40.8%、次いで「自分自身・社内のスキル不足」「社内の理解が足りない」36.8%という結果だった。上位にあがった項目から、「自分自身・社内のスキル不足」「現状の課題が分からない」「効果的な改善ポイントが分からない」などのスキル不足・アドバイザー不足に悩みを抱える担当者も多いことが伺える。ここで前項の質問にあったセキュリティ対策の運用状況別に悩みを集計したところ傾向に差が見られた。セキュリティ対策を自社で行っている企業のうち52.5%が「自分自身・社内のスキル不足」に困っていると回答。予算は足りているものの人材が不足している状況が伺える。一方、「部分的」もしくは「全て」外部委託でセキュリティ対策を行っている企業は48.0%が「予算が足りない」と回答。また、「効果的な改善ポイントが分からない」37.3%、「現状の課題がわからない」36.0%と、リテラシーに悩む傾向も強いようだ。調査まとめ・「表示崩れ」や「不具合」を理由にWordPressのシステムやプラグインのアップデートを後回しにした経験があると回答したサイト運用者は77.6%・71.2%のサイト運用者がセキュリティ被害を「他人事に思ったことがある」と回答・52.8%がWebサイトのセキュリティ被害に遭ったと回答今回の調査でWebサイトがセキュリティ被害に遭った経験を持つ担当者が過半数を超えていた。その一方、「(被害を)他人事に思ったことがある」「保守の内容や予算を把握していない」など、Web担当者の把握が不十分であること、知識不足が散見する場面もあった。ここから推測されることは、運営担当者の業務がコンテンツ更新作業や集客効果の測定がメインでセキュリティ対策は二の次になっていることだ。それゆえ、運営はするがセキュリティ対策は責任対象外という担当者が多いように感じられた。セキュリティ対策や保守に関して外部委託しているケースや、複数部署で共同管理している企業でも、運営担当者が自社の状況を把握しておくことは重要である。「誰かがやっているだろう」という油断がセキュリティの穴となり、被害を生み出すことを忘れずに運用してほしい。ECマーケティングのWordPress保守サービス調査を通じ、セキュリティ対策や保守作業が十分にできていない企業が多いことが分かりました。また、いざというときに頼れる人材、パートナー企業がいない状態で運用している企業も一定数見られました。ECマーケティングの「WordPress丸ごとおまかせ(保守)サービス」は低コストで健全なWebサイト運用をサポートしています。【関連サービス】WordPress丸ごとお任せ保守

  • CMS セキュリティリスク 比較 WordPressの強化方法は?

    2024.02.28 WEB制作

    CMS製品のセキュリティリスク比較!WordPressの強化方法も紹介
    Webサイトを構築するCMSといえばWordPressが有名ですが、種類によってセキュリティリスクが違うことはご存じですか?使いやすいCMSほどサイバー攻撃に狙われやすく、手軽なCMSの普及と比例してWebサイトのマルウェアの感染事例も増えています。CMSはセキュリティリスクも考慮して選び、製品に適した対策をとっていくことが大切です。今回は代表的なCMS製品のセキュリティリスクを比較しながら、狙われやすい製品のセキュリティ強化方法を解説します。これからCMSを選ぶ人も、すでにCMSを稼働している人も参考になる内容ですので、ぜひご覧ください。1.CMSは種類によってセキュリティリスクが違うCMS(Contents Management System)は、Webサイトの画像・テキスト・テンプレートなどの情報を一元管理するシステムのことです。CSSやHTMLなどの専門知識がなくてもWebページの作成・更新が可能になるため多くの企業が導入しています。ただし、「専門知識が不要」という特性から、CMSのセキュリティ知識がないまま運用してサイバー攻撃の標的にされる事例が増えています。CMSは種類によってセキュリティリスクが異なるので注意しましょう。CMSは以下の3種類に分かれます。オープンソース型:セキュリティリスク 高プログラムのソースが公開されているCMS。安価で誰でも利用しやすい反面、もっともサイバー攻撃で狙われやすい。ベンダーのサポートがないため自主的なセキュリティ対策が必要。パッケージ型:セキュリティリスク 低ベンダーが独自開発したCMSを自社サーバーにインストールして利用する。ソースが非公開であり、セキュリティ対策もベンダーが対応するため比較的安全性が高い。自社サーバーをもつ中規模以上のサイト向けが主流。クラウド型(SaaS型):セキュリティリスク 低ベンダーが独自開発したCMSをインターネット経由で利用する。パッケージ型と同様に、ソースが非公開でベンターがセキュリティを担当するため比較的安全性が高い。サーバー不要のため個人や小規模企業でも運用しやすい。使い勝手の良いオープンソース型を利用する場合は、しっかりとしたセキュリティ対策が必須と覚えておきましょう。さらにくわしく知りたい方はこちらの記事をご覧ください。 CMSのセキュリティリスク|種類ごとの危険性・対策を紹介2.代表的なCMS製品のセキュリティ比較日本でよく利用される5つのCMS製品のセキュリティリスクを比較してみましょう。CMSの種類セキュリティリスクセキュリティ対応オープンソース型WordPress最も高い自社Drupal高い自社パッケージ型Movable Type低いベンダーMovable Type低いベンダークラウド型MTCMS Cloud低いベンダーWordPress(ワードプレス)WordPressはオープンソース型でプラグインが豊富な上、80%以上のシェア率があるためもっともサイバー攻撃に狙われやすいCMSといわれています。セキュリティ情報も豊富でますが、利用者の自己対応頼りのため脆弱性が出やすいのが特徴です。→WordPressのセキュリティリスクについて詳しくはこちらDrupal(ドゥルーパル/ドルーパル)Drupal もオープンソース型でセキュリティが自己対応のため脆弱になりやすい面があります。日本で知名度が低いこともあり、セキュリティ情報が少なく万全な対策が難しいCMSです。Movable Type(ムーバブル・タイプ)Movable Typeはソース非公開のパッケージ型CMSであり、比較的セキュリティリスクは低いでしょう。純国産でベンダーからのサポートが受けられ、セキュリティ対策やトラブル時の対処も任せられるので安心です。SiteCore(サイトコア)SiteCoreは顧客データの保護に特化したパッケージ型CMSです。ベンダーがセキュリティの対策と対処を担当し、24時間体制でセキュリティ監視・脆弱性の管理・外部侵入テストを行っています。MTCMS Cloudクラウド型CMS のMTCMS Cloudは、プラットフォームであるAmazon Web Serviceの提供元の㈱スカイアークがセキュリティを担当します。専門家に対策を任せられるため安全性は高いでしょう。このようにセキュリティに力を入れているCMSを選ぶことでリスクは下げられますが、知識を身につけて利用者自身で対策をすれば、より安全性は高まります。使い勝手の良さを優先したい場合にも役立つでしょう。次章ではCMSのセキュリティを強化する方法をご紹介します。3.WordPressのセキュリティを強化する方法もっとも利用者が多いWordPressは、もっとも狙われやすいCMSだといわれています。以下の方法でセキュリティを強化しておきましょう。→WordPressのセキュリティ対策について詳しくはこちらプラグインやテーマ、バージョンを最新に保つ古いプログラムやツールでは新たなマルウェアに対応できません。常に最新のバージョンにしておくことがセキュリティ対策の基本です。CMSの自動更新機能を過信せず自らチェックし、確実にアップデートする。不要なテーマやプラグインは削除する。PCも同様にOSやアプリケーションを常に最新バージョンに適用する。利用者が多いWordPressは、プログラムに脆弱性が見つかったその日に攻撃を仕掛ける「ゼロデイ攻撃」が起きた事例もあります。更新通知がきたらすぐに適用しましょう。→セキュリティに強いプラグインの選び方複雑なユーザー名やパスワードに設定する法則性があるユーザー名やパスワードはセキュリティリスクが高いため複雑なものに設定し直します。10桁以上の英数字を組み合わせたものか、自動生成ツールの活用がおすすめです。使用するPCも同様に設定しましょう。セキュリティ対策がしっかりしたサーバーを選ぶレンタルサーバーのセキュリティ対応は提供会社によって大きな差があります。セキュリティ規約をよく確認し、WordPress専用のセキュリティ対策機能があるなど信頼できるサーバーを利用しましょう。サイトをSSL化する「サイトのSSL化」とはデータ通信を暗号化し情報漏洩や改ざんを防ぐ方法です。WordPressの場合はレンタルサーバーにSSL化に対応したプラグインをインストールして利用するのが一般的ですが、サーバーによっては無料提供もあるので活用しましょう。→サイトのSSL化について詳しくはこちらWAFを導入するWAF(ウェブ・アプリケーション・ファイアーウォール)はファイアーウォールでは防ぎきれない攻撃に備えるセキュリティソフトです。顧客情報や金融情報を扱う場合は確実に入れた方がいいでしょう。セキュリティ対策用プラグインを導入するシェア率が高いWordPressにはセキュリティ対策用プラグインがたくさんあります。ログインページ保護に特化したSiteGuard WP Plugin、サイトのSSL化機能があるiThemes Security、スパムメールを防止するAll In One WP Security & Firewallなど、サイトの特性に合わせて導入しましょう。→WordPressのおすすめセキュリティプラグイン設定ファイルへの外部アクセスを防ぐ設定ファイルへの外部アクセスを防ぐのもセキュリティ強化に有効です。以下の設定をしましょう。FTPソフトでファイルの属性(パーミッション)を400にするwp-config.phpと同じディレクトリにある「.htaccess」ファイルにorder allow,deny deny from all」を追記するセキュリティ状況を定期的にチェックするサイバー攻撃の手口は日々巧妙化しており、プログラムの脆弱性が後から見つかることも珍しくありません。WPScans.com、WPdoctorなどの診断サービスや対策用プラグインのWordfence Securityを使って定期的に脆弱性をチェックして対策を見直すことも大切です。4.CMSのセキュリティ強化は保守サービスがおすすめCMSは事業規模や担当者のスキルに適した製品を選ぶ必要もあり、セキュリティばかり重視するわけにはいかないのが現実です。結果的に使い勝手の良いオープンソース型を選ぶ企業も多いでしょう。かといって、専門知識を学びながら自社でCMSのセキュリティ対策をしていくのは大変なことです。そんなときは保守サービスの利用がおすすめ。手ごろな費用でCMSのセキュリティを丸ごと依頼できます。例えば、ECマーケティング株式会社の「WordPress丸ごとお任せ(保守)サービス」では月額3万円から以下のようなサービスが受けられます。独自のAIを用いたセキュリティチェック脆弱性のチェック~更新まで半自動化WAFと不正アクセス検知による高いセキュリティ対策充実した監視体制による安定稼働その他、定期的なバックアップや改ざんチェック、トラブル時のデータの復元まで経験豊かなエンジニアが対応してくれるので安心です。ECマーケティング株式会社「WordPress丸ごとお任せ(保守)サービス」WordPressのほか、どんなCMSにも柔軟に対応しておりますので詳しくはお問い合わせください。CMSを選ぶ際に使いやすさや機能はとても大切です。不安なセキュリティを外部に任せられれば、本当に欲しいCMSを選べるようになるでしょう。5.まとめCMSにはオープンソース型、パッケージ型、クラウド型の3種類があり、ソースが公開されているオープンソース型はセキュリティリスクが特に高いといわれています。中でも、圧倒的なシェアをもつWordPressはサーバー攻撃の標的にされやすいため利用者自身がセキュリティ強化に積極的に取り組まなくてはいけません。WordPressのセキュリティを強化するには、プラグインやOSの更新、サイトのSSL化、WAFの導入など様々な方法がありますが、専門知識を持った保守サービスを利用するのが安心です。セキュリティを保守サービスに委ねることで、CMSの選択肢の幅も広がります。ぜひ検討してみてはいかがでしょうか?

  • 分かりやすく解説!DoS攻撃とDDoS攻撃の違い

    2024.02.20 WEB制作

    DoS攻撃とDDoS攻撃の違いとは?手法や対処法まで分かりやすく解説!
    「大量のデータ送信を受けてサーバがダウンした!」これはDoS攻撃またはDDoS攻撃を受けた時の症状ですが、この2つに違いはあるのでしょうか?実は、サーバに負荷を与えて妨害する点は同じですが、対応の難しさや被害規模には大きな違いがあります。対処する際はDoS攻撃とDDoS攻撃を見極めることが大切です。この記事ではDoS攻撃とDDoS攻撃の違いや特徴、代表的な手法を解説しながら、それぞれの対処法にも触れていきます。1.DoS攻撃とDDoS攻撃の違いは「攻撃元のパソコン数」サイバー攻撃を受けたときは「攻撃の種類の見極め」が最適な対処につながります。DoS攻撃とDDoS攻撃は、どちらもサーバに大量の不可を与えて正常な稼働を妨害するサイバー攻撃です。ただし、攻撃元のパソコン台数が違うため被害規模や対処法が変わってきます。DoS攻撃は攻撃者本人の1台のパソコンが発信元ですが、DDoS攻撃は不正アクセスで支配下におかれた複数のパソコンから攻撃されます。1台のIPアドレスを特定すればいいDoS攻撃にくらべ、不特定多数の端末を利用するDDoS攻撃は相手の特定や対処が難しく、下記のような障害の規模や損失も大きくなるのが特徴です。DoS攻撃やDDoS攻撃による被害・Webサイトやサービスの停止、メールの停止による機会損失や賠償の発生・サーバの大量処理による利用料金の増大・攻撃に紛れたマルウェアへの感染・社会的信頼の失墜 など次章からDoS攻撃とDDoS攻撃の特徴をくわしく解説していきます。2.DoS攻撃の特徴と手法まずは、DoS攻撃の特徴と代表的な手法からご紹介します。DoS攻撃とはDoS(Denial Of Service)攻撃とは1台のパソコンから標的のサーバに多数の要求を送信して負荷をかけ、システムダウンを強いるサイバー攻撃です。サーバは大量の情報処理にリソースを割かなければならず、運用しているWebサイトやサービスに障害が発生します。一般的なDoS攻撃のほとんどはデータ盗難や乗っ取りなどのプログラムは含まれておらず、攻撃者に利益はありません。いたずらや嫌がらせの要素が強いサイバー攻撃といえるでしょう。DoS攻撃の代表的な手法メールボム攻撃一度に大量のメールを送り続け、メールサーバのパンクを狙う攻撃。メールの送受信ができなくなる。●F5攻撃キーボードの「F5」(再読み込みキー)の入力を繰り返させてサーバに負荷を与える。3.DDoS攻撃の特徴と手法つぎにDDoS攻撃の特徴と代表的な手法をみてきましょう。DDoS攻撃とはDDoS攻撃とは「Distributed(分散型) Denial Of Service」の略称で、マルウェアで支配下においた複数のパソコンを使って大規模なDoS攻撃を仕掛ける手口です。「踏み台」とも呼ばれる攻撃用パソコンは犯人との関連性がなく、IPアドレスの特定やブロックが困難なため対応に時間がかかります。最近ではネットワークカメラやルーターなどのIoT機器が踏み台にされるケースも多く、より特定が難しくなっています。DDoS攻撃は被害規模が大きい上、不正アクセスやマルウェア攻撃の窓口としても利用されるため慎重な対処が必要です。DDoS攻撃の代表的な手法SYNフラッド攻撃支配下にある複数のパソコンからSYNパケット(接続要求)を大量に送る手法。システム障害に乗じて不正アクセスを仕掛ける。その他の攻撃SYNフラッド攻撃と同様の手口でFINパケット(切断要求)、ACKパケット、UDPフラッドを利用した攻撃もある。4.DoS攻撃とDDoS攻撃は対処法にも違いがあるDoS攻撃とDDoS攻撃は対処法にも違いがあります。DoS攻撃の対処法は相手のIPアドレスを特定し、サーバのIPアドレス制限機能でアクセスを遮断します。攻撃元の端末が1台のため、知識さえあれば特定もそれほど大変ではありません。一方で、複数の端末から攻撃してくるDDoS攻撃はすべてのIPアドレスの特定と制限は難しいのが現実です。各手法に対応したファイアウォールやIPS、DDoS攻撃対策ツールなどでの対処になるでしょう。ただし、どちらも専門知識がない場合や大規模攻撃になった場合は自社での対処は困難です。被害が大きくなる前に保守サービスへの依頼を検討しましょう。保守サービスでは現在の攻撃への的確な対処はもちろん、DoS攻撃やDDoS攻撃以外のサイバー攻撃も含めた対策や定期的な脆弱性チェックなど、Webサイト全体の保守を強化できます。最近では自社のWebサイトに遠隔操作系のマルウェアを仕掛けられ、閲覧者の端末がDDoS攻撃に使われたという事例も増えています。自社の信頼や大切なユーザーを守るためにもDoS攻撃やDDoS攻撃をきっかけに、全体の保守を見直すことが重要です。5.まとめDoS攻撃とDDoS攻撃の大きな違いは攻撃に使われるパソコンの台数です。DoS攻撃では1台、DDoS攻撃では複数のパソコンが使用されます。また、DoS攻撃はいたずら要素が強く、DDoS攻撃はさらなるサイバー攻撃の窓口にされやすいといった特徴があります。対処法としては、DoS攻撃にはIPアドレスの特定とアクセス制限が有効ですが、複数の端末が利用されるDDoS攻撃は同様の対処は困難です。使われた手法に対応できる、より専門的な方法が求められます。知識に不安がある場合や被害を最小限に抑えたい場合は、専門知識をもった保守サービスに依頼しましょう。攻撃の対処はもちろん、今後の対策においても大きな助けになるはずです。

  • もし不正アクセスされたら?

