Webサイトのセキュリティリスクと対策を考える
公開日:2019年12月13日
Webサイトを運営していると、様々なセキュリティリスクに直面します。今回は、考えられるリスクと対策をまとめました。
考えれるサイトのセキュリティリスク
ページ改竄
PHPなどの動的なサイトを運営しているとよくあるのがページ改竄です。プログラムのバグを使ってサイトの内容を改竄することで、リンク先をスパムサイトに変更されたり、Adsense広告を他人のものに変更されたりすることがあります。
ページ改竄は、
- スパムサイト化される
- スパマーに収益を奪われる
- 会員データなどを盗まれる
という大きなリスクがあります。
データ流出
サイトやサーバーに何かのバグがあり、データをコピーされてしまう被害です。ニュースで「XX件の個人情報が流出」というのはこれに当たります。
個人情報が流出するとユーザーに迷惑をかけるだけでなく、サイトの信頼を損ない、補償が必要になると金銭的な被害も出てきます。また、個人情報を扱っていないサイトでも、サイトのコンテンツデータなど貴重なデータが流出したり、盗まれたりするのは大きな被害になります。
サイトコピー
現在は少なくなっていますが、他人のページを全てコピーして別のドメインであたかも自分のサイトのように公開する「サイトコピー」というリスクもあります。
サイトコピーがされると以下のような被害が出ます。
- Googleがコピーサイトの方を上位表示する
- 自分のサイトが「コピー」とされて検索から除外される
Webサイトを閲覧する=サイトコピーは可能なので、完全に防ぐことは難しいですが、対策は講じておくべきです。
データ破壊
ベータベースに接続しているWebサイトの場合は、プログラムに穴があると、接続しているデータベースにアクセスできることがあります。
データベースへのアクセス権限が適切でないと、データベースを破壊されたり、破損されたりすることがあります。root権限など無制限の権限だった場合は壊滅的です。
サイトにとってデータは財産なので、大きな被害になります。
サーバー乗っ取り
これが一番危険で、サーバーを乗っ取りをされたら、何でもされ放題です。上にあげた「ページ改竄」「サイトコピー」「データ破壊」も全てできますし、クラウドサーバーのセキュリティキーなどをサーバーに保存していた場合は、アカウント悪用される可能性もあります。
世の中には、クラウドサーバーのキーを探し回るボットなんかもあって、そのキーを使って仮想通貨のマイニング(高性能サーバーが必要)に使われて高額請求されたというケースもあります。
セキュリティリスクをどう回避するか?
プログラムのバグをなくす
サイト改竄などの多くの原因は、サーバー側ではなくプログラム側にあることが多く、要は「自分のせい」というのがほとんどです。
自分で書いたプログラムの場合は、自分よりも知識のある人間か専門家に一度チェックをしてもらうのも良いでしょう。WordPressなどのオープンソースを使っている場合は、公式サイトをチェックして常に最新版を使うことが大事です。
サーバーの状態(ログ)を監視する
スパマーはスパム行為をするために何回も攻撃をトライすることが多く、サーバーのログをしっかりと監視していればレベルの低いスパムは見つけることができます。
その意味で、まずは「不正なアクセスをしっかりと監視」することが大事です。不正なアクセスがあった場合は、サイト管理者にメールを送信するようにして、スパマーはIPアドレスレベルでアクセス拒否するなど対応をしましょう。
もっと言えば、「一定回数以上同じIPからのアクセスを制限する」など、サーバー側にしっかりとセキュリティ対策をしておくと良いでしょう。
セキュリティの最新情報をチェックする
スパマーは、常に新しい方法でサイトを攻撃してきます。なので、「一回対策したからもう大丈夫」というのは、Webサイトにはありません。
ApacheやPHPなど、プログラム自体にセキュリティホールがある場合もあるため、常にセキュリティに関する情報をチェックしましょう。
日本語サイトではIPA 独立行政法人 情報処理推進機構のサイトに最新の情報が掲載されるのでチェックすると良いでしょう。
セキュリティの高いサーバーをレンタルする
自分で対策ができないという場合は、高性能なセキュリティ機能を搭載しているサーバーを借りるというのもてです。
海外Webアクセス制限機能は大抵のレンタルサーバーにも搭載されていますが、セキュリティ機能を搭載した大手サーバーの場合、
- Webサイトの脆弱性診断
- マルウェア対策ツール
- Webセキュリティ診断
などの追加機能も搭載されているものがありますし、SECOMなどのセキュリティ会社が提供するソフトを搭載するサーバーもあります。
完全に防げるわけではありませんが、特別何もしなくてもセキュリティを高められるという意味では検討しても良いでしょう。
Webサイトのセキュリティリスクと対策について簡単に見てきました。Webセキュリティについては専門家がいるほどのジャンルなので、1記事で全てを語るのは難しいですが、何となくのイメージは掴めたでしょうか?
筆者自身も、「サイトコピー」の経験があります。月間かなりの収益をあげていたサイトが全体コピーされて、自身のサイトがGoogleからコピーサイト扱いを受け、アクセスが半減したという辛い思い出です。
セキュリティ被害を受けないためにも、しっかりセキュリティリスクを認識して、被害が出る前に対策をしておきましょう。