こんにちは。
アントアントのメルマガ担当です。
いつもメールマガジン「ここだけは知っておきたい編」をご覧いただき、誠にありがとうございます。
近年、サイバー攻撃が増えてきていることをご存知ですか?
コロナに便乗したメールでのフィッシング詐欺や企業を狙ったランサムウェア(身代金ウイルス)、パソコンの乗っ取りなどが様々な場所でサイバー攻撃が行われています。
その中でもWebサイトへのサイバー攻撃は頻繁に起こっています!
今回のメルマガではWebサイトに潜むセキュリティリスクについて、オープンソース型CMSは何故セキュリティが弱いといわれているのか、今すぐできるセキュリティ対策についてご紹介します。
サイバー攻撃は突然襲ってきます。対策していないと様々な被害が起きる可能性があります。
こういった被害を防ぐためにもWebサイトのセキュリティ対策は必須と言えるでしょう。
では、Webサイトのセキュリティ対策として何から始めればいいのでしょうか。
多くのWebサイトはオープンソース型CMSやクラウド型CMS、パッケージ型CMSなどのCMSで制作されています。
そのため、CMS自体のセキュリティ対策・CMS以外でのセキュリティ対策が必要となります。
まずはCMS自体のセキュリティ対策について確認してみましょう。
以前のメルマガ『CMSの種類とメリット・デメリット』では、多くの利用者数がいるオープンソース型CMSにはデメリットとしてセキュリティ面が心配という点があるとご紹介しました。
今回はオープンソース型CMSが何故セキュリティ面が心配と言われているのかその理由をご紹介します。
以上のように、様々な観点からオープンソース型CMSはサイバー攻撃を受けやすいため、セキュリティ面で心配とされています。
ニュースなどではよく大手企業の情報漏洩が問題とされていますが、セキュリティリスクは大企業だけに当てはまる問題ではありません!
企業の大きさに関わらず、セキュリティ対策が不十分な企業を入り口として各サイバー攻撃は行われます。今やサイバー攻撃は他人事ではなく、身近な問題となってきているのです。
また、サイバー攻撃を受けた企業は自社の損害だけでなく、さらに被害を拡散させてしまう加害者となる場合もあります。
Webサイトのセキュリティ対策は自社を護るだけでなく大事な取引先のためにも対策すべきだと言えるでしょう。
そこで、すぐにできるセキュリティ対策についてご紹介します。
まずはパスワードを強化!
兎にも角にもまずはパスワードを見直しましょう!!
簡単なパスワードに設定していませんか?
パスワードの設定には以下の点に気を付けて設定をしましょう。
推奨されているパスワードの組み合わせ
内閣サイバーセキュリティセンター『インターネットの安全・安心ハンドブック』によると
英大文字小文字+数字+記号の10桁のパスワードの作成が推奨されています。
そのため、もし簡単な英単語や短いパスワードに設定している場合は、パスワードを10桁以上の複雑なパスワードに変更するようにしましょう。
使いまわしに注意!
しかし、たとえ複雑なパスワードにしたからといって、パスワードを使いまわしていては一度見破られたら他のWebサイトにも被害が及ぶ可能性があります。
そのため、定期的にパスワードの変更が必要とされています。
ID・パスワード運用にも注意!
ログイン情報(ID/パスワードなど)はブラウザに保存しないことをお勧めします。
もしパソコンを紛失してしまったなどの場合、パスワードがブラウザ保存されていたらすべてのWebサイトに被害が起こるかもしれません。
また、ブラウザ保存に頼りきりになっていざという時にパスワードが思い出せず利用できなくなるケースもあります。
そのため、パスワードはブラウザ保存ではなく毎回入力していれることを推奨しています。
常に最新のバージョンへアップデートする
CMS自体は勿論、プラグインなどの外部システム・テーマなどは定期的にアップデートしていますか?
アップデートを放置したままにしていると脆弱性は勿論、バグなど放っておくと第三者に攻撃される可能性があります。
常に最新のシステムを使用するように心がけましょう。
また、アップデートの際はデータがなくなってしまったりする不具合なども考えられます。
一から制作し直し、なんてことにならないようにバックアップファイルを事前に取得しておくことも大切です。
SSL化の設定をしておく
インターネット上の通信を暗号化することをSSLといい、WebサイトにSSLを導入することを「SSL対応」や「SSL化」といいます。
例えばオンラインショッピングをするときなどにSSL化の設定をしていない場合はショッピング内容や個人情報を第三者に盗み見される恐れがあります。
しかし、SSL化されていれば情報を盗み見されたとしても暗号化されているため盗み見した人はどんな情報か判断することができません。
現在多くのSSL未対応だったWEBサイトがSSLを導入し、上記のリスクを回避しています。
SSL化を行っていない場合は導入することをお勧めします。
SSLについて詳しくはこちら『SSLについて』『SSLについて(2)』
セキュリティ対策が組み込まれているCMSを利用する
前述したようにオープンソース型CMSはセキュリティ面で安心とは言い切れません。
どのCMSでも絶対に安心安全とは断言できませんが、クローズドソース型のCMS(ソースが解析できないクラウド型CMS)は、自動アップデートなどのメーカー側でフォローしているところが多いため、オープンソース型CMSよりはクローズドソース型のCMSを利用した場合のほうが被害は少ないと考えられます。
また、クローズドソース型のCMSでさらにセキュリティ対策が独自で行われているCMSであればなお良いとされています。
1.常時SSL化の設定が可能
ant2 OEMサービスでは、1ライセンスにつき、独自ドメイン・ WEBサーバー /メールサーバー ・独自SSL(ドメイン認証)がセットとなっています。
そのため、SSL化対応だけに費用が発生せずにご利用いただくことが可能です。
2.ログイン時の2段階認証機能
ログイン時のID/パスワードに加えて、スマートフォンの認証アプリで取得するセキュリティコードの入力による2段階認証を設定することが可能となっています。
『二段階認証について詳しくはこちら』
3.メールフォームの連続送信制限
不正な投稿の防止のために一定の時間に同じユーザーから連続送信があった場合には制限がかかっています。
4.reCAPTCHA(リキャプチャ)によるスパム対策
メールフォーム・ブログのコメントにはGoogle reCAPTCHA v3を導入可能となっています。
フォームにおいてbot(プログラム)による入力か、人の手による入力かを判断することができるシステムのため、スパム対策としてご利用いただくことができます。
5.定期的な脆弱性チェック
年に1回脆弱性チェックを行っており、脆弱性チェックを行った上でサイバー攻撃などをされないソースコードでCMSを構成しています。
6.毎月の自動アップデート
ant2 CMSは毎月自動でアップデートをかけています。
そのため、販売代理店様・ユーザーによる面倒なアップデート作業がなく、安全にお使いいただくことが可能となります。
今回はCMSに潜むセキュリティリスクとオープンソース型CMSは何故セキュリティが弱いといわれているのか、今すぐできるセキュリティ対策についてご紹介しました。
何度もお伝えしましたが、サイバー攻撃はとても身近なものになってきています。
対策を行っていない場合には様々な被害が起きる可能性があります。
是非、今からでも遅くないのでセキュリティ対策を行い、安全なサイト運用を行いましょう。