    2024.02.20 WEB制作

    【企業向け】不正アクセスされたらどうすべき?対処法をくわしく解説
    サイバー攻撃はもう日常です。「不正アクセスされたら、どうするか?」は、すべての企業がすべての従業員に伝えるべき最優先事項ともいえるでしょう。不正アクセスは「権限を持たない人間がシステム内部に入り込んだ」ということ。情報の盗難や改ざん、マルウェア感染、システムの異常がいつ起こってもおかしくない状態です。気が付いた本人がすぐに正しく動かなければ、大きな損害につながります。この記事では、不正アクセスされたときの対処法をくわしく解説します。落ち着いて確実に対処できるように手順を頭に入れておきましょう。1.不正アクセスされたときの対応手順まずは、すぐにネットワークから遮断しましょう。不正アクセスは「アクセス権限のない人間がシステム内部にいる」状態です。データの盗難や改ざん、マルウェアの感染と拡大、システムの停止など大きな被害を防止するために端末の隔離を優先します。被害を最小限に抑えるには不正アクセスに気づいた時点で、すばやく正しい手順で対処することが大切です。「①遮断、②パスワード変更、③報告」は特に迅速に行いましょう。不正アクセスされたときの手順サーバや端末をネットワークから遮断パスワードを変更する関係者や上司、セキュリティ担当に報告原因を調べる(マルウェア感染・情報漏洩など)被害状況を調べ・証拠を保存する復旧作業を行う警察へ連絡する再発を防ぐ対策をするこれらの手順について、次章からより詳しく解説していきます。2.不正アクセスされたら「被害の拡大防止」が最優先不正アクセスを発見して最初に考えるべきことは「被害の拡大防止」です。下記の手順を何よりも優先しましょう。サーバや端末をネットワークから遮断すぐにサーバや端末をネットワークから遮断します。「不正アクセス」と確定していない時点でも動きましょう。もし拡散型のマルウェアで攻撃されていたら、ネットワーク全体が被害を受けることになります。パスワード変更現在のパスワードは入手されている可能性が高く、攻撃者にパスワードを変更されてしまうと、こちらがログインできなくなります。早急に分かりにくいパスワードに変更しましょう。不正アクセスの報告ネットワークからの遮断とパスワードの変更が済んだら、感染拡大防止と対処のため関係各所へ連絡します。職場によって違いはありますが、企業端末の場合は下記3か所への報告が一般的です。上司同じネットワークを使用している全スタッフセキュリティ担当3.次に不正アクセスされた原因と被害を調べる端末の隔離や報告が終わったら、原因と被害状況を調べます。不正アクセスの原因を調べる不正アクセスの原因はこのような方法で調べます。不審なファイルやサイトの開封履歴はないか通信履歴のあるサイトやメール相手にも被害がでていないかセキュリティ上の脆弱性(古いOSやアプリなど)がないかIDやパスワードが漏洩する機会がなかったか(人的要素も含める)ウイルススキャンでマルウェアを検出する※※ウイルススキャンでの確認はマルウェアの種類やソフトウェアの性能によっては検出できない場合もあるので注意しましょう。被害状況を調べる覚えのないパスワード変更通知やパソコンの動作異常などで不正アクセスに気づくケースが多いようですが、その他の被害も潜んでいる可能性が高いので注意深く調べましょう。企業でよくある被害は以下の通りです。Webサイトの改ざん(マルウェアの感染経路にされる)データの改ざん・破壊・流出データ破壊による身代金要求(ランサムウェア)個人情報・機密情報の漏洩遠隔操作による不正送金企業アカウント盗難による「なりすまし被害」 など通報のために証拠を保存する不正アクセスは「不正アクセス禁止法違反」にあたる犯罪です。各都道府県の警察に設置されたサイバー犯罪相談窓口への届け出が必要となります。証拠保存のためサーバログのバックアップをとりましょう。警察のサイバー犯罪相談窓口は不正アクセスの対処や復旧の相談にものってくれます。4.不正アクセスの復旧と防止対策は専門家へ不正アクセスが日常的に増えているとはいえ、オフラインにした後の対応は自分では難しいと感じる方も多いでしょう。不正アクセスの被害の確認はデータの異常有無やメールの送受信点検など多岐にわたり、「マルウェア感染があった」ともなれば駆除や復旧にさらなる専門知識が必要です。また、復旧後は再発防止のために脆弱性を見直し、新たな対策をたてなければなりません。社内にセキュリティ部門がない場合は、外部の保守サービスの利用がおすすめです。月3万円程度の費用で不正アクセスの被害検証からサイトの死活監視、今後のセキュリティ対策まで丸ごと任せられます。オプションで障害発生時の復旧まで受けられる手厚いサービスもあります。日々手口が巧妙化している不正アクセスに、通常業務をこなしながら万全の対策をするのは難しいものです。専門家の手を借りることも視野に入れましょう。5.まとめ不正アクセスをされたら、まずネットワークから遮断しましょう。乗っ取りやマルウェアの被害拡大を防ぐために「遮断→パスワード変更→報告」の手順で対処することが大切です。それらが済んだら、落ち着いて原因の究明や被害状況の把握を行います。セキュリティ対策ソフトウェアでのマルウェア検出や人的要因の可能性までしっかりと調べ、警察へ届け出るときの証拠としてログの記録もとっておきましょう。これらの不正アクセスへの対応は専門知識がないと難しい場合もあります。不安がある場合は保守サービスの利用も検討しましょう。対処復旧から今後の対策まで、かなり頼りになるはずです。

  • CMSセキュリティリスク

    2024.02.16 WEB制作

    CMSのセキュリティリスク|種類ごとの危険性・対策を紹介
    CMSはContents Management Systemの略。Webサイトの更新と管理を助けてくれるシステムのことです。代表的な例としてWordPressをご存知の方も多いのではないでしょうか。基本的にインターネットを通じて利用するシステムなので、サイバー攻撃や内部の情報漏えいなどのセキュリティリスクにさらされることもあります。CMSでも種類によって生じやすいリスクや対策が若干変わってきますので、しっかり把握しておくことが大切です。この記事ではCMSのセキュリティリスクについて、種類ごとに分かりやすく解説します。1.CMSは種類によってセキュリティリスクが異なる?CMSは日本語で言うと「コンテンツ管理システム」の略称です。CSSやHTMLへの専門知識が必要なサイト制作を管理システム内で簡単に行えることから、現在ではサイト作りのために多くの人が導入しています。しかし、運用者の中にはセキュリティリスクに無知な人もおり、サイバー攻撃の被害に遭うケースも少なくありません。企業のサイト運用でありがちなのは、担当者が売上アップを狙えるコンテンツ(記事など)の制作にリソースを割きすぎて保守に手が回っていないパターン。特にWordPressなどのオープンソース型CMSでは自主的なセキュリティ管理が肝要です。>>>WordPressのセキュリティリスクについてはこちらから<<<CMSの種類・メリットとデメリット種類メリットデメリットオープンソース型カスタマイズ性が高い自主的なセキュリティ対策が必要パッケージ型ベンダーによる安全対策が整っている自主サーバーの整備が必要クラウド型サーバーがなくても安価or無料カスタマイズ性が低いCMSは大きく分けてこの3種類。それぞれの特徴について詳しくは後述しますが、最もシェアが大きいのは無料で誰でも使えてカスタマイズもしやすいオープンソース型のCMSです。2.オープンソース型CMSのセキュリティリスクオープンソース型CMSにもさまざまな種類がありますが、その中でも一番多くの人に使われているのはWordPressです。W3Techsのデータ※によれば、CMSで制作したサイトのうち62.8%はWordPressを使っているそうです。シェアが大きい上、以下のような問題点があるためセキュリティリスクは比較的高いと言えます。もちろん安全に利用しているユーザーもたくさんいますし、必ずしも危険というわけではありません。WordPress向けの保守サービスを提供している会社としては、セキュリティ対策を認識せず脆弱性を突かれて攻撃を受けるWebサイトが多いことは非常にもったいなく思います。「サイトを作ったら終わり」ではなく、以下のようなセキュリティリスクを踏まえたうえで一定の対策を講じる必要があることは認識しておきましょう。コードが公開されているオープンソース型CMSの特徴はカスタマイズ性の高さです。Webサイトを構築するためのコード(具の中身)は基本的にどのサイトも同じで誰にでも見られる状態になっています。攻撃者から見ると脆弱性を突きやすい状況だと言えるでしょう。プラグイン・モジュールなどから侵入されやすいオープンソース型CMSはあらかじめサイトを作るための基本的な機能を搭載した状態で誰でもダウンロードできるよう公開されていますが、便利に使うためにはカスタマイズが必要になります。オープンソース型では、追加で機能が必要になった時のために拡張機能が使えるようになっていることがほとんどです。ツールによってプラグイン・モジュールなどさまざまな言い方はありますが、「誰でも作れる」「他の人とも共有できる」拡張機能であることは共通しています。拡張機能はCMSの開発者でなくとも自由に作ることができますし、中には作るだけ作って更新を放置してしまう人もいます。オープンソース型の場合、こういったプラグインやモジュールの脆弱性から攻撃を受けるリスクがあるのです。対策を十分にしていない人が多いオープンソース型CMSのサイトで被害を受ける人が多い一番の理由は、シェアの大きさと参入のハードルの低さゆえに対策のやり方を分かっていない初心者でも簡単に導入できてしまうためです。特にWordPressは対策の浅さが原因でセキュリティが甘い状態になっているサイトが多く見られるので、「狙われやすい」と言われがちです。実際、バージョンの管理をしていないようなサイトがどんどん標的になっています。>>>WordPressの脆弱性事例<<<3.パッケージ型・クラウド型(SaaS型)CMSのセキュリティリスクパッケージ型、クラウド型のCMSはオープンソース型CMSと違い、制作と管理を担う企業(ベンダー)が存在します。そのため、基本的には自社でセキュリティ対策に割くリソースは少なくなるでしょう。その分カスタマイズ性が下がり、高度な拡張機能の搭載には比較的高額なオプション代が必要になります。パッケージ型CMSの特徴ベンダーが独自に開発したCMSライセンスを購入し、自社サーバーにインストールするタイプのCMSです。オープンソース型はフォーム機能やデザインのカスタマイズなどの基本要素を拡張機能によって補う必要がありますが、パッケージ型の場合はあらかじめ必要な機能が搭載されています。CMSをインストールするサーバーを運用側で調達・管理することが前提になっているので、サーバーを自社で用意できる中~大規模サイトに利用されることが多いのが特徴です。クラウド型(SaaS型)CMSの特徴ベンダーが制作したCMSをインターネット(ブラウザ)経由で利用できるのが特徴です。パッケージ型と違って自前でサーバーを用意する必要がないので、小規模なサイトや個人ブログ運用にも手軽に利用できます。ただし、カスタマイズの自由度はかなり下がることには注意が必要です。代表的なクラウド型CMSといえば、「WordPress.com」。初心者には混同されがちですが、「.com」の方はWordPressと同じ開発者がオープンソース型のWordPressをクラウドで使える形にしたサービスです。オープンソース型CMSとの違い、セキュリティリスクパッケージ型CMSもクラウド型CMSもベンダーが提供するシステムを利用するという点が共通しています。オープンソースと比較すると自由度が低くなる分、比較的セキュリティリスクは低いと言えるでしょう。ただし、セキュリティリスクがゼロになるわけではありません。パッケージ型はサーバー等への不正アクセスの対策やアップデートなどのメンテナンスは自社で行う必要があります。クラウド型は自社サーバーがなくても利用できますが、サービスを提供しているベンダーのセキュリティ対策や有事のサポート制度によるところが大きいのがセキュリティ的なデメリットになりうるでしょう。サイト制作が終わった後にCMSを乗り換えるのは至難の業なので、これからサイトを作る方は熟慮して利用するCMSを決めるべきでしょう。4.CMSのセキュリティリスクを回避する対策CMSはインターネットを通じてサイト制作を管理するシステムなので、利用するうえではどうしてもセキュリティリスクが生じてしまいます。では、どんな方法を取ればリスクを回避できるのでしょうか。自社に合ったタイプのCMSを取り入れるどのタイプのCMSも一長一短。「これを選んだら安全」ということもないので、作りたいサイトの形式や制作環境に応じて使い分けるのが大切です。それぞれのCMSの特徴を把握して、自社の求めるコンテンツに沿ったものを取り入れましょう。セキュリティ対策ソフトを導入する特に自分で環境を整えなければならないオープンソース型では、WAFやファイアウォールを設置して自分の身を守ることが重要です。例えばWordPressにはWAFをサイトのシステムに組み込めるプラグインなどもあるので、利用する場合は導入しておいた方がいいでしょう。(セキュリティ対策のプラグインについては「WordPressの安全を守る!セキュリティ対策プラグイン7選」で詳しく解説しています。)脆弱性情報を収集する脆弱性情報の収集も非常に重要です。特にオープンソースCMSの運用者は誰かが定期的にチェックしておくことをおすすめします。システム内の脆弱性は時間が経ってから見つかることもあるので、更新される情報についていかなければどんどん穴のあるサイトになっていってしまいます。セキュリティ対策をして終わりではなく、日々移り変わる情報を集めて対策することが大切です。アップデートを管理するアップデート(バージョンアップ)は新しい機能の追加のほか、セキュリティの脆弱性を修正する目的で実施されることも多々あります。そのため、アップデート情報が出たら可能な限り早く実装するようにしましょう。特にオープンソース型ではアップデート後に拡張機能との互換性の問題で表示崩れなどが発生するケースがかなりの確率(弊社エンジニアの体感だとメジャーアップデート時は40%くらい)で起こります。「サイトの表示を保ちたいから」という理由でバージョンをそのままにしてしまう事例が散見されますが、しっかり管理されていないサイトはサイバー攻撃を受けるリスクを増大させてしまいます。表示崩れ等が起こるのはある程度仕方のない現象ですので、放置せずしっかり対応するのが重要です。自社のリソースでアップデートの管理が難しいようなら、保守サービスの利用も検討してみましょう。定期的にサイトのセキュリティ診断を行うどんな形式のサイトでも、脆弱性診断を行うことでセキュリティの課題点を洗い出して改善することができます。また検索流入を増やしてコンバージョンを上げるには、表示スピードの改善などの対策も必要です。セキュリティ保守と並行してSEOの内部対策を行うのもおすすめです。5.まとめCMSにはオープンソース型パッケージ型クラウド型(SaaS型)の3種類があります。特にシェアの大きいオープンソース型はカスタマイズ性が高い分、対策を怠るとセキュリティリスクが高まります。しかし、どんなCMSであっても基本的なセキュリティ対策は非常に大切です。もし自社サイトのセキュリティへの対策が十分でないとお考えでしたら、保守サービスの利用をおすすめします。当社のサービスでは、WordPressはもちろんご相談次第で他のCMSの保守も代行できます。「自社のCMSに対応してくれるか知りたい」という方はまずお問い合わせください。当社の専門家が丁寧にヒアリングいたします。→WordPressサイトの無料セキュリティ診断はこちら※W3Techs+「Usage statistics of content management systems」

  • WordPressは狙われる?仕組みを解説

    2024.02.13 WEB制作

    WordPressが狙われるのはなぜ?仕組みを分かりやすく解説します
    「WordPressはセキュリティ的に危ない」「やめとけ」という言説はたびたび流布します。WordPressの保守運用サービスを提供する会社として本当のところは違うと考えていますが、実際のところWordPressがサイバー攻撃の標的になることが多いことは事実です。しかし仕組みを理解してどのような面に危険性が潜んでいるか知って対策できていれば、リスクをかなり低減させることができます。なぜ「狙われやすい」と言われるのか仕組みの側面から分かりやすく解説しますので、WordPressの安全性に不安がある方はぜひ参考にしてください。1.WordPressは狙われやすくて危険なのか?冒頭でも述べましたが、結論から言って「WordPressばかり狙われる」「危険だからやめるべき」というわけではありません。誰が作ったどんなツールにも弱点が存在します。攻撃を避けるために自分でコードを書いてサイトを作ったとしても、脆弱性のリスクがゼロになることは実質不可能です。しかしWordPressは構築の自由度が非常に高いため、その分リスクヘッジを自分たちでやらなければならないのも確かでしょう。サイバー攻撃の標的にならないよう、対策をしっかり行うことはとても重要です。→対策はこちら2.WordPressが狙われやすいのはなぜか?理由5選WordPressが狙われやすいと言われる原因は何でしょうか?簡単に説明すると「よく知らずに使っている人が多いから」です。具体的には、大きく分けて5つの要因があると考えています。無料ゆえにシェアが大きいW3Techsのデータ※によればWordPressの市場シェアは約62.8%。類を見ないほどシェアが大きいCMSです。利用者が多い端的な理由の一つは「無料だから」でしょう。サイトの構築にはサーバーやドメインが必要ですが、裏を返せばそれ以外の部分にはほとんどお金がかかりません。カスタマイズに必要なプラグインやテーマも無料のものがたくさんあるので、CMSの中では参入障壁がとても低いと言えるでしょう。利用者の多さゆえ、必然的に攻撃に遭うサイトのCMSを調べるとWordPressである可能性も高くなります。単純ですが、これが被害を受ける人が多いと言われる要因の一つです。更新せず放置している人が多いサイバー攻撃のターゲットにしやすいのは「セキュリティについて知らない人」です。そしてアップデート(バージョンアップ)の放置はセキュリティに無知であることを最も分かりやすく示す証拠になります。まずはWordPressの仕組みから考えてみましょう。アップデートには脆弱性を修正するという大切な役割もありますが、オープンソースという性質上強制的に適用されることはありません。バージョンの更新はあくまで自己意思によって行わなければならないということです。マーケティング担当者がSEO対策やコンテンツ作成業務の一環でWordPressを使用している企業はかなり多いはずです。本来サイトの運用担当はシステムの更新・管理を担うはずですが、マーケティング担当者の最終ミッションは集客効果・売上効果アップなので、直接利益につながらない保守業務を怠りがちになります。したがって、何らかのエラーや表示崩れが起きるまで更新・管理を放置してしまう担当者が多いのが現実です。セキュリティリスクを考えると脆弱性を放置すべきではありませんが、シェアの大きさ故どうしても安全管理の重要性に気付かない運用者が一定数出てきます。そういう意味では、攻撃者から見たWordPressはネギをしょったカモがたくさんいる状態に近いのかもしれません。プラグイン・テーマに脆弱性があるWordPress本体(コア)は脆弱性が見つかってもすぐに修正されるため、2017年以降大規模なサイバー攻撃は起こっていません。しかしプラグインやテーマなどの拡張機能は誰でも作れるので、深刻な脆弱性が元から存在するパターンや後から見つかった問題を放置してしまうパターンも多いです。テーマとプラグインに生じる脆弱性は攻撃者に狙われやすい一因を作っていると言えるでしょう。プログラムの仕組みが分かりやすいWordPressはオープンソースのCMSです。「オープンソース」とはプログラムのソースを公開しているという意味であり、プログラムの設計が誰でも見られる・編集できる状態にあることが特徴です。WordPressが人気なのは管理のしやすさを優先して内部ファイルの設計を簡単にカスタマイズできる仕様にしているからですが、それゆえ攻撃者側から見ても脆弱性を突きやすいという代償を生み出しています。初期設定ではログイン画面のセキュリティが甘いWordPressは初期設定のままだとURLアドレス・ログインID・パスワードの3つを揃えるだけで誰でもログインできてしまいます。管理者権限を持つユーザーの管理画面に入ることさえできれば、内部の情報を入手するのは簡単です。サイトの改ざん、コンテンツの消去などはもちろん、サイトのシステム内部を経由して他のデバイスから情報を抜き取られてしまうかもしれません。3.WordPressの仕組み・狙われるポイントWordPressは動的CMSと呼ばれる区分のツールなので、運用者がCMSのインターフェイス(管理画面)から画像やテキストなどのコンテンツを入れることができます。管理画面からプラグイン、テーマの変更することで簡単にデザインや内部の設定をサイト上に反映できるので、初心者でも簡単にページをカスタマイズできるのも特徴です。そのため、CMSのデータベースを直接編集する知識がないまま運用しているケースも少なくありません。知識のなさを狙ってハッカーが攻撃を仕掛けてくるのです。セキュリティ保全を怠った場合、自社サイトが攻撃の対象になっても気が付かない可能性があるのも恐ろしいところです。4.今すぐできる!WordPressのセキュリティ対策誤解のないよう何度も言いますが、「WordPressだから狙われやすい」ということはありません。セキュリティに予算を割き、安全にサイトを運用している企業もたくさんあります。ご自身が運営しているWordPressのサイトにセキュリティ的な懸念があるようでしたら、まずは以下の対策がきちんとできているか確かめてみましょう。プラグイン・テーマを管理するプラグイン・テーマの放置はサイトに脆弱性をもたらす一番の原因です。入れたら終わりではなく、管理する必要があることを忘れないでください。具体的には以下の項目を実行できるとよいでしょう。●使わないものは削除保守の対象となるサイトの中には使っていないプラグインを「無効化」のまま放置しているパターンが散見されますが、無効化にしたプラグインからも脆弱性をかいくぐられる可能性は十分あります。使わないことが分かったら削除するようにしてください。●長期間更新されていないものは使わないWordPressのテーマやプラグインはバージョンアップに合わせたり、発見された脆弱性を修正したりするために定期的な更新が必要になります。しかし、もちろん義務ではないので中には長期間更新されていないものもたくさんあります。おすすめ記事などで過去に紹介された有名なプラグインであっても、1年以上更新されていなければ使わないようにしましょう。●セキュリティ系のプラグインを入れる先述したように、初期設定の管理画面は不正アクセスを受ける可能性が高まります。その他にもWAFの設置などセキュリティ強化の機能が入ったプラグインの導入は必須です。>>>おすすめセキュリティ対策プラグイン記事はこちらから<<<常に最新バージョンを保つWordPress本体(コア)もプラグイン・テーマも、アップデートがあればできるだけ早くインストールするよう心がけましょう。たまに「表示崩れするから」などの理由でアップデートを放置してしまう運用者も見受けられますが、もし自分で管理が難しいなら外注での保守も検討すべきです。>>>自社サイトの更新を代行!保守サービスについて詳しく知る<<<ID・パスワードを管理する生年月日、1234など推測されやすい文字列を使ったパスワードは危険です。また、ログインのためのIDをドメイン名にしているのも危険なのでやめた方が良いでしょう。従業員のパスワード管理基準を明確にするために、規定を明文化したパスワードルールを作るのも一つの手です。セキュリティ診断をするセキュリティ診断を行うと、サイトに隠れた脆弱性を簡単に見つけることができます。特に初心者の運用はセキュリティリスクを見落としていることが多いため、企業サイトを安全に保守したい場合は定期的にプロに問題点がないか見てもらった方が安心です。>>>無料セキュリティ診断はこちらから<<<5.まとめWordPressが狙われやすいと言われる理由は、端的に説明すると「セキュリティについて知らずに運用している人がたくさんいるから」です。セキュリティ対策をしっかり行い、自分の身は自分で守る体制ができていればリスクが高すぎるということはありません。裏を返せば、セキュリティに予算を割かない企業はWordPressの運用には向いていないと言えるでしょう。「自社で運用しているWordPressサイトのセキュリティに不安がある」という方は、今からでも保守管理を行うことをおすすめします。※W3Techs+「Usage statistics of content management systems」

