企業が行うべきWebサイトのセキュリティ対策とは?

 2021.09.09  カスタマーデータ活用ポータル編集部

現代社会で事業を営む企業にとって、Webサイトは欠かせない存在となりました。しかし、デジタル化が進んだことにより、企業のWebサイトを狙うサイバー攻撃が増加しているという事実もあります。本記事では、多様化するサイバー攻撃の種類と企業が行うべきセキュリティ対策について解説します。

多様化するサイバー攻撃

スマートフォンやタブレット端末が普及し、今やWebサイトは企業やユーザーにとって欠かせないものとなりました。現在では多くの企業がWebサイトを開設し、自社の情報を発信したり、商品・サービスを販売したりしています。

その一方で脅威となっているのが、Webサイトの脆弱性を狙ったサイバー攻撃です。近年のサイバー攻撃は多様化しており、手口もどんどん巧妙化しているため、しっかりと理解しておく必要があります。

大企業がサイバー攻撃のターゲットになりやすいといわれていますが、近年ではその取引先である中小企業が狙われるケースも多いため注意が必要です。

顧客との価値ある信頼関係を築くためのソリューション
「顧客中心主義eコマース」のポイントとは?

サイバー攻撃の種類

ひと口にサイバー攻撃といっても、さまざまな手口が存在します。ここでは、企業が被害に遭いやすい代表的なサイバー攻撃をいくつか紹介します。それぞれの特徴と、被害に遭うとどのようなことが起こるのか、しっかりと把握しておきましょう。

SQLインジェクション

SQLとは、Structured Query Languageの略です。データベースに格納されたデータを効率よく操作するために用いられるデータベース言語で、さまざまなWebアプリケーションに使用されています。

セキュリティの脆弱性を狙うSQLインジェクションの攻撃を受けると、データベースにある非公開の情報が勝手に改ざんされたり、大切な情報を消去されたりといった被害を受けます。深刻なケースでは、サーバーを乗っ取られてしまうなど、深刻な事態にもつながりかねません。

Webサイトのデータベースには、ユーザーのIDやクレジットカード情報などの重要なデータも含まれています。第三者からの悪質なアクセスにより、個人情報を引き出すような指令がデータベースに注入されてしまえば、大切な個人情報が流出し、悪用されるおそれもあるでしょう。

また、不正な侵入でWebサイトを改ざんし、訪れたユーザーをウィルス感染に落とし込むといった手口もあります。さまざまな攻撃とそれに伴うリスクを想定したうえで、セキュリティ対策に取り組むことが大切です。

XSS(クロスサイトスクリプティング)

XSSは、Webサイトに簡単なプログラムを仕掛けるサイバー攻撃の一種です。Webサイトの脆弱性を狙うといった点ではSQLインジェクションと似ています。XSSの脅威は、Webサイトを運営する企業だけでなく、エンドユーザーにまで被害が及ぶ点です。

XSSの攻撃者は、セキュリティ対策が十分になされていない企業サイトを見つけると、その企業に興味のあるユーザーが利用する掲示板やSNSなどにスクリプト付きのリンクを仕掛けます。遷移先の偽サイトに訪れたユーザーは、スクリプトの効果により偽サイトだと気づきません。

もしそのままユーザーが個人情報などを入力してしまえば、容易に個人情報は奪われてしまいます。このような被害が発生すると、企業としての信頼を大きく失墜させる恐れがあるのです。

DoS攻撃

DoS攻撃とは、Denial of Service attackの略で、古くから存在するサイバー攻撃の一種です。サーバーが処理しきれない大量の情報を送りつけて負荷をかけ、ページを表示できなくする手法です。サイトが表示できなくなれば、ユーザーが困るのはもちろん、企業の不利益にもつながってしまいます。

最近では、DoS攻撃が進化してDDoS攻撃と呼ばれるサイバー攻撃も登場しています。DoS攻撃が1台のパソコンから攻撃してくるのに対して、DDoS攻撃は複数のパソコンから一斉に攻撃を仕掛け、サーバーにより過剰な負荷を掛けるのです。

DDoS攻撃は、システムに不正侵入してコンピューターの乗っ取りやデータの書き換えを行います。マルウェアに感染していることに気付かず自社が踏み台にされ、攻撃に参加していたというケースもあるなどとても悪質なため、厳重な注意が必要です。

企業が行うべきWebサイトのセキュリティ対策

どのような企業でも、サイバー攻撃の被害に遭う可能性は十分にあります。今後も、手口は巧妙化の一途をたどると考えられるため、被害を回避するための十分な備えが必要です。

企業がWebサイトのセキュリティ対策をするにあたり、重視したいのが「ネットワーク」「サーバー」「アプリケーション」「運用」といった4つの観点です。どれか1つのセキュリティが完璧であったとしても、その他で脆弱性のある部分が見つかってしまえば、攻撃されるおそれがあります。

