目的別でプランを選ぶWebサイトのセキュリティを強化したい

インターネット上のサーバーは、悪意ある第三者から攻撃される脅威に常にさらされています。
Webアプリケーションなどの脆弱性を悪用した攻撃により、大手企業のWebサイト改ざん事件がたびたび報道されていますが、Webサイトを狙った攻撃は大手企業のWebサイトだけが対象ではありません。WWW (World Wide Web) に公開した全てのWebサイトがセキュリティについて考える必要があります。

インシデントカテゴリ 7月 8月 9月 合計 前四半期
合計
フィッシングサイト 2,480 2,473 2,567 7,520 8,088
Webサイト改ざん 140 192 363 695 557
マルウェアサイト 75 51 73 199 199
スキャン 859 551 507 1,917 3,615
DoS/DDoS 1 0 7 8 7
制御システム関連 0 0 0 0 0
標的型攻撃 0 2 0 2 2
その他 140 87 88 315 255

引用元: JPCERTコーディネーションセンター「JPCERT/CC インシデント報告対応レポート[2022年7月1日~2022年9月30日]」
https://www.jpcert.or.jp/ir/report.html

Webサイトの改ざんにより、会社のブランド力低下や、賠償請求などの莫大な損失が発生する前に、事前にセキュリティ対策をおこなうことが昨今求められています。

Webサイト改ざんによる被害とは

攻撃者から標的となるWebサイトは、「CMS(コンテンツマネジメントシステム)」、「コメントなどの掲示板」、「ECサイトのショッピングカート」、「お問い合わせフォーム」など、ユーザーの行動に合わせて変化する動的コンテンツが設置されたサイトです。

改ざんには、落書きや嫌がらせメッセージを表示する「見える改ざん」と、コンピュータウイルスの配布や、フィッシングサイトへ誘導する目的で、見た目が変化しない「見えない改ざん」の二種類があります。

見えない改ざん 問題点 Webアプリケーションの運用責任者・専門技術者の不在 画面上で気づかないため、詳細なチェックを怠っていた ご利用中のWebアプリケーション 攻撃者はプログラムの脆弱性から、悪意あるプログラムを設置する お客さまのサイト 見た目は何も変わらないので改ざんに気づかない サイト訪問者 個人情報が流出したり、フィッシングサイトに飛ばされる等の被害を受ける

「見えない改ざん」を放置すると、悪意あるプログラムが訪問者に対して何らかの攻撃をおこないます。運営者は、第三者によって悪意あるプログラムを設置されたとしても放置することで、被害者ではなく「加害者」となってしまいます。

Webサイトのセキュリティは何に注意しておくべきか

当社ではホスティングサービスの責任範囲として、「データセンター」から「ミドルウェア」までを管理し、適宜セキュリティアップデート作業を実施しています。お客さまが運用されるコンテンツに関しては、お客さまの責任範囲となりますため、セキュリティを意識した開発運用をおこなう必要がございます。

仮にWebサイトの運用を外部に委託している場合は、Webアプリケーションの管理、脆弱性のアップデートをどちらが対応するのか、管理責任を明確にしてください。

お客さまが運用 コンテンツ プログラム CMS CPIが運用 ミドルウェア OS ハードウェア ネットワーク データセンター

特にオープンソースCMSを使用している場合は、定期的にセキュリティアップデートをおこない、最新の状態に保つ必要があります。このアップデートを放置することで知らぬ間に被害にあっているケースが多発しています。

Webサイトのセキュリティ課題

Webサイトの改ざん被害が急増しているなか、安全性を脅かす不正アクセスや、情報漏洩などのリスク対策は避けては通れない課題となっています。

解決したい問題

Webサイト改ざんからどのように守っていけばいいかわからない。

専任の担当者がいないため、セキュリティ対策ができない。

自社サイトが改ざんされたことに気がつくことができない。

安全なWebサイトを運営するために、CPIではさまざまなオプションサービスをご用意しております。CPIのオプションサービスを利用することで、リスク管理の手間を極力少なくし、安全なサイト運営が可能です。

管理も手間いらずのCPIセキュリティ対策オプション

「ファイアウォール」や「不正侵入検知(IDS/ADS)」、「WAF(Webアプリケーションファイアウォール)」の導入で、脆弱性を狙った攻撃の侵入経路を防ぎます。万が一Webサイトが改ざんされた場合は「Web改ざん検知」オプションにより、改ざんを検出できます。CPIでは「侵入経路を防ぐ」、「監視する」、「バックアップ」のオプションサービスをご用意しています。これらのオプションサービスを組み合わせることで、Webサイトの安全性を高めた環境を準備できます。