  • WordPress セキュリティ対策 プラグイン

    2024.02.13 WEB制作

    WordPressの安全を守る!セキュリティ対策プラグイン7選
    WordPressを安全に運用するにはさまざまな面でのセキュリティ対策が不可欠です。しかしサイト運用の初心者にとっては難しい対策方法もあり、どうすればいいか分からないと悩んでいるWEB担当者は多いのではないでしょうか。「何の対策もできていない」とお思いでしたら、まずWordPressの拡張機能であるプラグインを利用して基本的なセキュリティを整備しましょう。1.セキュリティ対策プラグインは必要不可欠WordPressは何の対策もしていない初期設定だとセキュリティが十分とは言えません。例えば、WordPressの管理画面へのURLは初期設定だとサイトのドメインから簡単に推測できる仕様になっています。ログインページから不正アクセスを試みるサイバー攻撃(ブルートフォース攻撃など)は管理画面に入らなければ実行できないため、ログインURLを変更することが一定のセキュリティ保護につながるでしょう。サイバー攻撃についての詳細は「サイバー攻撃の種類をカテゴリごとに分かりやすく解説!」でもご紹介しています。興味があればぜひこちらもご覧ください。ログイン画面のカスタマイズは内部のファイル(.htaccess)を編集することでも可能になりますが、知識のない人がコードを直接いじるのはおすすめできません。WordPressはプラグインの導入であらゆる機能を強化できるのが利点でもあるので、どんどん入れて使いましょう。(ただし入れすぎは脆弱性を生む要因になりますし、サイトの表示スピードが遅くなるリスクもあります。必要ないものは入れないようにすることも重要です。)今回紹介するプラグインだと「SiteGuard WP Plugin」で管理画面をカスタマイズできます。特にセキュリティ関連のプラグインはどんなサイトにも適用できるので、もし入っていないプラグインがあれば導入しておくことをおすすめします。おすすめセキュリティ対策プラグイン一覧おすすめ度プラグイン名主な機能★★★★★SiteGuard管理画面のカスタマイズ★★★★★Wordfenceサイバー攻撃防止★★★★☆BackWPupデータのバックアップ★★★★☆Easy Updates Manager自動更新アシスト★★★★☆Akismetスパムコメント防止★★★☆☆Meta Generator and Version Info Removerバージョン非表示★★★☆☆Two-Factorログイン二段階認証2.【導入必須編】WordPressセキュリティ対策プラグインまずは導入ほぼ必須の基本プラグインをご紹介しましょう。これから挙げるもの以外にも類似するプラグインはいくつかありますが、今回は当社のセキュリティ保守エンジニアが実際に導入しているものをピックアップします。SiteGuard:管理画面のカスタマイズ管理画面をカスタマイズすることができるプラグインです。先述したようにデフォルト設定だとログイン画面から不正アクセスされやすいので、ぜひインストールしておきましょう。●主な機能URL変更管理ページへのアクセス制限画像認証追加ログインアラート(メールでの通知) などWordfence:サイバー攻撃防止セキュリティ全般を保護してくれる便利なプラグイン。セキュリティ機能を提供しているプラグインは多種ありますが、当サイトではWordfenceを使っています。さまざまなセキュリティを一括で実装してくれる上、アップデートも頻繁にあるので安心して使えるプラグインです。●主な機能WAFの設置ファイアウォールの設置マルウェアスキャンログイン二段階認証RECAPTCHA(フォームの不正アクセス防止)侵入アラートテーマ、プラグインの脆弱性監視、通知 など有料版と無料版がありますが、基本的な機能は無料版でも揃っています。3.【導入推奨編】WordPressセキュリティ対策プラグイン導入推奨編のプラグインは利用している機能やサーバーの仕様によっては導入をおすすめしているものです。必要なければ入れなくても問題ない場合もありますが、基本的には入れておいたほうがよいでしょう。当社の保守サービスでは、サイトの状況を見つつ基本的にBackWPupとEasy Updates Managerの導入をおすすめしています。BackWPup:データのバックアップアップデート時の障害やサイバー攻撃の被害にあったときなどには、まず元あったデータを復元する必要があります。レンタルサーバー(ホスティング)と契約している場合は利用しているサービスによってバックアップ機能がついていることもありますが、自社サーバーを使っている場合や契約サーバーにバックアップ機能がない場合は導入必須のプラグインです。Easy Updates Manager:自動更新アシストWordPressの本体(コア)は自動更新設定が可能で、プラグインとテーマも自動更新機能がついているものも多くあります。しかし中には自動更新機能がデフォルトでついていないものもあるので、このプラグインを使って自動更新を管理しておくとよいでしょう。自動更新によってアップデートのし忘れによる脆弱性の発生を防ぐことができます。プラグインの自動更新については「【WordPress担当者必見】プラグインの自動更新機能について!停止方法も解説」もご覧ください。Akismet:スパムコメント防止スパムコメントを自動的にスパムフォルダへ振り分けるプラグイン。ブログやオウンドメディアなどを運用していてコメント欄を実装している場合は導入必須です。コメント欄がない場合は入れなくてもよいでしょう。4.【あったら便利編】WordPressセキュリティ対策プラグインここからはサイトのセキュリティをさらに強化するためにあったら便利なプラグインをご紹介します。先述しましたが、プラグインはたくさん入れすぎるとサイトが重くなってしまう可能性もあります。デメリットも考慮したうえで導入してください。Meta Generator and Version Info Remover:バージョン非表示WordPressのバージョンを外部から非表示にしてくれるプラグイン。バージョンの非表示はプラグインを使わなくてもテーマのファイル(functions.php)の記述を変更すれば比較的簡単に実装できます。しかし、「コードを編集するのは怖い」という人は導入しておくといいかもしれません。ただし24年2月時点で半年間アップデートの通知がないので、これ以上未更新の状態が続くようならインストールはやめておいた方がいいでしょう。導入を検討している方は最新の更新情報を確認してみるのをおすすめします。Two-Factor:ログイン二段階認証現在はWordFenceに二段階認証システムが搭載されているため、基本的には必要ないプラグインです。ただし、Wordfenceの二段階認証はアプリを導入しなければならないワンタイムパスワード式で少し手間がかかるので、メール認証、セキュリティキーの認証など違う手段でログインしたい方におすすめです。5.まとめWordPressのセキュリティ対策にはプラグインの導入が欠かせません。管理画面のカスタマイズやWAFを設置できるプラグインをインストールすることで、ある程度のセキュリティを確保することができます。まだ対策がきちんとできていない方は早めに導入しておきましょう。ただし中には機能が被っている場合や、サイトの軽量化などを考えるとプラグインではない方法で実装した方がよい場合もあります。また、「入れたから安全」というわけでもありません。プラグインだけでは回避しきれない攻撃がある点にも注意しましょう。管理が難しいと思うのであれば、サイト保守に代行してもらうのも一つの手です。特に自社サイトの運用に手が回っていないようなら導入を検討してみてください。

  • WordPress エラーの原因 解決方法

    2024.02.13 WEB制作

    【初心者向け】WordPressでエラーが発生する原因と解決方法を解説
    WordPressでエラーが起こってしまい、困った経験はないでしょうか?自社サイトの運用では、特にマーケティングやコンテンツ制作の担当がエラーに遭遇して立ち往生してしまう場面をよく見かけます。WordPressに詳しいシステム担当がいなかったとしても、意外と簡単に解決できることがあります。まずはこの記事で紹介する方法を試してみましょう。この記事で紹介するのはあくまで初心者向けのエラー解決方法です。サイトの構築に深刻な問題がある場合、外部から攻撃を受けた場合などはむやみにサイトを触らず専門家に相談してみましょう。WordPressのサイトにエラーが発生する原因エラーの発生原因は大きく分けて5つ。もし原因が分かっていれば、生じている問題に合わせた解決方法を試してみましょう。もし分からない場合は①から順に確かめてください。また、WordPress側でエラーを検出した場合は管理者宛てにメールが届くかもしれません。まずはメールボックスを確認することをおすすめします。→メールが届いている場合の対処法はこちら①プラグイン、テーマに問題があるWordPressに何らかの異常があるときはまずプラグインとテーマが原因であることを疑ってみましょう。互換性の問題やバージョンが古いなどの理由でエラーが発生している可能性があります。まずは管理画面のプラグイン設定からプラグインを全て無効化し、エラーが解消するか試してみてください。(管理画面に入れない場合はデータベース内の情報を変更することで無効化させるという手段もあります。ファイルの編集ができる方は「wp-content/」>「plugins」のフォルダ名を別の名前に変更してみましょう。)プラグインを無効化によってエラーが解消した場合はいずれかのプラグインに問題があったということになります。テーマの場合は一旦テーマ設定をデフォルトにしてみましょう。それで解決すればテーマがエラーの原因です。→解決方法はこちら②メモリ制限がかかっているWordPressではデータを保存するためにメモリを使用するのですが、サイト規模が大きい場合や複雑なプログラムを実行するとより多くのPHPメモリを消費する場合があります。あらかじめ設定されているメモリ上限を超えると、サイトに紐づいているPHPが操作を実行できずにエラーが発生してしまいます。プラグイン・テーマが原因ではなかった場合はメモリの上限を超えていないか確認してみましょう。WordPressのPHPメモリ上限は、管理画面の「ツール」>「サイトヘルス」>「情報」>「サーバー」で確認することができます。多くのサーバーのデフォルト設定が256Mなので、それを下回っている場合はPHPメモリ上限がエラーの原因になっているかもしれません。→解決方法はこちら③サーバーにエラーが起こっているWebサーバー内でプログラムが正しく動作しない場合に発生するエラーです。サイトを表示しようとすると500エラーが出てくるようなら一時的な負荷が原因かもしれません。その場合は数分待てば解消されることも多いです。時間をおいても解決しないタイプのエラーは多くの場合ファイル内の記述ミスで発生します。特に「.htaccessファイル」はアクセスの制御ができるファイルなので、入力エラーが発生するとサイトにアクセスできなくなるなどの異変が起こりやすい傾向にあります。→解決方法はこちら④入力するログイン画面のURLを間違えているサイトは正常に表示されるのにログイン画面にエラーが出ている場合は、ログインのURLを間違えている可能性があります。かなり初歩的なことかもしれませんが、管理画面へのログイン設定をいじったときなどは意外とありがちなミスです。心当たりがあれば一度確かめてみるとよいでしょう。→解決方法はこちら⑤サイバー攻撃を受けた可能性を疑う①~④までの原因に当てはまらない場合、サイバー攻撃の影響を受けている可能性も考えられます。不正アクセスを受けてサイトを乗っ取られた不正ログインを試みた攻撃者によって制限がかかったという場合は、初心者では対応しきれないことがほとんどです。むやみにサイトを触るとマルウェアに感染するなど被害が拡大することもあるので、心当たりがあれば自分で解決しようとせず専門家に相談することが重要です。WordPressからメールが届いている場合の解決方法技術的なエラーが発生した旨のメールが管理者宛てに届いた場合は、メールの指示通りリカバリーモードで修復しましょう。リカバリーモードにアクセスできるリンクは有効期限1日しかありません。セッションが切れた後もう一度エラー画面を表示させると再度リカバリーモードのページに入ることができますが、いずれにせよなるべく早急に修復しましょう。原因①「プラグイン・テーマに問題がある」の解決方法その場合は一つずつ有効化していき、都度サイトを更新していってください。有効化してエラーが発生したら、そのプラグインが原因だったということになります。該当プラグインは削除し、代替を探すなどして解決しましょう。カスタマイズしている場合はデータ内の問題を探るか、親テーマそのものに問題があった場合は新しいテーマに変更するしかないでしょう。原因②「メモリ制限がかかっている」の解決方法容量の少ないサーバーを契約している場合はリソースが不足している可能性があるので、ホスティングの場合は契約しているサーバーに問合せてみるとよいでしょう。自分でPHPメモリを増やしたい場合はwp-config.php というファイルを編集すれば上限を増やすことができます。原因③「サーバーにエラーが起こっている」の解決方法サーバー内部のデータ記述に問題がある場合はログを確認したり、データベースを確認・編集したりする必要があるので、初心者が自力で解決を試みるのはおすすめしません。疑わしい事態の場合は専門家に相談すべきでしょう。ただし、レンタルサーバー(ホスティング)の有効期限が切れていたという場合は再更新すればすぐに解消できます。契約しているサーバーを一度確認してみましょう。また、一時的にサーバーがダウンする「500エラー」が頻繁に起こる場合はサーバーのスペックが足りていない可能性があります。スペックの高いサーバーに乗り換える検討をしてください。原因④「入力するログイン画面のURLを間違えている」の解決方法通常、ログイン画面のURLはhttps://ドメイン名/wp-login.phphttps://ドメイン名/サブディレクトリ名/wp-login.phpになっているはずです。タイプミスで入力を間違えるパターンは意外とあるので、入力しているものが間違っていないか確認しましょう。またセキュリティ対策でログイン画面のURLを変更したあと気付かずに前のURLを入力してしまうパターンもたびたび見られます。ログインURLを変えた場合はWordPressからメールが届いているはずなので、一度確かめてみてください。まとめWordPressでエラーが発生した場合は原因に合わせて簡単な対処法から試してみましょう。ただし、「サイバー攻撃を受けた」「復旧が難しい」「原因が分からない」といった場合は初心者では解決が難しいと思いますので、プロによる診断・復旧をおすすめします。当社でもサイト復旧やエラーを未然に防ぐ保守サービスを提供しておりますので、お困りの際はぜひお問い合わせください。

