企業のウェブサイトは、事業内容や実績、取扱商品などを取引先・顧客に示すために必要不可欠なコンテンツです。
ただ、ウェブサイトは高いセキュリティレベルで運用しなければ、ウイルス感染や改ざんの標的となってしまいます。
ここからは、企業のウェブサイトの安全性をアップさせる取り組みについて解説します。
ウェブサーバにおける取り組みについて
ウェブサイトの安全性をアップさせるには、まずウェブサーバにおける情報セキュリティ対策を徹底しましょう。
具体的には、以下のような取り組みです。
・OS、ソフトウェアの脆弱性情報を継続的にチェックし、脆弱性対策を取る
・ウェブサーバをリモート操作する際の認証方法として、パスワード認証以外の方法を検討する
・パスワードには複雑な文字列を設定する
・ウェブサイト運営に必要ないサービスはウェブサーバ上から削除する
・ウェブ公開用のディレクトリに公開する予定のないファイルを保管しない
DNSにおける取り組みについて
DNS(ドメイン・ネーム・システム)とは、ネット上でドメイン名を管理・運用するためのシステムをいいます。
これにより、ドメイン名を指定するだけで、該当するウェブサイトへのアクセス、メールの送受信が可能になります。
ただ、DNSにトラブルが発生すると、ウェブサイトまたはメール等のネットを利用するサービスすべてに影響が出てしまうため、企業は以下の取り組みを実施しましょう。
・ドメイン名およびそのDNSサーバの登録状況を調査し、必要に応じて対処する
・DNSソフトウェアを更新する、設定を見直す
ネット盗聴に対する取り組みについて
企業のウェブサイトと利用者の間で交わされる情報は、ネット盗聴によって不正に取得される可能性があります。
また、ネット盗聴は、ウェブサイトと利用者との経路上で行われる不正行為であるため、これをウェブサイト側の設定、運用で防止することは非常に難しいです。
しかし、以下の対策を取れば、ネット盗聴があった場合の企業側のダメージは軽減されます。
・通信経路を暗号化する(重要情報を扱うページの場合)
・利用者に通知する重要情報は、メールではなく暗号化されたHTTPSのページに記載する
・ウェブサイト運営者がメールで受け取る重要情報を暗号化する
フィッシング詐欺に対する取り組みについて
攻撃者が偽のウェブサイトを作成し、そこに利用者を誘導して、認証情報やクレジットカード情報などを窃取する詐欺行為が“フィッシング詐欺”です。
また、ウェブサイト利用者をフィッシング詐欺から守るためには、“本物のウェブサイト”ということがわかるよう、企業が工夫しなければいけません。
そのために必要な取り組みは以下の通りです。
・EV SSL認証書を取得し、サイトの運営者が誰かを証明する
・フレームを利用する場合、子フレームのURLを外部パラメータから生成しないように実装する
・利用者がログイン後に移動するページをリダイレクト機能で動的に実装しているウェブサイトについて、リダイレクト先のURLとして使用するパラメータの値には、自サイトのドメインのみを許可するようにする
パスワードにおける取り組みについて
ウェブサイトにおける利用者の認証は、基本的にユーザーIDとパスワードで行われます。
ただ、パスワードの運用またはウェブサイト上のパスワードの取り扱い方法に問題がある場合、その個人情報を窃取される可能性があります。
そのため、企業は以下のような対策を取りましょう。
・初期パスワードは推測しにくい文字列にして発行する
・パスワード変更時には、現在のパスワードの入力を求める
・入力後の応答メッセージが認証情報のヒントにならないように工夫する
・入力画面では、パスワードは伏せ字に表示されるようにする
・パスワードをサーバ内で保管する際は、ソルト付きハッシュ値の形で保管する
WAFによるウェブアプリケーションの保護について
ウェブアプリケーションの安全性をアップさせるには、脆弱性を作り込まず、なおかつ発見された脆弱性をいち早く修正する必要があります。
また、ウェブアプリケーションの保護に“WAF”を利用すれば、以下のような効果が期待できます。
・脆弱性を悪用した攻撃からウェブアプリケーションを守る
・脆弱性を悪用した攻撃を検出する
・複数のウェブアプリケーションへの攻撃をまとめて制御する
携帯用ウェブサイトにおける対策について
企業が携帯用ウェブサイトを作成する際は、機能の制限から、パソコン用とはまた違ったサイト設計をしなければいけないことがあります。
また、古い携帯用ウェブ独自のノウハウを適用しないことや、クロスサイト・スクリプティング対策を取ることも意識しなければいけません。
まとめ
ここまで、企業のウェブサイトの安全性をアップさせる取り組みを一挙に解説してきましたが、いかがでしたか?
行うべき取り組みの多さから、少し各項目の解説が駆け足にはなってしまいましたが、ウェブサイト作りに苦戦している企業はぜひ参考にしていただきたいと思います。
ウェブサイトの安全性アップは、企業の安全性だけでなく、利用者や取引先の安全性アップにも繋がります。