  • ネットワーク
    攻撃のほとんどがネットワークを介して行われます。ネットワークの具体的なセキュリティ対策として、ルーターのセキュリティ設定の見直しやファイアウォール・WAFを活用して、攻撃によるリスクを低減させるのが有効です。
  • サーバー
    セキュリティの脆弱性は、管理画面に容易にアクセスされてしまうリスクを生み出します。このような不正アクセスからサーバーを守るためには、ファイアウォールだけでなく、通信そのものを監視して不審なIPからのアクセスをシャットアウトする必要があります。
  • アプリケーション
    XSSの攻撃対象になりやすいのが、フロントエンドにあたるアプリケーションです。脆弱性を作らない設計はもちろん、ログを保管しておけば何が原因でどのような被害を受けたのかを素早く把握でき、セキュリティ対策を講じられます。アプリケーションの脆弱性対策として、バージョンアップの実施も有効です。
  • 運用
    どれだけシステムを厳重に管理しても、運用のルールが定まっていなければ思わぬトラブルを起こしかねません。複数人でIDを共有しないなど、管理権限の制限を徹底しましょう。また、不要なアカウント・パスワードの放置は、セキュリティーホールにつながる危険があるため、そのままにせず削除する必要があります。

企業が導入したいセキュリティ対策ツール

最近では、セキュリティを強化に役立つさまざまな対策ツールがリリースされています。ここでは、企業の導入に適したセキュリティ対策ツールをピックアップしました。

脆弱性診断

「ファイアウォール」や「侵入検知システム(IPS)」などのネットワークデバイスやアプリケーション層の脆弱性を診断するサービスです。

ファイアウォールとは、不審な侵入をブロックするツールです。防火壁の意味を持ち、攻撃者の侵入を阻む役割を担います。悪意ある攻撃者が、ネットワークやシステムの脆弱性をついて侵入しようとした際、ファイアウォールがそれを検知して攻撃を阻止してくれます。

侵入検知システム(IPS)は、不正な通信の検知やアクセスの拒否、通信の遮断などを実行するツールです。リアルタイムで通信をチェックし、ハッキングなどの異常を検知した際に管理者へ通知するだけでなく、自動的に通信をブロックしてくれます。

ファイアウォールとIPSを一緒に利用すれば、より高度なネットワークセキュリティが実現するので、併せて検討してみてください。

WAF(Web Application Firewall)

WAFは、Webアプリケーションに特化したファイアウォールです。ネットワークセキュリティを強化しても、アプリケーションに脆弱性が残っていれば、悪意ある攻撃者の侵入を許してしまうおそれがあります。それを回避するために有用なのがWAFです。

不正なアクセスを検知すると、データの送受信をストップして情報の流出を未然に防ぎます。設定に基づいてアクセスが通常なのか不正なのかを判断したうえで、必要に応じた処置を実施するという点がIPSと大きく異なります。

ECサイトや個人情報を扱う会員制サイトなどを運用している企業であれば、WAFの導入は必須です。個人情報の取り扱いに対して厳しい目が向けられる時代だからこそ、徹底した対策が求められています。

GDPR(EU一般データ保護規則)対策も必要に

GDPRとは、2018年に施行された個人情報取り扱いに関する規則です。EU域内に在住する市民の、個人情報を適正に取り扱うと同時に、データ保護に関する施策の確実な実行を定めたルールです。

EU域内に施行された規則とあって、日本での認知度はまだ高くはありません。しかし、日本企業にまったく関係がないかといえば、そうでもないのです。なぜならば、EUに営業所や支社を展開している企業や、EU圏内を対象に商品やサービスを販売しているといった企業は、GDPR対策が必須となるからです。

過去には、GoogleやFacebookといった世界的な大企業が罰則を適用された事例もあります。EUを商圏としている場合や、これからグローバル展開を視野に入れている日本の製造業においてもGDPR対策は避けて通れないのです。

「SAP Enterprise Consent and Preference Management」で顧客の信頼を獲得

SAP Enterprise Consent and Preference Managementは、顧客情報の透明性と管理機能を提供するプラットフォームです。顧客の同意やプリファレンスデータを一元管理でき、顧客や監査からのリクエストに対して柔軟な対応を可能にします。

さまざまな地域における、データプライバシー法のコンプライアンス管理に対応可能な機能を備えていることが特徴です。既出のGDPRをはじめ、2020年1月より適用開始となったCCPA(カリフォルニア州消費者プライバシー法)、2021年5月に施行されたLGPD(ブラジルにおける個人情報保護法)にも対応しています。

グローバル展開を視野に入れて活動している企業や、すでに海外進出を果たしている企業ならば、ぜひ導入を検討してみてはいかがでしょうか。

まとめ

企業のWebサイトを狙ったサイバー攻撃は、年々多様化かつ巧妙化してきています。SQLインジェクション・XSS・DoS攻撃などの悪意ある攻撃に対し、企業は適切な対策を講じなくてはなりません。

セキュリティ対策を怠ると、自社はもちろん、顧客や取引先にも多大な迷惑をかけてしまうおそれがあります。機密情報や個人情報の流出などが起きると、事業活動が継続の危機に陥るリスクも考えられます。

適切なセキュリティ対策で、自社サイトをあらゆるサイバー攻撃の脅威から守りましょう。


RECENT POST「セキュリティー」の最新記事


セキュリティー

GDPR対応と改正個人情報保護法について

セキュリティー

SMSログインとは?その効果と注意点

セキュリティー

二要素認証で注意すべきポイント

セキュリティー

B2B向けWebサイトリニューアル時に注意すべきポイント

企業が行うべきWebサイトのセキュリティ対策とは?