  • 標的型攻撃攻撃とは?手口・対策

    2024.02.08 WEB制作

    標的型攻撃とは?種類や手口、企業が行うべき対策を教えます
    サイバー攻撃の手法は日々複雑化してきており、その中でも標的型攻撃は見分けがつきづらく悪質です。あなたはどんな手段で攻撃者がセキュリティの穴を潜り抜けるか知っていますか?「自分の会社は大丈夫」などと他人事に考えている人も多く、会社組織として対策を講じず担当者の裁量に任せた結果、多額の損害を抱えてしまう事案もたびたび見られます。手口を学んで想定される被害に応じて対策をすれば最悪の事態に及ぶリスクを減らすことができますが、なかなか周知されていないのが現状です。この記事ではサイバー攻撃の一種である「標的型攻撃」について、種類や手口をくわしく解説します。企業が行っておくべき対策もお伝えしますので、ぜひ参考にしてください。1.標的型攻撃とは?|手口と特徴標的型攻撃は特定の組織・個人をターゲットにしてサイバー攻撃を行う手口のこと。無作為にメールを送る「ばらまき型攻撃」と比較すると、攻撃の見分けがつきにくいのが特徴です。>>>サイバー攻撃の種類について詳しくはこちら<<<IPAが2023年に発表した情報セキュリティ10大脅威ランキング※1では、3位に「標的型攻撃による機密情報の窃取」がランクインしていることからも、攻撃としての危険性が分かります。具体的な攻撃の手口メール等を利用し特定組織のPCをウイルスに感染させる組織の機密情報窃取やシステムの破壊を行う などシステムに侵入後すぐに被害をもたらす攻撃以外にも、内部システムに潜入して攻撃の範囲を徐々に広げる「潜伏型」と呼ばれる手法もあります。2.標的型攻撃の種類あらかじめターゲットを定めてからサイバー攻撃を行うことをおおまかに「標的型攻撃」と呼びますが、さらに具体的な攻撃の種類を細かく分けることもできます。メールによる攻撃(標的型攻撃メール・スピアフィッシング)不正な添付ファイルを開かせる不正なウェブサイトへのリンクをクリックさせる など何者かになりすまして標的にメールを送信し、情報の窃取などを行う攻撃を「標的型攻撃メール」「スピアフィッシング」と呼びます。オーストラリアのITセキュリティ企業バラクーダが行った調査※2によれば、およそ75%の企業が過去12ヶ月以内にメール攻撃の被害に遭ったと回答したそうです。そのうち55%が「機器のマルウェア/ウイルスへの感染」、49%が「機器データの盗難(情報漏えい)」の被害に遭ったと答えていることからも、スピアフィッシングの悪質さがうかがえます。→対策はこちらビジネスメール詐欺関連会社やベンダー、内部の従業員などの信頼できそうな人物になりすましてメールを送る攻撃手法を特に「ビジネスメール詐欺」と呼びます。ビジネスメール詐欺の恐ろしいところは実在する組織や人物からメールが送られてくる点です。何の関係もない企業から来たメールは「怪しい」と一目見て判別できますが、実際の取引先の企業の実在する人物から不審なメールが届いたら思わず信用してしまうのではないでしょうか?最近のフィルタリングサービスは不審なサイトのURLやマルウェアを仕込んだファイルが添付されていた場合、ツールが自動でスパム認定する機能がついています。明らかに不審な内容が含まれていればうっかり開かないようフィルタリングで除外できますが、ビジネスメール詐欺の中にはツールによる検知を防ぐために対策されたものもあるのが厄介なポイントです。悪意あるプログラムをあえて含まず、メッセージのやり取りのみで内部情報やアクセス情報を聞き出す手法を「ソーシャルエンジニアリング」と呼びます。ソーシャルエンジニアリング型の攻撃はツールでの察知が非常に難しいため、一人ひとりのリテラシーが重要になってきます。→対策はこちらサイト経由での攻撃(水飲み場攻撃)ターゲットとなる企業や組織をあらかじめ調査し、頻繁に利用するウェブサイトを閲覧するとマルウェアに感染するよう改ざんする手法を「水飲み場攻撃」と呼びます。自社の内部システムを強化している企業であっても、従業員がうっかりリンクを開いてしまうとそこから攻撃が広まってしまうという仕組みです。「いつも開くサイトだから大丈夫」「知っている企業のサイトだから安心」という心理を逆手に取った悪質な攻撃だと言えるでしょう。→対策はこちら不正アクセスによる攻撃サーバーの脆弱性を突いて不正にアクセスし、個人情報を盗んだりする攻撃手法もあります。最初の攻撃で内部システムへの侵入口を発見し、そこからさらに他の端末やサーバーに危害を加えることも。攻撃を受けた際「まずはインターネットから遮断してオフラインの環境にするべき」と言われるのはそのためです。→対策はこちら実際の事例①航空会社大手がビジネスメール詐欺で3.8億円の被害2017年、大手航空会社として知られる日本航空(JAL)がビジネスメール詐欺の被害に遭い、累計3.8億円の被害を受けたことが明らかになりました※3。普段やり取りしている取引先になりすまし、同じ名前とメールアドレスから請求書を送ってきたため詐欺に気が付かず、偽の銀行口座に送金してしまったとのこと。セキュリティ管理が比較的しっかりしている大手企業を巧妙に騙す悪質性の高い事例だと言えるでしょう。実際の事例②:不正アクセスからなりすましの二次被害発生2023年9月、人材採用サービスなどを手掛ける仕事旅行社が内部のサーバーに不正アクセスされるというサイバー攻撃を受けました※4。サービス利用者の個人情報33,670 件が流出した恐れがあるほか、会員の氏名を名乗る人物によって別の人のメールアドレスやオンライン掲示板に「爆破予告」など不安をあおる文言が送信されていたとのこと。窃取した個人情報をもとに別の二次被害が発生していることが分かります。このように一度サイバー攻撃を受けて盗んだ情報を踏み台に別の攻撃を行うパターンもあるので、未然に防ぐための対策だけでなく被害にいち早く気づくシステムづくりも重要です。3.標的型攻撃の対策攻撃手法ごとにとるべき対策は変わってきます。あらゆる可能性に備えておくようにしましょう。メール攻撃への対策スピアフィッシング、ビジネスメール詐欺などのメール攻撃を防ぐには、とにかく「来たメールに触らない」「報告する」ことが一番です。具体的には以下のような対策をとっておくべきでしょう。●社内ルールを徹底する怪しいメールは開かない受信した場合、誤って開いてしまった場合は報告する などどこの誰であってもアドレスさえ分かっていれば誰でもメールを送ることができるのはメリットでもありますが、「悪意ある人物からのメッセージを防ぎきれない」という弱点はどうしてもできてしまいます。まずは社内ルールを決め、リスクの周知と対策方法の共有を行うことが重要です。>>>社内ルールの策定方法について詳しくはこちらから<<<●対策ソフトを導入する社内ルールは重要ですが、攻撃を受けた際の報告と調査には手間と時間がかかります。対策ソフトを導入して「悪意あるものを振り分ける、共有する」作業を自動化することで、コスト・タスク削減にもつながるでしょう。WAF、ファイアウォールなどのセキュリティソフトフィルタリングサービスはメール等の安全性を担保するためにも最低限導入しておきましょう。近年のメールサービスの中には自動でフィッシングメールを振り分ける以上の機能をつけているものもあります。ユーザーが受信したメールを「攻撃」と判断して報告する機能や、不審なURLをクリックしてしまったときなどに自動でアラートを発動させる機能を搭載したフィルタリングサービスを利用すれば、管理の手間とリスクを減らすことができるのでおすすめです。●従業員向けのメール訓練を実施する標的型攻撃を想定してメール訓練を各従業員に送信します。正規のメールと区別がつくか、誤ってURLや添付ファイルを開いていないかなど、従業員のセキュリティ意識を実際にチェックすることができます。サイト攻撃・不正アクセスへの対策サイト攻撃への対策は個人レベル・端末レベルの保守では不十分です。エンジニアによる定期的な管理が前提となっていることは頭に入れておきましょう。●端末・サーバー等のアップデート端末・アプリ・サーバー何であってもアップデートの放置は脆弱性を生みます。「サイトへの不正アクセスを防ぐ」「閲覧者として不審なサイトに入らない」両方への対策としてこまめな更新が必要です。●対策ソフトを導入するサイト経由での攻撃は「運用側」「見る側」両方に被害を生みます。もちろん閲覧するサイトに注意するのも重要ですが、不正アクセスを受けて改ざんされた自社サイトが攻撃者になってしまう、といった被害を生むリスクも避けなければいけません。端末だけでなく、運用しているサイトや接続しているサーバーにも対策ソフトを導入しておきましょう。●アカウント管理を徹底するID・パスワードの使いまわしをしていないか、推測されやすいものをしていないか、など。特に乗っ取りが起きた場合に大きな被害を生む管理者権限アカウントは厳重に管理すべきです。●改ざん検知・監視ツールを入れるサイトが不正ログイン・改ざんされているかどうかは手動で判別するのは困難です。仮に手動で改ざん検知をしていたら余計な時間がかかることは必至でしょう。改ざん検知・死活監視のツールを入れて、異変が起こっていないか常に監視する体制を取るようにしましょう。●定期的なセキュリティ診断を行う上記の項目がきちんと達成されているか、更新された脆弱性に対応できているかは定期的にセキュリティ診断を行わなければ分かりません。「保守管理を外注に任せていたつもりが、脆弱性だらけだったことに攻撃を受けてから気付いた」というのは意外とありがちなパターンです。定期的な診断をするのが一番ですが、全くやっていないという企業は一度セキュリティ診断をしてみましょう。無料セキュリティ診断はこちらから。セキュリティ診断について詳しく知りたい方は「Webサイトのセキュリティ診断は必要?種類や価格の相場、チェック項目を紹介」をご覧ください。4.まとめターゲットをあらかじめ決めてから計画立てて攻撃を行う「標的型攻撃」は非常に悪質で、無差別なばらまき型よりも対策が困難です。しかし、従業員一人ひとりへの教育や強固なシステム構築によってリスクを最小限に抑えることはできます。どのような攻撃があるのか知っておくのも有効な対策です。サーバーやサイトの保守など、エンジニアによるセキュリティ管理が不十分だとお考えでしたら、ぜひ今からでも保守サービスの利用を検討してみてください。※1 IPA+「情報セキュリティ10大脅威2023 組織編」※2 Barracuda+「2023年 スピアフィッシングの動向」※3 日経クロステック+「JALが「信じ込んでしまった」手口とは、振り込め詐欺で3.8億円被害」※4 仕事旅行社+「不正アクセス者による情報の不正利⽤について」

  • あなたの会社は大丈夫?情報セキュリティインシデント

    2024.02.08 WEB制作

    情報セキュリティインシデントとは|企業がとるべき対策・発生時の対応
    企業が抱えるサイバーリスクは日々増加しています。従業員による情報漏えいからマルウェアなどを用いたサイバー攻撃まで、さまざまなインシデント(事故)に備えて対策しなければなりません。情報セキュリティインシデントについて知り、被害を未然に防ぐ対処法を学びましょう。1.情報セキュリティインシデントとは情報セキュリティインシデントとは、会社の情報管理について、重大な被害に進展しうる事故・事件を指します。セキュリティにおける脅威をただ単に「セキュリティインシデント」と呼ぶこともあります。情報セキュリティインシデントの具体例マルウェアに感染させるパソコンやサーバーなどへの不正アクセス従業員による情報漏えい(機密情報の誤公開・不正な情報持ち出しなど)従業員による情報漏えいの場合は悪意のない過失である可能性もありますが、それ以外は基本的にどれもサイバーセキュリティの穴から悪意ある攻撃が原因で発生します。インシデントの規模によっては業務に大きな支障が出ることもありますし、会社の存続を脅かす損害を与える可能性もあるでしょう。例えば不正アクセスを受けて顧客の個人情報を漏えいした場合、訴えられて損害賠償を負うリスクが生じます。情報漏えいのリスクについて、詳しくは「情報漏えいのセキュリティリスクを知っておこう|実際の事例・対策を紹介」で紹介していますのでそちらもご参照ください。[word_balloon id="unset" src="https://www.ecmarketing.co.jp/contents/wp-content/uploads/2024/02/icon_white-1-1.webp" size="M" position="L" radius="true" name="" balloon="talk" balloon_shadow="true"]WEB広告運用担当・ニャーケッターからのひとこと企業間においても、新規取引開始の際にインシデントについて確認される場面はとても増えている。とくにコンペ形式の場合、インシデントに対する管理体制で比較されることも多いから営業的観点でも重要なポイントにゃ。[/word_balloon]2.情報セキュリティインシデントの発生原因情報セキュリティインシデントが起こる原因は大きく分けて2つ。社内に問題があったか外部から攻撃を受けたかに分類されます。それぞれ具体的に何が原因になるのか見ていきましょう。①社内の人員に問題がある(内部要因)社内の人員が不注意によって情報を公開(漏えい)してしまったり、故意に持ち出したりといったインシデントは、従業員のセキュリティ意識が不十分であることが大きな原因となっていることが多いです。情報端末の紛失・盗難なども内部要因のインシデントにあたります。②外部の攻撃を受けた(外部要因)外部から攻撃を受けて情報を窃取されたり、システム障害が起こったりするパターンは外部要因に分類されます。直接的な要因は外部攻撃ですが、社外からの不正な行動を監視・排除できていない社内の体制が要因になっているとも言えるでしょう。3.情報セキュリティインシデントを防ぐ対策IPAが2021年に行った実態調査※1では、「情報セキュリティに関する専門部署(担当者を設置している)」と回答したのは全体のわずか7.7%。半数以上が「組織的には行っていない(各自の対応)」「わからない」と回答しています。つまり、日本の企業はまだまだ「セキュリティを組織的に向上させる」意識が低いということです。個人としての意識は徐々に向上しているものの、企業全体でのアプローチをもっと強めるべきでしょう。ここからは、社内でできる基礎的なセキュリティ対策をご紹介します。社内のデータ・情報を確認する情報漏えいへの対策として内部に保管されているデータや情報を把握し、管理できるような体制を作りましょう。ここでいう「データや情報」はコンピューター内に保管されている情報のことだけではありません。紙媒体やUSBなどに保管されているデータに関しても取り扱いのルールを決めましょう。確認後は重要性を分類し、それに応じた対策基準を決めるのが基本です。クレジットカード情報や宗教・病歴など機密性が高く、漏えいした際のリスクが大きいものは特にしっかりと対策をする必要があります。組織体制を整備する先述したように、セキュリティ部署を設置している企業はまだまだ少ないのが現状です。社内の規模にもよりますが、セキュリティ対策専門の部署を設置できるなら整備を進めた方がよいでしょう。セキュリティ対策に割ける専門のリソースがない場合は外部への委託を検討するのも一つの手です。ネットワークやシステムをすぐに復旧させられる人員・チームの配置は欠かさず行ってください。有事の連絡方法や指揮系統を明文化し、従業員同士で共有するのも大切です。端末やサーバーのセキュリティを高める業務用PC、サーバーで定期的にバックアップを取るセキュリティ対策ソフトを入れるデータの送受信時は暗号化通信を用いる(VPNを使用する)私用の端末で社内のネットワークに接続できないようにするなど、内部のシステムで被害を未然に防ぐ対策を行うことも非常に重要です。また、脆弱性に関する情報を定期的に収集して、セキュリティに新たな穴ができていないかチェックしておくのもよいでしょう。>>>脆弱性対策について詳しくはこちらから<<<4.情報セキュリティインシデントが起こった際の対応実際にインシデントが起こってしまった場合も「発生してからどう動くか」が被害の最小化に大きくかかわってきます。情報漏えいなどが起こってしまったときに求められる対応をあらかじめ知っておくことで、万が一の事態に備えましょう。①インシデントの発見・初動検知ツールや社内外からの通知でインシデントの発生に気付くパターンが多いでしょう。専門知識がない社員は通報があっても不用意に操作しないのが基本です。システム上に残された証拠が消えてしまわないよう注意を払ってください。●セキュリティ担当が行うべき初動対応サイトを閉鎖する端末をネットワークから遮断する(マルウェアの被害に遭っていることが想定される場合)セキュリティ対策機関への情報提供(同様の被害防止)取引先、顧客への情報提供警察への連絡(特に不注意による紛失、盗難の場合は早い方がよい)パスワードの変更、アカウントの停止重要な情報のバックアップ など求められる初動対応は発生したインシデントの種類によっても変わってきます。被害想定のマニュアルを作るのであれば、何種類かパターンを想定しておきましょう。②原因の調査・公表残された記録から被害をなるべく正確に把握します。「誰が」「いつ」「どこで」「何を」「なぜ」「どうしたのか」、この6項目を分析、記録するよう心がけてください。情報漏えいによる被害が大きくなると、別途公表する手続きを取る場合もあります。お知らせ文の作成や法律に照らし合わせた判断が必要になってくるので、公表には外部委託の専門家によるアドバイスを求めるパターンが多いでしょう。公表する場合、一般的には以下のような項目を含みます。インシデント発生の経緯、原因調査方法、システムの状況漏えいした情報の内容当面の対応策再発防止策問い合わせ窓口③システム・端末の復旧インシデントの影響を受けて停止したサービスやアカウントがあれば、復旧作業を行います。サイバー攻撃を受けた場合は特に復旧が困難です。セキュリティ保守の専門家が社内にいなければ、外部に委託することになるでしょう。④再発防止策の決定建物への侵入防止情報の保管・持ち出し方法の見直しウイルス対策製品の導入通信の暗号化やアクセス制御 など原因となった部分を改善する形で再発防止策を決定します。外部に大きな被害が及んでいる場合は再発防止策も公表するのが一般的です。5.まとめ情報セキュリティインシデントへの対策は現代の企業に不可欠です。まずは基本的な対処法を実践し、安全性を高めていきましょう。また、自社サイトの保守運用をしっかりと行うことがインシデント対策のアピールにもなります。サイト運用にはコンバージョンや流入数が重要なのも確かですが、セキュリティに無知なマーケティング担当のみで維持するのはあまりにも危険です。もし自社サイトのセキュリティ管理ができていないようでしたら、保守サービスの利用も検討してみるべきでしょう。万が一サイト経由で攻撃を受けた場合も適切に対応しやすいのもメリットです。※IPA+「2021年度 中小企業における情報セキュリティ対策に関する実態調査」

