資料請求

ウェブサイトのセキュリティを強化したい

インターネット上のサーバーは、悪意ある第三者から攻撃される脅威に常にさらされています。
ウェブアプリケーションなどの脆弱性を悪用した攻撃により、大手企業のウェブサイト改ざん事件がたびたび報道されていますが、ウェブサイトを狙った攻撃は大手企業のウェブサイトだけが対象ではありません。WWW (World Wide Web) に公開した全てのウェブサイトがセキュリティについて考える必要があります。

インシデントカテゴリ 1 月 2 月 3 月 合計 前四半期
合計
フィッシングサイト 225 106 135 466 406
ウェブサイト改ざん 247 256 289 792 781
マルウエアサイト 74 84 102 260 312
スキャン 1252 885 843 2980 3592
DoS/DDoS 23 1 8 32 14
制御システム関連 0 4 1 5 3
その他 306 359 285 950 498

出展:JPCERT/CC インシデント報告対応レポート [2015 年 1 月 1 日〜2015 年 3 月 31 日]
https://www.jpcert.or.jp/ir/report.html

ウェブサイトの改ざんにより、会社のブランド力低下や、賠償請求などの莫大な損失が発生する前に、事前にセキュリティ対策をおこなうことが昨今求められています。

ウェブサイト改ざんによる被害とは

攻撃者から標的となるウェブサイトは、「CMS(コンテンツマネジメントシステム)」、「コメントなどの掲示板」、「EC サイトのショッピングカート」、「お問い合わせフォーム」など、ユーザーの行動に合わせて変化する動的コンテンツが設置されたサイトです。

改ざんには、落書きや嫌がらせメッセージを表示する「見える改ざん」と、コンピュータウイルスの配布や、フィッシングサイトへ誘導する目的で、見た目が変化しない「見えない改ざん」の二種類があります。

「見えない改ざん」を放置すると、悪意あるプログラムが訪問者に対して何らかの攻撃をおこないます。運営者は、第三者によって悪意あるプログラムを設置されたとしても放置することで、被害者ではなく「加害者」となってしまいます。

ウェブサイトのセキュリティは何に注意しておくべきか

当社ではホスティングサービスの責任範囲として、「データセンター」から「ミドルウェア」までを管理し、適宜セキュリティアップデート作業を実施しています。お客さまが運用されるコンテンツに関しては、お客さまの責任範囲となりますため、セキュリティを意識した開発運用をおこなう必要がございます。

仮にウェブサイトの運用を外部に委託している場合は、ウェブアプリケーションの管理、脆弱性のアップデートの対応をどちらがおこなうのか管理責任を明確にしてください。

特にオープンソース CMS を使用している場合は、定期的にセキュリティアップデートをおこない、最新の状態に保つ必要があります。このアップデートを放置することで知らぬ間に被害にあっているケースが多発しています。

ウェブサイトのセキュリティ課題

ウェブサイトの改ざん被害が急増しているなか、安全性を脅かす不正アクセスや、情報漏洩などのリスク対策は避けては通れない課題となっています。

解決したい問題

  • ウェブサイト改ざんからどのように守っていけばいいかわからない。
  • 専任の担当者がいないため、セキュリティ対策ができない。
  • 自社サイトが改ざんされたことに気がつくことができない。
安全なウェブサイトを運営するために、CPI ではさまざまなオプションサービスをご用意しております。CPI のオプションサービスを利用することで、リスク管理の手間を極力少なくし、安全なサイト運営が可能です。

管理も手間いらずの CPI セキュリティ対策オプション

「ファイアウォールや IDS/ADS、WAF(Webアプリケーションファイアウォール)」の導入で、脆弱性を狙った攻撃の侵入経路を防ぎます。万が一ウェブサイトが改ざんされた場合は「Web改ざん検知」オプションにより、改ざんを検出できます。 CPI では「侵入経路を防ぐ」、「監視する」、「バックアップ」のオプションサービスをご用意しています。これらのオプションサービスを組み合わせることで、ウェブサイトの安全性を高めた環境を準備できます。