図:CPIセキュリティ対策オプション

SSLサーバー証明書

個人情報の流出やフィッシング詐欺などの被害を未然に防ぐSSL (Secure Socket Layer) 暗号化通信をご利用いただけます。データ通信を暗号化することで、データ流出時の二次被害や改ざんを未然に防ぐことができます。CPI SSLサーバ一証明書であれば、共用レンタルサーバー「ビジネス スタンダード」においては全ドメイン、マネージド専用サーバー「CHM-Z」シリーズなら1ドメイン分が無料で提供されます。

対象プラン:共用レンタルサーバーマネージド専用サーバー

マルウェア診断/Web改ざん検知

近年相次ぐWebサイト改ざんを検知するサービスです。SQLインジェクションやガンブラーの感染などに起因する、Webサイト改ざんの有無を解析してアラートメールで通知するとともに、自動的にページの切り替えがおこなえます。マネージド専用サーバーならWeb改ざん検知が100ページまで無償で提供されます。

対象プラン:共用レンタルサーバーマネージド専用サーバー

WAF(Webアプリケーションファイアウォール)

データベースと連携したWebアプリケーションの多くは、利用者からの入力情報を基にSQL文(データベースへの命令文)を組み立てています。ここで、SQL文の組み立て方法に問題がある場合、攻撃によってデータベースの不正利用をまねく可能性があります。このような問題を「SQLインジェクションの脆弱性」と呼び、問題を悪用した攻撃「SQLインジェクション攻撃」をWAF(Webアプリケーションファイアウォール)にて防御します。WAF(Webアプリケーションファイアウォール)は、Webサイト改ざんやデータベース情報不正入手などのWebアプリケーションの脆弱性を狙うサイバー攻撃を防御します。

対象プラン:共用レンタルサーバーマネージド専用サーバー

専用ファイアウォール

サーバーの各ポート(FTPやHTTP、SMTPなど)へ接続するIPアドレスを制限できます。また、お客さまにてポートの開閉も可能です。不要なポートを閉じたり、FTP、SSHなどの管理用ポートのアクセスを制限することで、サーバーのセキュリティレベルを向上させることができます。1ユーザーで占有する専用型のファイアウォールをオプションとして提供しています。グローバルIPアドレスごとにポリシーの設定が可能となり、データやプログラムの盗み見 / 改ざんなどを未然に防ぐことができます。

対象プラン:マネージド専用サーバー

不正侵入検知(IDS/ADS)

ポートスキャンは直接の攻撃ではないですが、脆弱性を露呈し、その脆弱性にたいして攻撃を仕掛けられる可能性があります。これらに対しファイアウォールや不正侵入検知(IDS/ADS)を利用することで、不正アクセスを自動的にブロックし安全なサーバ環境の利用ができるようになります。ファイアウォールを通過する前のパケットに対して不正アクセスを検知、ADS(自動防御システム)がIDSで検知した不正アクセス・攻撃をファイアウォールと連動し自動的に遮断することができます。

  • 専用ファイアウォールの申し込みが必要です。
対象プラン:マネージド専用サーバー
スキャン Webサイト
改ざん
フィッシング
サイト
マルウェア
サイト
Dos攻撃
専用ファイアウォール × × × ×
不正侵入検知(IDS/ADS)
WAF(Webアプリケーションファイアウォール) × ×
Web改ざん検知 × 検知 検知 検知 ×

プラン選定について

「共用レンタルサーバー」は一定のセキュリティを確保しながら、一台のサーバーを複数のお客さまでご利用いただく「共有型」のサーバープランのため、低コストでWebサイト運営をお考えのお客さまに最適なプランです。定期的にWebサイトの改ざんをチェック可能な「Web改ざん検知」オプションを活用いただくことで、改ざんが確認された場合はメンテナンス中画面に自動的に切り替え、ユーザーへの感染を防ぎます。また、「SmartRelease」にて定期バックアップされたデータからWebサイトを復旧できます。

ただし、共用レンタルサーバーはコストパフォーマンスが高い一方、は他のお客さまの稼働状況の影響を受ける可能性があるため、お客さまのセキュリティポリシーに沿った運用ができない場合がございます。

「マネージド専用サーバ-」は一台まるごとサーバーリソースを占有できるので他のお客さまの影響を受けません。また、様々なセキュリティオプションをご活用いただくことで、お客さまの情報セキュリティ基準およびポリシーに準拠したサーバー環境をご提供いたします。

CPIではお客さまのビジネスシーンに応じて、セキュリティまで十分に気を配ったサーバー選定のお手伝いをいたします。プラン選定でお困りの際は、ぜひ気軽にお問い合わせください。

知らないと損をする サーバーの話

サーバーが原因による機会損失について、Webマーケッター松尾によるWebサイトへの集客コラム「知らないと損をするサーバーの話」で詳しく解説しています。

共用レンタルサーバー

税込4,840円/月〜

テスト環境・自動バックアップ標準提供
セキュリティ診断もクリアの安心サーバー

マネージド専用サーバー

税込38,610円/月〜

充実のセキュリティオプションと
標準外部バックアップ搭載