  • 2024.02.07 WEB制作

    マルウェアに感染した?診断と対処の方法を分かりやすく解説
    マルウェア感染が急拡大している今、少しでも違和感を覚えたらすぐに診断したいですよね。でもまずは、デバイスを「隔離」しましょう。マルウェアを検出している間にも感染は拡大します。隔離後に落ち着いて対処することが何より大切です。この記事では、マルウェア感染の診断方法と感染していた場合の対処手順をご紹介します。あせらずに対処すれば被害を最小限に抑えられるはずです。1.マルウェアは診断前にまず「隔離」と「報告」少しでもマルウェアに感染した可能性があったら、すぐにネットワークから隔離し、上司に報告しましょう。診断前の不確実な段階でも「隔離と報告」を優先し、被害を最小限にすることが重要です。デバイスに以下のような症状がみられたら、マルウェア感染を疑っていいでしょう。マルウェア感染の症状動作の遅延や前触れのないクラッシュ突然のシャットダウンや再起動不自然なバッテリーやメモリの消費エラーメッセージやポップアップの頻発サイトへアクセスできない、無関係なサイトへの移動覚えのない動作や送信がある覚えのないデータの変更や削除がある 見覚えのないファイルやスクリプトがある などこのような症状がでないマルウェアもあるため、当てはまらないからと安心してはいけません。何気ない違和感や同じネットワーク上のデバイスの不具合、不審な共有ファイルなどにも注意しましょう。2.マルウェアの診断方法マルウェア感染が疑われたら、隔離後にセキュリティツールでマルウェアの検知と感染箇所の特定を行います。マルウェアの主な診断方法は以下の4つです。無料セキュリティソフトでのスキャンパソコンに標準搭載されている無料ウイルス対策ソフトのスキャンを行います。Windowsの場合、「Windowsセキュリティ→ウイルス&脅威の保護→スキャン→オフライン スキャンWindows Defender→今すぐスキャン」の流れで実行できます。無料オンラインスキャンを利用するMicrosoftやトレンドマイクロなどPCやソフトウェアのメーカーホームページでは、Windows用マルウェア検知・駆除ツールを無料で提供しています。「無料オンラインスキャン」「無料ウイルススキャン」などで検索してみましょう。有料のセキュリティソフトを購入する無料のスキャンツールは性能が低いためマルウェアの種類によっては検知できない場合があります。確実に診断したいなら有料のセキュリティ対策ソフトの購入がおすすめです。オンラインでも提供されていますが高性能ツールは非常に少なく、新たなマルウェアの感染経路になる悪質なものも存在します。信頼できる店舗で手に入れる方が安全でしょう。保守サービスへ検知を依頼するマルウェアの中には、トロイの木馬やファイルレスマルウェアな検出や駆除が難しいものも増えています。確実に検知・駆除するのであれば保守サービスの利用が効果的です。マルウェアの診断はもちろん、感染対処や復旧、自社の環境に最適な対策まで依頼できるため今後の感染リスクを大幅に下げられるでしょう。3.マルウェア診断後の対処手順マルウェア診断で感染が確定された後は、以下の手順で対処します。【ステップ1】セキュリティツールで駆除する多くのマルウェアはセキュリティツールで検出後、自動駆除できます。しかし、マルウェアの種類によっては必要なプログラムが違うケースがあるので注意しましょう。マルウェアの種類と駆除に必要なセキュリティツールの一例●アドウェアアドウェア駆除機能があるアンチマルウェアプログラムが必要。●ウイルスまたはトロイの木馬ディープスキャンを実行できるウイルス対策プログラムまたはマルウェア対策プログラムが必要。●ワームワームを検出できる強力なアンチマルウェアソフトウェアが必要。マルウェアの種類について詳しく知りたい方は「マルウェアにはどんな種類がある?感染経路や症状、対策を解説」をご覧ください。【ステップ2】残った感染ファイルの駆除・隔離セキュリティツールで自動削除できなかった感染ファイルは、手動で隔離か駆除をします。確実に駆除するは専門知識が必要なため、セキュリティ部門や保守サービスなどに依頼すると安心です。完全に駆除できなかった場合はPCの初期化をすることになります。【ステップ3】マルウェア対策を強化するマルウェアの駆除が完了したら、再び感染しないように対策を強化しましょう。基本的な対策は以下の6つです。OSを常に最新に保つ定期的なウイルススキャン定期的なバックアップとサーバーログの保管社内ルールの見直し、周知と徹底最新セキュリティソフトの導入保守サービスの利用 これらを全社員で実行できるように社内ルールを設けて周知すること、保守サービスなどを活用し、いつでもプロに相談できる体制を整えておくことも重要です。4.マルウェアは診断も対処も保守サービスがおすすめマルウェアにはさまざまな種類があり手口も巧妙化しています。ファイルレスマルウェアやワームのように、一般的なセキュリティソフトでは診断・駆除できないものも多く、専門知識のない人が効果的な対策をとるのは非常に難しくなっています。セキュリティ部門がない場合は、マルウェアの検知や対処は外部の保守サービスの利用も視野に入れるといいでしょう。定期的なマルウェア診断やアップデート、脆弱性のスキャンと改善の他、感染時の対処まで丸ごと任せられます。費用も月額数万円程度からと手ごろなサービスも多いため、被害コストや日頃のマルウェア対策の労力も考慮して前向きに検討してみましょう。5.まとめ「マルウェアに感染したかも」と思ったらまず隔離と報告を行い、それから診断を始めましょう。感染拡大を防止することが何より大切です。マルウェアの診断方法は標準搭載のセキュリティソフトや無料オンラインスキャンを利用する方法もありますが、確実性や性能を考慮すると有料セキュリティソフトの購入や保守サービスへの依頼がおすすめです。マルウェアは種類によって駆除に必要なソフトウェアや手順が異なり、安全に行うには専門知識が必要です。今後の感染リスクを減らすためにも保守サービスの利用を検討してみましょう。

  • 知っておこう マルウェア 種類

    2024.02.07 WEB制作

    マルウェアにはどんな種類がある?感染経路や症状、対策を解説
    「マルウェア」は「悪意のあるソフトウェア(malicious software)」の略称です。ウイルスやワームなど様々なプログラムがあり手口の巧妙化に伴って種類が増え続けています。マルウェアの被害にあわないためには、よく使われるマルウェアの種類や特徴、感染経路を把握することが重要です。今回はいま知っておくべきマルウェアの種類と特徴について解説します。主な感染経路と感染時の症状、効果的な対策をご紹介するのでぜひお役立てください。1.2024年に知っておくべきマルウェアの種類13選2024年に注意すべきマルウェアの種類をご紹介します。特に1~5のウイルス、ワーム、トロイの木馬、ランサムウェア、ファイルレスマルウェアは被害件数が特に多く、内容も悪質なので対策は必須です。マルウェアの種類特徴主な被害1ウイルス感染例が最も多いマルウェア。自己増殖し、他のサイバー攻撃の引き金にもなる感染ファイルの実行によって行動を開始する。データ破壊システム停止情報の盗難 など2ワーム・自己完結型のマルウェアで急速に拡散・対策が非常に困難・ファイルの実行や宿主がなくとも自己増殖する・システムの占拠・アクセスの遮断・メモリの搾取・データの盗難・削除・改ざん・悪質ソフトの自動インストール など3トロイの木馬・正常なファイルやプログラム、サイトになりすまし実行させる・自己複製はしないが拡散しやすく防御が困難・よくハッキングの窓口に使用される・システムやデバイスの乗っ取り・機密情報の盗難・ネットワーク全体の感染 など4ランサムウェア・デバイスに自動でインストール・データを暗号化して復旧と引き換えに身代金を要求・1台の感染でネットワーク全体が標的になり、復旧はほぼ不可能・組織や企業の被害も急増中・データの暗号化・身代金被害・ハッキングによるサイト訪問者の誘導 など5ファイルレスマルウェア・正規のプログラムを利用して侵入・ファイル保存やインストールが不要で、メモリに直接入り込みコードをリモートで注入し拡散する・追跡や駆除が極めて困難・データの盗難・改ざん・レジストリ操作・他のマルウェアの検知・駆除の妨害 など6Gootloader・感染したWebサイトを信頼できると偽装させ感染拡散・複数サイトのCMSを変更し、検索上位表示を埋めて罠を仕掛ける・サイトのページファイルの改ざん・偽コンテンツの大量ダウンロード・サイト訪問者の誘導 など7スパイウェア・PCに限らずすべてのデバイスに自動インストールし情報を収集・盗難・デバイス本体に害はなく情報収集を目的とする・機密情報の漏洩、盗難・サイバー攻撃リスクの増加 など8アドウェア・広告作成を目的に閲覧履歴などの情報を収集・同意なしに広告主に情報を販売される可能性がある・個人情報の漏洩・ブラウザや検索エンジンの設定変更偽警告や広告の表示 など9マルバタイジング・金銭を支払った正規広告に仕込まれるマルウェア・クリックによってマルウェアのインストールや悪質サイトへのリダイレクトが実行される・広告表示のみで実行される場合も・他マルウェアの感染拡散 など10キーロガー・感染したユーザーの行動監視に利用・デバイスやオンライン上の行動追跡や機密情報の盗難にも・機密情報の盗難・行動や取引情報の漏洩など11ボット(ボットネット)・リモートでコマンドを実行するソフトウェア・アプリケーション・ボットの集まりを形成してすべての機器にアクセスし、遠隔で多くの攻撃を実行できる自己増殖型・遠隔操作によるシシステムの実行・DDoS攻撃 など12ルートキット・最も危険なマルウェアともいわれるバックドア・プログラム・管理者権限を含め完全にアクセスし、外部からのリモート制御が可能に・他のマルウェアの隠ぺいにも利用。・管理者権限を含めた乗っ取り・設定やデータの変更・機密情報の盗難・他マルウェアの拡散 など13SQLインジェクション(SQLi)・ウェブサイトの入力フィールドに悪意のあるSQLクエリを挿入・機密データへのアクセスやシステムファイルの復元、コア・データベースなどへのハッキングに利用アクセス権限・システム情報の変更機密情報の盗難ファイルの削除・復元・改ざんなど2.マルウェアの感染経路と症状マルウェアの主な感染経路と感染症状は対策する上で必須の知識です。効果的な対策と素早い対応が被害を最小限にくい止めます。主なマルウェアの感染経路●メールやSNSの添付ファイルやリンクメールやSNSからの事例がマルウェア感染の約9割を占めます。添付されたファイルやURLは信頼性をよく確認しましょう。●ソフトウェアのダウンロードソフトウェアのダウンロードと同時に感染するケースも後を絶ちません。特に無料ソフトウェアやアプリケーションには注意しましょう。●P2Pでのファイル共有P2P(ピア・ツー・ピア)とはサーバーを利用せず直接データのやりとりを行う通信方式です。脆弱性がある先との接続が感染源になり、不特定多数の端末が接続されているため感染拡大リスクが高いといわれています。 ●ローカルネットワーク1台のデバイスが感染するとネットワーク上のデバイス全体が一瞬で感染します。ネットワークに上げたファイル共有が感染源になるケースも多くみられます。●感染したデバイスやUSBの接続感染したデバイスやUSBを知らずに持ち込み、接続して感染する場合もあります。不特定多数の人間が使用するデバイスやそれに接続したUSB、出所が不明な記録媒体などは利用を控えましょう。●ソーシャルエンジニアリングソーシャルエンジニアリングは心理的な働きかけでユーザーを騙し、機密情報やデバイスへのアクセス権を手にする方法です。フィッシングメールや関係者に感染源になるUSBを拾わせるなど様々な手法があり、オフラインでも狙われる可能性があります。マルウェアに感染したときの症状以下のような症状がみられたらマルウェア感染を疑いましょう。パフォーマンスの低下不審なポップアップの表示電源が落ちる、起動しない、再起動を繰り返す覚えのない動きをするバッテーリーやストレージの容量が激減している覚えのないデータの消失や変更がある 特定のファイルが削除できない など症状が現れずにコードの実行やデータ抽出をするファイルレスマルウェアやスパイウェアなどもあるため、症状がなくても油断は禁物です。違和感がある場合はすぐに接続を切り、セキュリティソフトで検出してみましょう。3.駆除方法はマルウェアの種類によって異なることもマルウェア感染が疑われる場合は以下のように対処・駆除するのが基本です。ネットワークの接続を切り隔離→アンチウィルスソフトで検知・駆除しかし、マルウェアの種類によっては一般的アンチウィルスソフトで対応できない場合があるためマルウェアの種類を特定し、対処できるソフトウェアを準備しましょう。<マルウェアの種類別 対応例>●ウイルスまたはトロイの木馬ディープスキャンを実行できるウイルス対策プログラムまたはマルウェア対策プログラムをインストール。●ワームワームを検出する強力なアンチマルウェアソフトウェアをインストール。●ランサムウェア要求には応じず、証拠を保存し警察へ連絡。サイバーセキュリティソフトウェアで除去し、バックアップデータから復旧。(暗号化データの復旧は難しい)ランサムウェアの詳しい対処法はこちらの記事をご覧ください。https://www.ecmarketing.co.jp/contents/archives/28014.効果的なマルウェアの感染対策とはマルウェアの効果的な感染対策は以下の6つを平行して実践することです。セキュリティソフトの導入OSは常に最新に保つ定期的なバックアップとサーバーログの保管不審なリンクや添付ファイルは開かないダウンロードやインストールは信頼性を確認する専門家に相談・委託する上記の1~5は基本的なマルウェア対策として必須項目です。全社員で実行できるように社内ルールを設けて周知しましょう。しかし、様々な種類があるマルウェアは環境や状況によって最適な対策や対処法が異なり、本格的な取り組みには専門知識と手間が必要になります。通常業務をこなしながら万全に備えるのは難しい企業がほとんどでしょう。マルウェア対策は検討する段階から専門家に相談し、保守を委託するのがおすすめです。悩みや環境に即した対策ができる他、定期的な脆弱性の検証や見直し、感染時の対処まで丸ごと任せられます。マルウェア被害にあった場合の損害や通常業務の効率を考えれば、コストパフォーマンスも決して悪くありません。マルウェア対策について詳しく知りたい方はこちらの記事もご覧ください。https://www.ecmarketing.co.jp/contents/archives/26575.まとめマルウェアの種類は日々巧妙化して増え続け、被害も拡大しています。ウイルスやワーム、ランサムウェアなど代表的なマルウェアの特徴を押さえてしっかりと対策しましょう。主な感染経路はメールの添付ファイルや外部のUSB、ソフトウェアのダウンロードなどある程度共通していますが、駆除となると種類によって有効な対処法が変わってきます。セキュリティソフトの導入やOSのアップロード、定期的なバックアップなど基本対策に加えて、専門知識をもった保守サービスを利用すると安心です。ぜひ検討してみましょう。

  • Webサイト 改ざん検知 ツール・サービス

    2024.02.06 WEB制作

    Webサイトの改ざん検知とは?仕組みやおすすめツールの選び方を紹介
    Webサイトの運用において、サイバー攻撃への備えは必要不可欠です。「サイトの表記がおかしい」「急に全く違うサイトに差し代わってしまった」などの改ざん被害に遭った場合、想定しうる損害は大きなものになります。自社サイトが攻撃に遭うだけでなく、ユーザーを巻き添えにした被害が起こってしまった場合は加害者として損害賠償をしなければならないかもしれません。サイトの改ざん検知ツールを導入するのは被害を最小限に食い止めるための有効な対策です。この記事ではWebサイトにおける改ざん検知について、仕組みやツール・サービスの選び方、改ざんを未然に防ぐ対策方法をお伝えします。1.Webサイト改ざん検知とはコンテンツや管理設定など、Webサイト内のデータの改ざんが起こったときに検知・通報するシステムのことを「改ざん検知」と呼びます。サイバー攻撃を受けた場合、異変に気付いていち早く対応することが重要です。そのため、セキュリティリスクの管理には欠かせないツールであると言えます。Webサイトに限らずシステム内部、アプリなどにも改ざん検知をつけることができますが、今回は特にWebサイトが改ざんされたかどうかチェックするシステムに着目してご紹介します。2.改ざん検知のやり方・仕組みサイトが改ざんされたかどうか判断する方法はいくつかあり、やり方によって検知できる範囲に違いが出ることもあります。仕組みを知り、自社サイトに適したツールを選ぶ材料にしましょう。サーバー内部監視型内部のシステムまで監視対象に入れられる改ざん発生時迅速に対応しやすい外形監視パターンマッチ型過去のパターンをもとに分析するハッシュリスト比較型ハッシュ値を分析することで改ざんされたファイルを特定しやすい原本比較型Webサイトの原本を保管し、実際のWebサイトと比較することで改ざんを検知サーバー内部監視型改ざん検知を行いたいWEBサーバーの内部に検知ツールを設置して監視します。サーバー内のデータに変更が加えられていないかチェックすることで改ざんを検知するという仕組みとなっていて、内部のシステムまで監視対象に入れられるのがメリットです。また、設定によっては改ざんが起こった瞬間リアルタイムで通知されるシステムにすることも可能なので、有事に迅速な対応を行いやすい点も長所だと言えます。ただし、内部監視型の改ざん検知ツールを入れるにはサーバー運用側の設定が必要です。共用サーバーを使っている場合は提供者の都合によって使えないこともあるので注意しましょう。パターンマッチ型(ソース解析型)外部の別サーバーから該当するWebサイトにアクセスし、過去に行われた改ざん事例と照らし合わせる形で検知する方法です。WordPress等の動的コンテンツに対応しています。過去のパターンをもとに分析するため、よく使われる手法の攻撃には高い効果を発揮しますが、未知の攻撃に対しては対処できないこともある点には注意が必要です。また、画像ファイルなど未対応フォーマットのファイルや公開されていない内部ファイルも改ざん検知の領域に含まれていないことには留意しておきましょう。ハッシュリスト(ハッシュ値)比較型定期的に監視対象ファイルのハッシュ値を計算し、誤差が出ていないかどうか比較する方法。運用側がカスタマイズ等で意図的にファイルを変更した場合に誤作動しやすいものの、ハッシュ値を分析することで改ざんされたファイルを特定しやすいというメリットがあります。原本比較型監視対象となるWebサイトの原本を保管し、実際のWebサイトと比較することで改ざんを検知します。原本比較型のツールは内容を更新するたびに改めて原本を用意し直さなければならないのがややネックです。3.改ざん検知ツール・サービスの選び方ここまでご紹介してきた通り、改ざん検知にはさまざまな種類があります。「何を基準に選べばよいか分からない」という方は、以下のポイントを押さえて自分に合ったサービスを選びましょう。改ざん検知の頻度検知方法によって改ざんチェックの頻度はかなり異なってきます。もちろん同じ方法を取っていても価格帯やエンジニアによって検知の周期が変わることもありますが、一つの基準にはなるでしょう。サーバー内部監視型であればファイルの変更があった瞬間に検知する常時監視システムを採用できるので、セキュリティ的には一番確実です。その他の検知方法は外部のサーバーから監視するシステムのため「外形監視」と呼ばれます。仕組み上改ざんが起きた瞬間に通知することは不可能ですが、改ざんの頻度を上げれば「すぐに改ざんに気が付く」システムにすることは可能です。契約するサービスやツールによってはタイムラグが発生する場合もあるので、どのくらいの頻度で改ざんチェックするのかは必ず検討項目に入れるようにしましょう。監視する対象ツールによっては内部の設定ファイルなども改ざんの対象になることもあります。「表には分からないが内部のファイルが改ざんされている」という事態まで考慮して対策したいのであれば、監視対象の範囲が広いサーバー内部監視型がおすすめです。外部からの侵入に備えるという意味では外形監視型でも問題ないでしょう。改ざん発覚時の対応ツールの中には「改ざんがありました」と通知するだけのものもあります。特に無料・安価なサービスは改ざん等の被害が発生したときに自分で修復できる人向けなので、対応できる人がいない状況ではおすすめできません。原因の特定や修正まで行うのが困難であれば、サイトの復旧や再発防止策の提案などの事後対応までサービスに含まれたものを選ぶべきでしょう。4.改ざん検知以外の対策方法も改ざん検知はあくまで「改ざんが起こってからの初動を早める」目的で導入するツールです。セキュリティを強化したいのであれば、まず改ざんが起こる前の対策ができているかチェックしましょう。ファイアウォールなどの対策ソフトの導入不審なアクセスをブロックする役割を持つ対策ソフトの導入が第一です。ファイアウォールWAFなどがサイトと紐づいているサーバーに設置されているかどうか確かめてみましょう。侵入検知システム(IDS)の導入IDSは不正アクセスを検知するためのツールです。改ざんが起こる前には不正アクセス攻撃を受けていることが多いので、サイトの改ざんがあったかどうかよりも先に不正なアクセスを検知するシステムを導入しておきましょう。不正な通信を遮断するIPS(侵入防止システム)というセキュリティツールもあります。こちらを導入すれば検知だけでなくブロックまでしてくれるので、まだインストールしていないようであればいち早く導入しておくことをおすすめします。アップデート、脆弱性情報の管理WordPressなどのオープンソースCMSは特にアップデートが頻繁にあるので、更新しないで放置していると脆弱性が見つかって改ざん被害に遭う可能性が高まります。こまめにアップデートを行い、脆弱性に関する情報を収集することでリスクを軽減できることを頭に入れておきましょう。しかし、アップデートに対応するとサイトが表示崩れを起こしたりレイアウトが変わってしまったりと何かと手間が多いもの。「管理しきれない…」という場合は、保守サービスの利用もおすすめです。改ざん検知システムの導入や定期的な診断レポートの作成なども一括で代行できるので、自社サイトの状態を把握しながらプロに管理を任せることができます。>>>WordPress保守サービスについて詳しくはこちらから<<<5.まとめサイトが改ざんされたかどうか検知するツールを導入するのは被害を最小限に食い止めるのに必要です。また、改ざん検知だけでなく多方面からしっかりとセキュリティ対策を行うことで、自分のサイトを守ることになります。もし導入がお済みでなければ、早急に対応することをおすすめします。