SSL サーバー証明書
個人情報の流出やフィッシング詐欺などの被害を未然に防ぐ SSL(Secure Socket Layer)暗号化通信をご利用いただけます。データ通信を暗号化することで、データ流出時の二次被害や改ざんを未然に防ぐことができます。マネージド専用サーバー マネージドプラン CHM-Z シリーズなら CPI SSL サーバー証明書(1 ドメイン)が無償で提供されます。
  • 対象プラン
  • シェアードプラン
  • マネージドプラン
マルウェア診断/Web改ざん検知
近年相次ぐウェブサイト改ざんを検知するサービスです。SQL インジェクションやガンブラーの感染などに起因する、ウェブサイト改ざんの有無を解析してアラートメールで通知するとともに、自動的にページの切り替えがおこなえます。マネージド専用サーバー マネージドプラン CHM-Z シリーズなら Web改ざん検知が 100 ページまで無償で提供されます。
  • 対象プラン
  • シェアードプラン
  • マネージドプラン
WAF(Webアプリケーションファイアウォール)
データベースと連携したウェブアプリケーションの多くは、利用者からの入力情報を基に SQL 文(データベースへの命令文)を組み立てています。ここで、SQL 文の組み立て方法に問題がある場合、攻撃によってデータベースの不正利用をまねく可能性があります。このような問題を「SQL インジェクションの脆弱性」と呼び、問題を悪用した攻撃「SQL インジェクション攻撃」を WAF(Webアプリケーションファイアウォール) にて防御します。WAF(Webアプリケーションファイアウォール)は、ウェブサイト改ざんやデータベース情報不正入手などのウェブアプリケーションの脆弱性を狙うサイバー攻撃を防御します。
  • 対象プラン
  • シェアードプラン
  • マネージドプラン
専用ファイアウォール
サーバーの各ポート(FTP や HTTP、SMTP など)へ接続する IP アドレスを制限できます。また、お客さまにてポートの開閉も可能です。不要なポートを閉じたり、FTP、SSH などの管理用ポートのアクセスを制限することで、サーバーのセキュリティレベルを向上させることができます。1 ユーザーで占有する専用型のファイアウォールをオプションとして提供しています。グローバル IP アドレスごとにポリシーの設定が可能となり、データやプログラムの盗み見 / 改ざんなどを未然に防ぐことができます。
  • 対象プラン
  • マネージドプラン
不正侵入検知(IDS/ADS)
ポートスキャンは直接の攻撃ではないですが、脆弱性を露呈し、その脆弱性にたいして攻撃を仕掛けられる可能性があります。これらに対しファイアウォールや不正侵入検知 (IDS/ADS) を利用することで、不正アクセスを自動的にブロックし安全なサーバ環境の利用ができるようになります。ファイアウォールを通過する前のパケットに対して不正アクセスを検知、ADS(自動防御システム)が IDS で検知した不正アクセス・攻撃をファイアウォールと連動し自動的に遮断することができます。
  • 専用ファイアウォールの申し込みが必要です。
  • 対象プラン
  • マネージドプラン
  スキャン ウェブサイト
改ざん
フィッシング
サイト
マルウエア
サイト
Dos 攻撃
専用ファイアウォール × × × ×
不正侵入検知(IDS/ADS)
WAF
(Webアプリケーションファイアウォール)
× ×
Web改ざん検知 × 検知 検知 検知 ×

プラン選定について

「共有型レンタルサーバー シェアードプラン」は一定のセキュリティを確保しながら、一台のサーバーを複数のお客さまでご利用いただく「共有型」のサーバープランのため、低コストでウェブサイト運営をお考えのお客さまに最適なプランです。定期的にウェブサイトの改ざんをチェック可能な「マルウェア診断」オプションを活用いただくことで、改ざんが確認された場合は、メンテナンス中画面に自動的に切り替え、ユーザーへの感染を防ぐほか、「SmartRelease」にて定期バックアップされたデータから復旧できます。

ただし、コストパフォーマンスが高いシェアードプランは他のお客さまの稼働状況の影響を受ける可能性があるため、お客さまのセキュリティポリシーに沿った運用ができない場合がございます。

「マネージド専用サーバ− マネージドプラン」はサーバーリソースを占有できるので他のお客さまの影響を受けません。また、様々なセキュリティオプションをご活用いただくことで、お客さまの情報セキュリティ基準およびポリシーに準拠したサーバー環境をご提供いたします。

CPI ではお客さまのビジネスシーンに応じて、セキュリティまで十分に気を配ったサーバー選定のお手伝いをいたします。プラン選定でお困りの際は、ぜひ気軽にお問い合わせください。

サーバーが原因による機会損失について、ウェブマーケッター松尾によるウェブサイトへの集客コラム「知らないと損をするサーバーの話」で詳しく解説しています。

ページトップに戻る

CPI

copyright KDDI Web Communications inc. All Rights Reserved.