  • 情報漏えい セキュリティリスク 事例も紹介

    2024.02.06 WEB制作

    情報漏えいのセキュリティリスクを知っておこう|実際の事例・対策を紹介
    企業で情報漏えいが発生した場合のリスクは近年徐々に知られるようになってきました。しかし、実際にセキュリティインシデントが発生したらどのような損害が生じるかはご存知でしょうか?情報漏えいによって損害賠償が発生した場合、企業全体に大きな打撃を与える可能性は極めて高いと言えます。 この記事では企業の情報漏えいの事例から、被害を防ぐための対策をご紹介します。情報漏えいの損害賠償リスク情報漏えいによって被害を受けた顧客へ損害賠償をしなければならない場合は、1人当たりの賠償額を算出し、被害者数から総額を決定します。重大な被害が発生しなかった場合の1人当たりの金額は3,000円 ~ 5,000円だとされています。仮に1万件の個人情報が流出して1人5,000円賠償したとすれば、5,000円×1万人=5,000万円の損害賠償となります。1人5,000円というとたいしたことはないように聞こえますが、被害に遭った人数が多ければかなり大きな賠償額になることが分かると思います。とくに自社サイトで会員登録させている場合、会員数で被害額をイメージしてみてください。セキュリティ対策にかかるコストと天秤にかけるまでもなく、管理を蔑ろにできないことは明確です。1人当たりの賠償額決定基準は主に以下の3つです。これらの基準に則って基本的な賠償額が決まりますが、何らかの要因によってより重大な過失が認められた場合はさらに金額が上がることも考えられます。漏えいした情報の内訳クレジットカードの情報などの情報が含まれていると賠償額は高額化します。住所と氏名が紐づいた情報の流出など、個人が特定するのが容易なレベルまで漏えい被害が発生した場合も額が高くなるでしょう。また、情報の流出に精神的苦痛が伴う「手術歴」「看護記録」「宗教」などの情報が含まれていた場合も重篤な漏えいとみなされます。二次被害の有無流出したメールアドレスに迷惑メールが送られてくる流出した住所に身に覚えのないダイレクトメールが送られてくるクレジットカード情報の不正利用が発生しているなどの二次被害が発生している場合は賠償額がさらに高くなります。インシデント後の対応賠償額を決定する要因は実際に起きた被害の規模だけではありません。情報漏えいが発生した後の対応が適切であったかどうかも最終的な額に影響してきます。具体的には、被害者への速やかな連絡不具合の原因への迅速な対応再発防止策の策定などが挙げられます。2022年に施行された改正個人情報保護法で、個人の権利・利益を害する可能性が高い情報漏えいが発生した場合は「個人情報保護委員会への報告および本人への通知」が義務になりました。適切な対応を行わなかった場合は「法令を遵守する意識がない」とみなされて賠償額が高まる可能性もあるため、有事の際は誠実な対応を心掛けなければなりません。情報漏洩時に想定される損害賠償以外のリスク情報漏えい時に発生する被害額は損害賠償だけではありません。日本ネットワークセキュリティ協会(JNSA)が2023年に実施したアンケート※によれば、Webサイトからの情報漏えいで生じた被害金額は平均2,955万円、クレジットカード情報を含む情報漏えいだった場合は3,843万円でした。不正利用に対するカード会社からの賠償請求などが発生するため、比較的金額が高くなることが分かります。また、漏えい被害に遭ったと回答した中の7割超が中小企業だったとのデータも出ています。大きい会社が攻撃を受けやすいわけではなく、会社の規模を問わず莫大な額の被害に遭っていることにも注目すべきです。被害金額の内訳として、具体的には以下のような被害が想定されます。詐欺・脅迫などによる損害例えば「顧客情報を公開されたくなければ●千万円払え」といった脅迫が届くなど、攻撃者からのアクションによって損害を被ることも少なくありません。また、インターネットバンキングを乗っ取って直接金銭を盗み取るパターンなども想定できます。脅迫の場合は拒否したときにも新たな損害が起こる可能性があるため、慎重に対処する必要があります。イメージ低下・顧客の喪失情報漏えいが起こったとなるとイメージが低下し、顧客からの信頼も下がってしまいます。上場企業であればイメージの低下が株価の下落につながる可能性も高いでしょう。具体的な数値として被害額を出すことは難しいかもしれませんが、イメージ低下によってユーザーの離反が起こることも考えるとかなりの打撃になると考えられます。サイト停止による機会損失サイト経由で不正アクセスや情報漏えいが起こった場合、一時的にサイトを閉鎖しなければならない可能性が高いです。サイトの閉鎖期間中、本来ならば得られたはずの機会損失も被害の一部と捉えられます。閉鎖したサイトが売り上げに直結するECサイトだった場合は特に甚大な損害を生むでしょう。被害額としての算出が難しい項目ですが、イメージダウンによる損失も併せて考えると決して無視できない被害になります。問題解決までの業務にかかる費用情報漏えいが発覚してから全ての問題を解決するまでには多大な時間と人件費がかかります。外部に委託しなければならない業務も多々あるため、こちらも損害としては大きくなるでしょう。①調査費用・復旧費用特にサイバー攻撃による漏えい被害が発生した場合、残ったデータを詳しく調査して原因を特定しなければなりません。また、セキュリティの専門家がいない場合は復旧作業を外部のサービスに頼ることになるでしょう。対応費用はインシデントの被害規模によりますが、数十万~数百万円はかかると想定されます。また、端末やサーバーの入れ替えが必要となればさらに高額な費用が発生します。②法律相談、裁判費用顧客から賠償請求があった場合の対応、行政への手続きには法律の専門家によるアドバイスが必要です。裁判に発展した場合は弁護士費用もかなり高額になってくる可能性があります。③顧客対応のコールセンター費用、広告宣伝費被害者の規模によって対応は変わってくるものの、顧客へのケアにもかなりの費用がかかるでしょう。具体的には、一人一人にDMを送る、マスコミを通じて被害の通知と謝罪を行うなどの対応が挙げられます。実際の事例では、賠償とは別にお詫びの品を送る対応を行う企業もありました。また、情報漏えいによって被害を受けた顧客が多かった場合は外部のコールセンターに委託して専用の対応窓口を設けるパターンも存在します。事例①関連会社での情報漏えいによる損害賠償ここからは実際に起こった損害賠償の事例についてご紹介します。まずは2014年に発覚したベネッセコーポレーションの顧客情報流出事件。(参考:日本経済新聞※1)社員による情報の持ち出しが発覚したのはベネッセ本社ではなく委託先の関連会社ですが、運営元であるベネッセに監督義務違反があったとして訴訟に発展しました。情報漏えい被害に遭った顧客約5700人がベネッセを相手に訴訟を起こし、1人当たり3,300円・総額約1,300万円の賠償が決定しました。流出した情報についてはそこまで秘匿性が高くないと判断されたため1人当たりの金額は比較的少額ですが、機密情報を有するサプライチェーン企業のセキュリティ保全の必要性が分かる事例です。事例②情報漏えいの責任を巡って委託先へ損害賠償を求める2018年に群馬県前橋市の学校で発生したこの事例で発生した賠償金は一審時点で約1億4,200万円とかなり高額です。(参考:前橋地方裁判所判例※2)なぜこんなに高額な賠償になったのかというと、顧客への賠償ではなく「情報漏えいによって受けた損害すべて」を委託先であるNTT東日本に請求した事案だからです。先述したように、情報漏えいが発生した場合は多額の損害が発生します。この事例では学校ネットワークを管理していたNTT東日本に責任があるとして、前橋市が同社を提訴したという形です。裁判所の資料では、当初前橋市が請求していた賠償金約1億7,000万円の内訳を以下のように記しています。調査・システム復旧費用:(外部・内部あわせて)約6360万円端末復旧費用:約8260万円保護者対応費用、職員の時間外勤務手当など:約1470万円第三者委員会、弁護士への報酬:約1720万円※金額は10万の位で四捨五入して各項目をまとめた概算です。学校組織で発生したインシデントなので内訳の細かい部分は違ってくるかもしれませんが、45,000件以上の個人情報が流出したサイバー攻撃の事例でかかった費用の例としてはかなり具体的で参考になると思います。企業で起きた情報漏えい事例だと委託先を提訴することは少ないため、ここまできっちりと被害金額を公表しているパターンはほとんどありません。そのため、「実際にこのくらいの費用が発生する」という金銭的被害を具体的に算出・公表した貴重な一例であると言えます。情報漏えいリスクを避けるためのセキュリティ対策情報漏えいが起こる前の対策をしっかりしておけば、リスクは圧倒的に軽減されます。まずは基本的な対策がきちんとできているかチェックしましょう。もっと詳しくセキュリティ対策について知りたい方は「サイバー攻撃とは?企業が行うべき対策を分かりやすく解説」もご覧ください。怪しいURLやファイルを開かない特にサイバー攻撃はフィッシングメールを通じたマルウェアへの感染、不正アクセスが原因であることが多いです。不審なメールに記載されたURLやファイルは開かないようにしましょう。ブラウザにフィルタリング設定を入れるのも有効です。セキュリティ対策ソフトを入れるファイアウォール、WAFなどのソフトでの対策も必要不可欠です。個人が所有するデバイスだけでなく、サイトを管理するツールやサーバーにも設置するようにしましょう。パスワードを厳密に管理する推測されやすいPWは使わない、使いまわしはしないなど。簡易的なパスワードを使っていると、攻撃者が認証を突破してしまうリスクが高まります。十分に注意しましょう。Webサイトのセキュリティを強化するバックアップを取る、アップデートの管理を行うなど。例えばWordPressのサイトならセキュリティ用のプラグインを入れるといった対策も考えられます。もし保守しきれていないようであれば、外部サービスの利用も検討すべきです。また、先述したようにセキュリティ会社の保守に抜けがある可能性もあります。定期的なセキュリティ診断を欠かさないことが大切です。>>>保守サービス・無料セキュリティ診断についてはこちらから<<<まとめ情報漏えいによって発生する損害は数百万円~場合によっては数億円にまでのぼる可能性があります。自社が大きな被害をこうむることがないよう、普段からセキュリティ対策を怠らないようにしましょう。もし自社のサイトやサーバーの状態に不安がある場合は当社の保守サービスも検討してみてください。※1 JNSA+「サイバー攻撃被害組織のアンケート調査(速報版)」※2 前橋地方裁判所民事第2部「令和2(ワ)145 損害賠償請求事件」

  • WordPress 表示速度 改善

    2024.02.06 WEB制作

    WordPressサイトの表示速度が遅い原因はこれだ!改善方法や必須プラグインをご紹介
    たくさんの人に見てもらえるようなサイトを作っていくには何が必要だと思いますか?ページのレイアウトやコンテンツの内容ももちろんとても重要ですが、「サイトが早く表示されるかどうか」という点もユーザーの満足度を維持するのに欠かせない要素です。特にWordPressは対策をせずそのまま運用していると表示スピードに関する悩みを抱えがちです。自社サイトの表示が遅いと感じているようであれば、原因を分析してサクサク表示されるサイトを目指しましょう。1.WordPressの表示速度が遅くなる原因WordPressで制作したサイトが重くなる原因はいくつかあります。原因ごとに対策も変わってきますので、まずは自分のサイトを見て表示が遅い原因をチェックしましょう。画像サイズが大きすぎる・フォーマットが悪い画像はそのままだとサイズが非常に大きい場合もあります。デスクトップでの閲覧を想定しても最も大きい場合で1920px×1080pxくらい。それ以上であれば、画像が大きすぎると判断してよいでしょう。表示する場所によっても適切なサイズは違うことにも注意すべきです。小さいアイコン画像なのに必要以上に大きいサイズで表示していないかなどにも気を配ってください。また、画像のフォーマットにも注目してみても良いかもしれません。例えば写真の現像時に使われるRAWファイルは容量が極端に大きいので、サイトにアップするには不向きです。一般的に使われているPNG・JPEGのほか、最近はWEBPと呼ばれる軽量化された画像ファイル形式も知られてきています。2024年現在ではまだブラウザカバー率が低いため積極的な導入は推奨されていませんが、必要であればフォーマットの変更も検討するのも一つの手です。HTML・JavaScript・CSSが最適化されていないWordPress内部のファイルをHTML等でカスタマイズしている場合に考えられる原因です。例えば「WordPressをカスタマイズした形跡があるが、何度か担当者が変わってどのようにファイルをいじったか分からない」といった場合は、不要なコードがあって処理に時間がかかっている可能性が想定されます。サーバーの処理速度が遅いWordPressなどの動的サイトはデータベースからサーバーを介して情報をやり取りするので、サーバーのスペックが悪いと処理速度が遅くなる可能性があります。「データ量の多い大規模なコンテンツを運用しているのにレンタルサーバーの一番安いプランを契約している」といったケースでは、サーバーの処理速度が追いついていないのが原因になっていることも考えられるでしょう。2.表示スピードの改善に必要な対策実際に表示スピードを改善するのに必要な対策は以下の通りです。原因が分からないという方は、最初に紹介する「Page Speed Insightsでサイトの速度をチェック」をまず試してみましょう。Page Speed Insightsでサイトの速度をチェックサイト速度のチェックは厳密には対策ではありませんが、具体的な対策を練る前の現状分析に必要です。まずは何らかの手段でサイトの表示速度を分析してみましょう。今回紹介する「Page Speed Insights」はGoogleが提供している表示速度分析ツールですが、表示速度を測るツールは複数あるのでどれを使っても構いません。項目ごとにスコアを見ることで、表示速度を効果的に改善することができます。Largest Contentful Paint(LCP):ページ内で一番サイズが大きいデータ(画像や動画など)が表示されるまでの時間First Input Delay(FID):ページで何らかの動作を行ったときに反応にかかる時間Cumulative Layout Shift(CLS):ページを読み込んだ後のレイアウトのずれFirst Contentful Paint(FCP):ページを読み込み始めてから何らかのコンテンツが表示されるまでの時間Interaction to Next Paint(INP):ブラウザの応答に最も時間がかかったアクションTime to First Byte(TTFB):ブラウザがサイトのサーバーから1バイトを最初に受信するまでの時間例に挙げたこのサイトでは特に「FCP」と「TTFB」のスコアが悪いことが見てわかると思います。TTFBの読み込みが遅いということは、サーバーの応答に時間がかかっていることが原因の一つでしょう。ですので、キャッシュ系のプラグインを入れたり、サーバーをアップグレードしたりといった対処法が考えられます。サイズ画像の圧縮画像を適切なサイズに圧縮すると表示速度が改善されます。画像サイズを圧縮できるツールやサイトもありますが、WordPressであれば後述するようにプラグインを入れるのが簡単です。画像を遅延読み込みさせる画面外の画像(オフスクリーン画像)を後から読み込むことで、ユーザーから見える表示スピードが向上します。画像などの読み込みを遅延させる仕様をLazy-loadと呼びますが、WordPressならプラグインなどを入れなくてもデフォルトで対応可能です。バージョン5.5以降はLazy-loadが標準で実装されるようになっているので普通にメディア追加機能を使っていれば遅延読み込みされるはずですが、古いバージョンを使っているなどの要因があれば改善の余地があるかもしれません。キャッシュを活用するキャッシュとは、閲覧履歴のあるWebページをブラウザに保存させて、再度読み込む際の動作や時間を短縮する機能です。キャッシュの活用もWordPressならプラグインの導入で対応できます。使っていないコードの削除不要なコードの処理を減らすことで表示速度が改善することもあります。ただし、内部ファイルの編集にはJavaScriptやCSSの知識が必要です。仕組みをよく分かっていない初心者がいきなり内容をいじってしまうと、サイトの表示崩れなどさらに重篤な不具合をもたらす可能性があることには留意しておきましょう。もし周囲に知識を持った人がいないのであれば、専門家に相談してみるのもおすすめです。>>>WordPressの保守をプロに相談<<<サーバーを変えるレンタルサーバーを利用しているようであれば、契約しているプランがコンテンツの大きさと合っていない可能性もあります。多くの場合コストは上がりますが、サイトの規模感に合っていないようならよりパフォーマンスの高いサーバーに乗り換えるのも一つの手です。 3.表示スピードを改善しないことによるデメリットそもそも「表示スピード」はWebサイトの要素として重要なのでしょうか?答えはYESです。コンテンツ内容に直接かかわるものではないかもしれませんが、ユーザーの流入数や直帰率には大きな影響を及ぼします。デメリットを認識し、表示速度を高める工夫をしましょう。ユーザーの満足度が低下するスマホで情報を調べているとき、サイトがなかなか表示されなくてイライラした経験はないでしょうか?あまりに長いこと表示されなければそのまま「戻る」ボタンを押してしまう人も多いと思います。表示スピードが遅いとユーザーの満足度が低下してしまいます。満足度が下がるだけでなく、求める情報にたどり着く前にあきらめて離脱してしまう可能性も高まるでしょう。サイトの評価を上げてユーザーの直帰率を下げるための施策として、表示スピード対策は非常に重要だと言えます。検索順位に悪影響を及ぼすGoogleはサイトの表示スピードが検索順位を決める基準の一つとなっていることを公表しています。サイト内のコンテンツ内容と直接の関係はありませんが、ユーザーの利便性を考えて基準の一つとして採用しているものと推測されます。表示が遅いサイトは検索順位が上がらない、つまり顧客の満足度以前にアクセスしてもらえない可能性があるということです。4.WordPress表示スピード高速化に役立つおすすめプラグイン2選以下は当サイトの表示速度改善にも導入している必須プラグインです。WordPressサイトの表示スピードにお悩みでしたら、まずは導入してみましょう。※画像の遅延読み込み(Lazy-load)はバージョン5.5から標準機能として搭載されているため、現在はプラグイン非推奨です。キャッシュ高速化:W3 Total Cacheキャッシュの高速化を行えるプラグイン。キャッシュを保存しておくことでその手順を省くことができ、結果的に表示速度が上がります。画像圧縮:EWWW Image Optimizer画像を自動的に圧縮してくれるプラグイン。ページに画像が表示される際にファイルサイズが小さくなるため、WordPressを高速化できます。通常画像の圧縮にはやや手間がかかるので、一括で置換してくれる便利なツールです。5.まとめWordPressの表示速度改善はサイトの健全な運用に不可欠です。Page Speed Insightsのスコアが悪い場合は何らかの対策を取ることをおすすめします。プラグインの導入など簡単な対策で解決することもありますが、根本的な原因の解消にはプロの分析を頼った方がいいかもしれません。当社のサービスではWordPressの表示スピード改善も承っています。セキュリティ保守と一括で柔軟に対応しますので、「管理周りのことは全部プロに頼みたい」という方にもおすすめです。

  • セキュリティ診断 種類、相場など

    2024.01.31 WEB制作

    Webサイトのセキュリティ診断は必要?種類や価格の相場、チェック項目を紹介
    インターネットに関わる技術が進歩したことで、今やWordPressなどのツールを使えば誰でもWebサイトを制作できる時代になりつつあります。Webサイトの運用にはセキュリティ管理が必要不可欠ですが、コンテンツの中身にばかり意識が向いて「よく分からないから…」と放置してしまう会社も多いのではないでしょうか。作るだけ作ってセキュリティ対策を怠った状態になっているようであれば、何らかの改善策が必要です。「何から始めたらいいか分からない」「セキュリティ対策はしているつもりだけど、課題点があるかもしれない」そういった方にはセキュリティ診断をおすすめします。種類はさまざまですが、無料でしっかりとした診断を受けられるものもあります。参考にしたうえで、ぜひ自社に合ったサービスを選んでください。1.Webサイトのセキュリティ診断(脆弱性診断)とはセキュリティ診断とは「システムやネットワークのセキュリティ状況を評価する診断」のこと。サイトだけでなく、アプリや内部システムもセキュリティ診断の対象になります。Webサイトの診断においては、脆弱性を見つけて対策するための診断という意味で「脆弱性診断」とも呼ばれます。サイバー攻撃に遭う可能性のある脆弱性がないかどうかチェックし、対策を講じるために利用するのが一般的です。2.セキュリティ診断の種類・価格相場セキュリティ診断にもさまざまな種類があり、価格の相場は方法によって大きく異なります。大きく分けて「ツール診断」「マニュアル(手動)診断」に分類されますが、どちらか一方だけでなく両方を併用するようなサービスも多くあります。どの診断を利用するか迷っている場合は、診断方法をチェックしてみましょう。ツール診断自動検知ツールなどを使って脆弱性を測る方法。自動ツールを使って診断するため、手動よりも低コストかつ短時間で実施できるのが長所です。ツール診断は無料~数十万と比較的安価ですが、内部システムに関わる専門的な知識を要する脆弱性の検知など、ツールのみの診断では見落としが発生するリスクがあることには注意した方がよいでしょう。ツール診断の中でも以下の3種類の方法に分けられます。クラウド型インターネットを経由して診断を行います。ツールをインストールしたり管理したりする手間が省けるため、比較的手軽に利用できるのがメリットです。ソフトウェア型自社のパソコン・サーバーにツールを入れて診断するサービス。オフライン環境でも利用できるのがメリットです。オープンソース型インターネット上に公開されているソースコードを利用して診断できるツール。カスタマイズ性が高く無料で利用できるのがメリットですが、使いこなすには専門性が必要なので初心者向けではありません。マニュアル(手動)診断セキュリティの専門家に依頼し、人力で細かくセキュリティの穴がないかチェックします。相場は数万円~数百万と幅広いのが特徴です。ツール診断と組み合わせて診断するサービスであれば数万円、大規模なWebサイトをプロの手で網羅的に診断したい場合は数百万円かかるケースもあります。多くの場合は有料ですが、WordPressに特化したセキュリティ診断であれば無料で受けられるパターンも存在します。リモート診断遠隔地から外部からアクセスできるサーバーなどにアクセスし、脆弱性をチェックします。サーバーに設置されているファイアウォールが機能しているかなど、外部からの攻撃を想定した脆弱性を見つけることができます。オンサイト診断外部に公開されていないサーバーなども診断対象として、内部システムの脆弱性を測ります。万が一外部から侵入された後に攻撃を防ぐシステムができているか、社内のセキュリティシステムに問題がないかまでチェックすることができるのがメリットです。3.WordPressセキュリティ診断サービスの主なチェック項目WordPressで制作したサイトがセキュリティ対策の落とし穴になりやすいのはご存知でしょうか。初心者でも簡単に作れるがゆえに、「表示崩れが怖くてアップデートしていない」など、判別がつきやすい部分で脆弱性が生じているパターンが多いので注意が必要です。もしWordPressを使って運用しているサイトのセキュリティに不安があるようなら、WordPressのサイトを専門に診断できるサービスを受けてみましょう。具体的な診断項目は以下のようになっていることが多いです。内部システムの脆弱性コアファイルプラグインテーマなど、WordPressの内部を構築するファイルに脆弱性がないかチェックします。バージョンアップせず放置していたり、何年も更新していないプラグインが残っていたりする場合はセキュリティが甘いと判断されます。ユーザー情報・管理画面WordPressを運用するユーザーの管理も重要です。具体的には、パスワード、IDが推測されやすいもの(生年月日、ドメイン名など)でないか各ユーザーに適切な権限を与えているかパスワード画面が適切に保護されているかなどをチェックします。内部のシステムをしっかり警備していても、管理ユーザーのセキュリティが甘いとサイバー攻撃の標的になりやすいので注意が必要です。その他バックアップの有無通信の暗号化(SSL化)などもチェック項目に含まれていることが多いです。>>>通信の暗号化について詳しくはこちらから<<<バックアップは不具合発生時の復旧に必須なので、セキュリティ対策としては基本中の基本です。診断前にしっかりできているかチェックしておくとよいでしょう。4.セキュリティ診断を受けるべきサイトの特徴どんなWebサイトも定期的なセキュリティ診断を受けるのが最良ですが、特に以下の特徴に当てはまる場合は今すぐ一度セキュリティ診断を受けてみることをおすすめします。しばらくアップデートしていないどんなツールを使って作ったサイトであれ、アップデートの管理を怠った状態は一番攻撃者につけこまれやすいものだと認識しておきましょう。特にWordPressなどのオープンソースCMSは脆弱性への対策がアップデートを通じた自己対応に任せられているので、放置した場合の危険性はひときわ高いと言えます。アップデートを放置しているようなWebサイトには他の問題が生じている可能性もあるので、まずは何が問題なのか診断を通じてチェックしてみるべきでしょう。担当者が変わってしまったセキュリティ対策が甘いことに悩みを抱えている方は、当初と担当が変わって設定の情報などが分からなくなっているパターンも多いのではないでしょうか。担当者の変更が原因で放置してしまっているのであれば、一度セキュリティ診断を行って何が問題なのか可視化してからサイトの改善を行うのが近道です。セキュリティについて分かる人がいない場合でも、セキュリティ診断を専門家に頼めば適切なアドバイスがもらえます。>>>WordPress無料診断を依頼する<<<セキュリティ保守の予算が下りないサイト保守をしっかり行うとなると、自社でやるにも外注するにもある程度予算がかかります。しかし、特に中小企業ではサイバーセキュリティの重要性、情報漏えいなどのリスクが共有されず重要性が看過されがちです。上層部がセキュリティリスクを認識していないため対策に割く予算が下りず、現場で悩みを持つパターンも多いのが現状です。セキュリティ対策を外部に委託する保守サービスも実はそこまで高額ではありませんが、利益が生じる投資ではないため導入を渋るケースも見られます。「自分は関係ない」という思い込みがサイバー攻撃の被害を生み出すのです。まずは実際にセキュリティ診断を受けてみて、具体的な課題点やリスクが見えると予算を割く説得材料になります。もしセキュリティ対策にお悩みのようでしたら、一度診断を受けてみましょう。>>>無料セキュリティ診断はこちら<<<5.まとめセキュリティ診断サービスは多種多様で、サイトの規模や診断の適用範囲によって価格やサービス内容も大きく異なります。脆弱性情報は日々更新されるため定期的な診断を行うのが一番ですが、課題点を認識するにはまず一度診断を受けてみるのがよいでしょう。当社では、WordPressのセキュリティ保守サービスの一環として定期的なセキュリティ診断とレポート提出を行っています。「診断されても解決策が分からない…」という場合は、プロがセキュリティ管理まで一括でサポートします。自社サイトの課題点を認識するために無料セキュリティ診断を受けてみたいという方は、WordPress丸ごとお任せ(保守)サービスのページをご覧ください。

  • ランサムウェア 対策

    2024.01.31 WEB制作

    ランサムウェアに有効な7つの対策!感染したときの対処法まで解説
    突然データが暗号化され、復旧と引き換えに金銭を要求するメールが届くランサムウェア。データが戻ることはなく被害コストも甚大であり、事前対策が特に重要とされるマルウェアです。ランサムウェアの被害は事業規模や業種を問わず急拡大しており、被害にあった法人の累計被害額は3年間で平均1億7689万円※といわれています。どの企業においても早急な対応が必要です。 今回はランサムウェアに有効な対策と感染した場合の対処法をご紹介します。1.いますぐランサムウェア対策が必要な理由トレンドマイクロ㈱が2023年に行った「サイバー攻撃による法人組織の被害状況調査」※によると、この3年間のランサムウェア被害を受けた法人の累計被害額は平均1億7689万円。復旧にかかった業務停止期間は、通常のサイバー攻撃が平均4.5日のところランサムウェア攻撃では平均13日と3倍近い日数が報告されています。この数年でランサムウェア被害が急増した主な理由は、新型コロナ感染症や働き方改革によって社外へのネットワーク接続が増えたことです。テレワークやSaaS、RDS(遠隔操作サービス)の利用が急速に進められた中で、多くの企業が新たな環境に適したセキュリティへの移行が間に合わず、その脆弱性がランサムウェアに狙われています。ランサムウェアに一度感染すると完全な復元は不可能であり、事業存続にかかわる大きな被害を出す場合もあります。早急に対策を検討しましょう。2.ランサムウェアに有効な7つの対策ランサムウェアはネットワークの脆弱性やメールの添付ファイル、ソフトウェアのダウンロードなどから侵入します。以下の7つの対策を同時に行いましょう。定期的なバックアップ感染に備えて常にバックアップをとることが最も重要です。ランサムウェアにデータを暗号化されても最新情報をしていれば被害を最小限に抑えられます。バックアップへの感染を防ぐため複数コピーして外部からアクセスできない場所に保管しましょう。OSやアプリケーションを最新に保つOSやアプリケーションは時間が経つと脆弱性が見つかることがある上、ランサムウェアをはじめとしたマルウェアは日々進化します。OSやアプリケーションの更新連絡がきたらすぐに適用して最新のプログラムにしましょう。使用していない古いアプリの削除も必要です。セキュリティ対策ソフトの導入と更新ほかのマルウェアもランサムウェアの侵入経路になるため総合セキュリティ対策ソフトの導入は必須です。すでにセキュリティソフトを導入している場合は更新状況や十分な性能があるか見直します。ランサムウェアは従来型のソフトでは検知できないケースも多くあります。EDRも含めて導入を検討しましょう。パスワードの管理徹底・多要素認証の導入パスワード管理は基本ですが、慣れや作業性を優先して簡易化されやすいものです。定期的な変更、法則性のない並び、十分な長さなど改めて徹底させましょう。SMS認証や生態認証など多要素認証の導入もおすすめです。アクセス権限の最小化感染の予防と拡大防止のため、ユーザアカウントのアクセス権限や範囲などは必要最低限にします。特に、外部に公開されているアカウントは攻撃対象になりやすいので、内部への接続を可能な限り制限しましょう。ネットワークの監視とログの保存ネットワークの監視はランサムウェア感染時の不審な挙動の早期発見、ネットワークログの保存は侵入経路の特定につながります。感染時の被害をいち早く収めるために必ず行いましょう。全社員での警戒と危機意識の共有マルウェア対策はネットワーク全体で行わなければなりません。以下のようなセキュリティルールを作成し、全社員で情報共有・警戒を徹底しましょう。偽装メールやSNS、不審なUSB、公衆Wi-Fiへの警戒メールのスキャンやフィルタリング機能の活用不審な添付ファイルやURLをクリックしないダウンロード前に信頼性の確認を行うデバイス持ち込みは事前スクリーニングと報告 など>>>サイバー攻撃への対策について詳しくはこちらから<<<3.ランサムウェアに感染したときの対処法巧妙な手口が次々と生まれるランサムウェアは万全な対策をとっていても感染が避けられない場合があります。被害を最小限に抑えるために感染時の対処法も合わせて周知しておきましょう。ランサムウェアに感染した場合の対処は以下の手順で行います。①ネットワークの遮断感染が疑われたら、すぐに端末をネットワークから遮断して隔離します。同じネットワークを使用している端末はすべて感染の可能性があるため、早急に連絡して同様に対処させます。検出や駆除作業より優先させましょう。絶対に要求には応じないランサムウェアはデータを奪うまたは暗号化するなどして、その漏洩防止や普及と引き換えに金銭や資産を要求してきます。しかし、データが安全な状態で戻ることはありません。一度要求に応えてしまうとそのデータが共有され攻撃が増えるとも言われています。「要求には絶対に応じてはならない」と周知しておきましょう。②ランサムウェアの検出と駆除端末の隔離を終えたらセキュリティ対策ソフトでランサムウェアの検出と駆除を行います。多くの対策ソフトでは自動で特定箇所の削除や隔離がされますが、最新のランサムウェアの検知や駆除は非常に難しく対応できないソフトウェアも多いようです。対処しきれない場合はセキュリティ担当者やサポートセンターへ依頼しましょう。③ファイルとデータの復号暗号型ランサムウェアは、「No More Ransom Project」などの復号化ツールでファイルとデータを復号できる場合があります。ただし、すべてのランサムウェアに対応できるわけでなく、端末に不具合が生じる可能性があるためよく検討してから使用しましょう。④バックアップデータからの復旧ランサムウェアに奪われたデータは最新のバックアップデータから復旧させます。バックアップデータの保管場所によっては感染している恐れがあるので、安全が確認できたデータを使用しましょう。⑤警察へ通報ランサムウェアはれっきとした犯罪行為です。攻撃を受けたら警察の各都道府県のサイバー犯罪相談窓口へ通報しましょう。対処に悩んだときの相談先にもなってくれます。4.ランサムウェアの対策や感染は専門家に相談するランサムウェアをはじめとしたマルウェア対策は複数の対策を同時に行わなければならず、さらに常に変化する手口に最新の知識で対応する必要があるとなると、専門職でなければ難しいでしょう。社内に専門の担当者がいない場合は、24時間体制でサイバー攻撃を監視してくれるSOC(セキュリティ対策専門部署)やwebサイトの保守サービスなど外部の専門家に委託するのがおすすめです。ランサムウェアは事前対策と感染時の迅速な対応が被害規模に大きく影響します。損失を最小限に抑えるために、万全の体制を整えておきましょう。5.まとめランサムウェアの被害はこの数年で急増しており、復旧の難しさや事業への悪影響は他のマルウェアを大きく超えています。被害を受ける前に早急に対策しましょう。検知が難しいランサムウェアを防ぐには、定期的なバックアップやアプリの更新など基本的対策に加え、ランサムウェアに対応できる高性能セキュリティソフトの導入などもう一歩踏み込んだ対策が必要です。また感染被害を最小限に抑えるために正しい対処法も周知しておきましょう。感染したらまずネットワークを遮断、要求には応じない、警察への通報の3つです。セキュリティソフトを使った検出や駆除、暗号化されたデータの復号、データの復旧などの作業は専門知識をもったSOCや保守サービスなどの利用がおすすめです。※トレンドマイクロ株式会社+「サイバー攻撃による法人組織の被害状況調査​」

  • 社内向け セキュリティ対策ルール 策定方法

    2024.01.25 WEB制作

    【社内向け】セキュリティ意識を高めるルールの策定方法を解説
    最近はマルウェアによる被害や情報漏えいなどのセキュリティリスクが知られるようになってきて、「自社のセキュリティ対策は万全なのだろうか」と不安に感じる人も多いのではないでしょうか。実際、サイバー攻撃などのリスクに備えていない企業は何らかの被害に遭う確率が高まります。しかしその一方、「私は関係ない」とどこか他人事に思っている人が多いのも事実です。どれだけシステムの対策をしたとしても、一人の社員がスパムメールを開いてしまったら意味がありません。また、セキュリティへの意識的な取り組みだけでなくデバイスの管理など技術面での対策も重要です。この記事では、社内でセキュリティ対策を強化したい人向けに効果的なルールの策定方法を紹介します。1.社内セキュリティ対策ルール策定前の基本セキュリティ対策ルールを従業員間で共有・徹底するには、まず「ルールをどう扱い、改善していくか」という視点を身につけておくことが重要です。社内でルールを決める際は、事前に規則の扱い方を頭に入れておきましょう。セキュリティリスクを社内で共有するルールを定めても「なぜこのルールが必要なのか」理解していないと実施の徹底は困難です。サイバー攻撃を受けたときなどに被る損害賠償や業務停止のリスクについて周知し、全社員が自律的に取り組めるようサポートしましょう。上層部・システム担当・その他の社員が連携する予算を出すには上層部の許可が必要であり、技術面でのセキュリティ強化にはシステム担当の知識が必要です。さらに、全社員の協力がなければどこかにセキュリティホールが生じてしまいます。一部の社員ではなく、全員が守れるようなルールを定めて実施状況を確認するよう仕組みを整備しましょう。形式が明確な規定としてルールを共有したい場合は、セキュリティポリシーを設定するのも一つの手です。常に情報を収集し、ルールを改善するサイバー犯罪は日々複雑化しており、以前からのルールを守っているだけでは攻撃にさらされるリスクが高まります。IPAなどの機関が最新の脆弱性情報を発信していますので、常に誰かが一次情報を収集するよう心がけましょう。また、情報の更新や社内の変化に応じて必要であればルールの改善を行ってください。一度決めて終わりではなく、PDCAサイクルを回して改善していくことが重要です。2.ルール設定に役立つ!セキュリティの3大基本対策サイバーセキュリティの対策にはさまざまな種類がありますが、大きく3つに分類できると認識しておくとルールの設定に役立ちます。技術的対策ソフトウェアなどにセキュリティ対策を施し、システムを保護します。エンジニアによる技術支援が必要です。人的対策人間が起こすミスや不正行為を予防するための対策のこと。社内全員の協力が必要です。物理的対策オフィスへの侵入や災害などから物理的な保護を行います。特に中小企業では予算不足で物理的な対策が難しいこともありますが、リスクへの備えとしては不可欠です。3.【セキュリティ対策】社内ルールのチェックリスト13項目前章でご紹介した対策区分ごとにルールの一例をご紹介します。どのようなルールを決めるかは社内の状況にもよりますが、以下の事項は最低限ルールに組み込んでおくのがよいでしょう。対策区分No.チェック項目技術的対策1ファイアウォールを設置しているか2二段階認証を導入しているか3ウイルス対策ソフトを導入しているか4侵入検知システム(IDS)を導入しているか5インシデント発生時の対応を決めているか6不審なサイトへのアクセス制限をしているか7パスワードポリシーを定めているか人的対策8インシデント発生時の責任者を決めているか9社内でセキュリティ教育を行っているか物理的対策10従業員の入退室管理をしているか11社内に監視カメラなどを設置しているか12災害時のリスク管理を行っているか技術的対策チェックリスト①ファイアウォールを設置しているか悪意ある攻撃をブロックするファイアウォールの導入は対策を行う上での基本中の基本です。パソコンにはもちろん、仕事用のスマホや社内で利用しているサーバーにも設置しているか確認しましょう。②二段階認証を導入しているか特に機密性の高い情報を扱うツールはログイン時に二段階認証を導入しましょう。例えば、自社サイトをWordPressで制作しているならば管理画面に二段階認証を加えるプラグインを入れるとセキュリティを向上させることができます。③セキュリティ対策ソフトを導入しているかマルウェア攻撃を防ぐにはセキュリティ対策ソフトの導入が必須です。支給前にあらかじめ全てのデバイスにインストールしておくとよいでしょう。④侵入検知システム(IDS)を導入しているかIDSとは、不正アクセス等の不審な動きを検知するシステムのこと。セキュリティに異常が見られた場合、すぐに対応できるような監視システムの導入も大切です。⑤インシデント発生時の対応を決めているか不正アクセスなどが発見された場合、または情報漏えいや金銭詐取などの大きな被害が発生した場合などの対応方法はあらかじめ決めておきましょう。どれだけ対策していてもリスクは常につきまといます。万が一の事態が起きたときに被害を抑えられるよう、迅速な対応を行うことを意識してください。⑥不審なサイトへのアクセス制限(フィルタリング)をしているかフィッシング攻撃の被害を防ぐには、不審なサイトにアクセスしないようにするのが重要です。そのための対策として、不審なサイトをフィルタリングするよう設定するのも一つの手です。ただし、フィルタリングの結果見られないサイトが出てきて業務に支障をきたすことがないよう現場の状況は確認しておきましょう。⑦端末持ち出し時のルールを決めているか特にテレワークが許可されている職場では人目のない場所で端末を操作する時間が発生します。故意で情報を盗むような事案を防ぐのはもちろん、過失で生じるインシデントを防ぐためにも端末持ち出し時のルールは特に細かく決めておきましょう。⑧パスワードポリシーを定めているか「大文字小文字を混ぜる」「生年月日は使わない」「同じパスワードを使いまわさない」などのルール(パスワードポリシー)を決めるのも大切です。推測されやすいパスワードは不正ログインの被害に遭う可能性が格段に高まります。十分に注意しましょう。人的対策チェックリスト⑨インシデント発生時の責任者を決めているかサイバー攻撃を受けるなどのインシデントが発生した場合、責任の所在があいまいだと問題の解決が遅れてしまいます。インシデントへの対応を決定する責任者を決めることで組織的な課題が生じないようにしましょう。⑩社内でセキュリティ教育を行っているかデバイスの管理方法や不審なメールの扱い方はもちろん、先述したようにインシデントが発生した場合に生じる損害賠償のリスク等についても共有し、自主的な対策を促すようにしましょう。物理的対策チェックリスト⑪従業員の入退室管理をしているか情報を盗もうとする不審な人物が勤務スペースに入らないようにするという意味でも入退室管理は必須です。「いつ」「誰が」オフィスにいるのか正確に把握できるようなシステムを作りましょう。⑫社内に監視カメラなどを設置しているか同じく侵入者対策として監視カメラを設置することもサイバーセキュリティの一つになります。⑬災害時のリスク管理を行っているか災害時のリスク管理も重要な課題です。機密書類の処理方法や紛失時の補填についてなど、細かくルールを決めておきましょう。4.自社サイトのセキュリティ管理ルールも定める国家公安委員会、総務省、経済産業省にて掲載されている「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」によれば、2022年の1年間に認められた不正アクセス行為の発生は2,200件。警察に直接報告された不正アクセスの認知数なので、検挙されていない数も含めると実際の数字はもっと多いと推察されます。このことからも分かるように、Webサイトの保守もセキュリティ対策の一環として非常に重要です。不正アクセスを検知するツールを用いたり、こまめにバックアップとアップデートの管理を行ったりすることでWebサイトを経由したサイバー攻撃のリスクを低減することができます。5.まとめ社内のセキュリティルールを定める際は、従業員全員が守れるようなシステムづくりを行うことが非常に重要です。また、デバイスや社員の意識づくり以外にもサイトのセキュリティを改善することも対策になるでしょう。自社サイトの保守に不安がある場合は外部サービスを利用するのもおすすめです。

  • 2024.01.24 WEB制作

    脆弱性とは?誰でもできる企業向け対策方法を解説
    Webサイトの運用においてセキュリティの管理は非常に重要です。脆弱性の対策を怠った場合、サイトがサイバー攻撃の被害に遭って大きな損失を生むリスクがあることは広く知られています。しかしその一方でWeb担当者がセキュリティについて知らない状態でサイトを運用しているパターンもあり、現実的なリスク管理ができていないという課題点を抱えている企業も多く存在します。自社サイトの保守に不安があるという方は、この記事で紹介する脆弱性への基本的な知識を頭に入れて簡単なセキュリティ対策ができているかチェックしてみましょう。1.脆弱性とは脆弱性とは、インターネットに接続するデバイスやソフトウェアに生じるセキュリティ上の欠陥のことで、「セキュリティホール」とも呼びます。脆弱性はプログラムの設定ミスなどが原因であることが多く、悪意ある人物によって欠陥を突かれると「サイト改ざん」「情報漏えい」といったサイバー攻撃の被害が発生します。>>>サイバー攻撃の対策についてはこちらから<<<正確な定義ではスマホやパソコンなどのデバイス、OS、アプリなどインターネットに関するありとあらゆるツールに脆弱性のリスクが存在しますが、この記事では主に「Webサイトに潜む脆弱性と対策方法」について解説していきます。2.Webサイトの脆弱性を突かれる原因脆弱性を突いたサイバー攻撃の被害に遭うWebサイトには何らかの原因が潜んでいることがほとんどです。中には特定の個人や企業を狙った「標的型攻撃」というサイバー攻撃もありますが、ここでは不特定多数への攻撃を狙ったサイトへの攻撃を受けやすくなってしまう原因をご紹介します。最新バージョンに更新できていないサイト運営に関わるシステムに何らかの脆弱性が発見された場合、開発元から不具合を修正するバージョンが配信されます。新しいバージョンを使うことで新たに発見された脆弱性の穴をふさぐことができますが、更新を怠るとその穴は残ったままになってしまいます。サイバー攻撃を行う犯罪者は脆弱性が見つかったあとも更新していないサイトやユーザーを標的にするため、どんな理由であれアップデートをせず放置するのは危険です。マルウェアへの対策不足容易に推測できる文字列でIDやパスワードを設定していた場合、システムそのものに問題がなくともセキュリティ上の弱点になりえます。また、サイトの運用に必要なサーバーのセキュリティが十分でない場合もサイバー攻撃の標的となるリスクが高まるため、十分な対策が必要です。プログラムの不具合特にHTMLやCSSを用いて自作したサイトは設計上のミスなどにより完成時点で脆弱性が生じている可能性があります。オリジナルの部分が大きければ大きいほどプログラムの不具合が生じるリスクが高まることに留意しておきましょう。過失によるリスクはもちろん、中には制作サイドの職員が故意に脆弱性を仕掛けていたという内部不正の事例も存在します。WordPressなどのCMSを利用して制作したサイトの場合、完成時にプログラムの不具合が見つかるパターンは稀ですが、プラグインなどの拡張機能を利用するときは十分に注意してください。3.脆弱性対策を怠った時のリスク脆弱性をカバーする対策を行わなかった場合、以下のような被害に遭うリスクが高まります。不正アクセス悪意を持った攻撃者が情報システムの内部などに侵入することを「不正アクセス」と呼びます。不正アクセスを受けた段階で対策を行わずさらに放置すると、後述するような改ざんや情報漏えいなどの被害をもたらします。サイトの改ざんサイト内部をハッキングされると、本来のサイトではなくマルウェアを埋め込むためのサイトに誘導する改ざん被害に遭うことも考えられます。ユーザーや顧客にサイバー攻撃を行う発信源になってしまった場合、サイトだけでなく企業そのものの信頼性に大きく影響を及ぼすでしょう。情報漏えい社内の内部データまで不正アクセスの被害を受けると情報漏えいに発展する場合もあります。社員の個人情報や顧客の住所・クレジット番号の流出などが起きると、最悪の場合巨額の損害賠償に発展するなど考えられる被害はかなり甚大です。4.初心者向け・誰でもできる企業サイトの脆弱性対策社内に情報セキュリティの知識を十分に持った専門家がいるなら問題ありませんが、もしセキュリティ対策ができる社員がいない場合はまず以下のような対策を組んでみましょう。最新情報を収集するJVN(Japan Vulnerability Notes)などの機関がソフトウェアに関する脆弱性の最新情報を日々更新しています。サイト運用に関わる誰かが常に情報をチェックし、自社のサイトに関わる事案がないかどうか確認しておきましょう。社内のセキュリティを見直し社内ネットワークを外部からの不正アクセスから守る「ファイアウォール」など、社内のインターネット環境に関するセキュリティを見直すのも一つの対策です。ID・パスワードの設定確認、使用ツールの共有などを定期的に行い、人為的なミスを可能な限り減らしていくことがセキュリティ対策につながります。定期的にセキュリティ診断を行うセキュリティを維持するには、自分のサイトの状態を把握しておくことがとても大切です。無料もしくは安価で診断したい場合はセキュリティ診断ツールを利用するのがおすすめです。ただしツールによる診断は精度が落ちるため、より専門的且つ詳細な診断を必要としているならばプロによる診断を受けるのがよいでしょう。5.まとめソフトウェアに存在する欠陥である脆弱性を放置した場合、サイト改ざんや情報漏えいといった深刻な被害に遭うリスクが高まります。企業サイトを運用しているのであれば、社内のセキュリティを見直したうえで定期的にセキュリティ診断を行うことを検討してみてください。WordPressなどを用いたサイトのセキュリティ管理に自信がないようでしたら、定期的なセキュリティチェックを含む保守サービスを利用してみるのもおすすめです。当社でも保守サービスを提供しておりますので、興味があればぜひご相談ください。

  • 2024.01.23 WEB制作

    「保護されていない通信」「セキュリティ保護なし」はなぜ表示される?原因・解除方法を分かりやすく解説
    Webサイトのアドレスバーに「保護されていない通信」「セキュリティ保護なし」などの表示が出てきて戸惑った経験はないでしょうか。ブラウザでそのような表示が出てくるサイトは通信の暗号化ができていないため、アクセスには十分な注意が必要です。また、自分のサイトに「保護されていない通信」の警告が出てくる場合は早急に改善するべきでしょう。この記事ではWebサイトセキュリティの初心者向けに、「保護されていない通信」「セキュリティ保護なし」の表示が出てくる理由や解除方法について詳しくご説明します。1.「セキュリティ保護なし」「保護されていない通信」の意味「保護されていない通信」「セキュリティ保護なし」といった警告がアドレスバーに出てきたことはないでしょうか?ブラウザによって若干表記が異なりますが、どれも意味は同じでサイトのURL冒頭が「https」になっていないことが原因です。httpsになっていないサイトは通信が暗号化されていないため、むやみにアクセスすると閲覧履歴などの個人情報を第三者に盗聴されるリスクが生じます。暗号化の仕組みについては「SSL証明書とは?セキュリティにおける必要性や種類を解説」にて詳しく解説しています。「保護されていない通信」警告を解除するために理解しておいた方がいい用語についてこの記事でも少し解説しておくと、データ通信を暗号化することを「SSL化」とも呼びます。サイトを利用するうえでの安全面の判断材料として、2024年現在ではSSL化されていないページにアクセスすると「セキュリティ保護されていない」という旨の警告が表示されるようになっています。2.「保護されていない通信」と表示される詳しい原因と解除方法「保護されていない通信」の表示が出るのはサーバーとWebサイトをつなぐ通信が暗号化されていないのが根本的な原因であることは、ここまでご説明したとおりです。もしご自身のサイトで「セキュリティ保護なし」と表示されるのであれば、詳しい原因が以下のどれに当てはまるかチェックし、解除するための方法を頭に入れておきましょう。原因①SSL証明書を導入していないSSL証明書とは、該当するサーバーが暗号化された安全なものであることを証明するファイルのことです。>>>SSL証明書について詳しくはこちらから<<<CSSを用いてWebサイトを制作した場合、初期設定ではSSL化されていないこともあるので、何もしていない状態でページを作ると「保護されていない通信」という表示が出てきてしまいます。対処法:SSL証明書発行の手続きをするSSL証明書を取得するには、認証局(CA)に申し込みを行う必要があります。企業サイトの場合は年間数万円~数十万円程度で有料の認証を受けることもできますし、比較的小規模な新しいサイトであれば無料の認証を利用してもよいでしょう。レンタルサーバーを利用している場合は無料でSSL化設定ができることも多いので、まずは契約中のサーバーを確かめてみるのがおすすめです。原因②SSL証明書の期限が切れているSSL証明書には有効期限があるため、契約方法によっては期限が来るたびに更新の手続きを行わなければならないことも想定されます。サーバー経由で契約したのであればサーバー側が更新手続きを代行してくれる場合もありますが、認証局と直接契約した場合は更新手続きを行わないと失効してしまう点には注意してください。SSL化されたサイトはアドレスバーから以下のように証明書の有効期限を確かめることができるので、警告が表示されていないサイトも一度チェックしてみるとよいでしょう。対処法:SSL証明書の有効期限を更新する有効期限の更新は認証局か契約中のサーバーから行うことができます。証明書を発行したときの手続きによって異なるので、詳しくはご自分の契約方法を確認してください。ちなみに有効期限の90日前から更新の手続きができるようになるため、あらかじめ時期を把握してできるだけ早めに更新できるよう準備しておくことをおすすめします。原因③SSL化されていないデータを含んでいるWebサイトはさまざまなソースのファイルを読み込んで成り立っています。例えばページ内の画像はサイトに埋め込まれたJPEGやPNGなどの画像ファイルを読み込むことで正しく表示できるようになるといった具合です。SSL証明書を導入しても「セキュリティ保護なし」の警告が消えない場合は、読み込んでいるファイルがSSL化されていない可能性を考えた方がよいでしょう。対処法:SSL化されていないファイルを修正する例えばWordPressで制作したサイトであれば、サイトアドレスのURL設定を「https」にし忘れていたことが原因で、読み込んでいる他のファイルがhttpになってしまうというケースがあります。ただ、ファイルがSSL化されていないせいで表示が消えないのであれば、どれが原因なのか突き止めるのは難しい場合があります。自分で解決できない場合はプロに相談するのも一つの手です。3.「セキュリティ保護なし」の警告に対応するメリット「保護されていない通信」などの表示はサイトがただちに危険にさらされることを示すものではないので、「被害はないからそのままにしておいても大丈夫だろう」と放置してしまうパターンもあります。しかし、SSL化はサイト全体の利益につながる大きなメリットがいくつかあるため、できるだけ早く対処しておくべきだと言えるでしょう。セキュリティ対策になる暗号化されていない通信は、ユーザーの情報が第三者によって盗聴できる状態であることを示します。今は被害を受けていないかもしれませんが、「セキュリティ対策が甘いサイト」として攻撃対象に指定されるリスクが高まるのも確かです。傍受された場合のリスクが高い個人情報を入力フォームはもちろん、その他のページも全て暗号化することが重要です。サイト全体を暗号化することを「常時SSL化」と呼びますが、現在はGoogleなどによってサイトの常時SSL化が推奨されています。SEO対策になるGoogleはSSL化しているかどうかを検索順位の基準に組み込んでいることを公表しています。つまり、SSL化されていないサイトは検索順位が上がりにくくなってしまうということです。検索アルゴリズムから考えてもSSL化は必要ですし、「保護されていない通信」と出てくるサイトに危機感を持って離脱者が増えるリスクもあります。サイトを利用するユーザーを増やすためには常時SSL化が必須であると言えるでしょう。ユーザーからの信頼度向上SSL化はそもそもサイトを利用するユーザーのために設計された技術です。前述したように「保護されていない通信」と表示されるとユーザーが離脱してしまう恐れもありますし、サイトはもちろん企業全体のイメージにも損失を与えます。ユーザーからの信頼を得るためにもSSL化対応をしておくと安心です。4.利用者側から「セキュリティ保護なし」を解除する方法はある?SSL化はサイト制作者・管理サーバーの問題なので、基本的にユーザーから解除設定を行うことはできません。解除しようとするのではなく、サイトの安全性に関わる重要な表示を見過ごさないようにする意識を持つことが重要だと言えます。ただし、暗号化されていないサイトの読み込み前に警告が表示される設定(httpsファーストモード)になっている場合はアドレスバーでの警告のみになるよう解除することは可能です。Chromeなら設定→「プライバシーとセキュリティ」→「常に安全な接続を使用する」から設定を変更できます。5.まとめ「セキュリティ保護なし」などの表示が出てくるサイトは通信が暗号化(SSL化)されていないため、利用者であればなるべく早くサイトを離脱した方が安全です。自分のサイトに警告が表示されている場合は原因を確かめ、なるべく早く解消することが大切です。当社が提供しているサービスでは、プロのエンジニアがWordPressで制作したサイトを保守します。サイト内部のセキュリティ対策はもちろん、オプションでサーバーの保守管理も代行することが可能です。「サイトのセキュリティ対策と一緒にサーバーの管理も任せたい」という方は、ぜひ一度お問い合わせください。>>>サイトの無料セキュリティ診断はこちらから<<<