ホームページにセキュリティ対策は必要?おすすめのセキュリティ対策も解説

この記事は約10分で読めます
Facebookシェア Twitterシェア LINEシェア はてなブックマークシェア

近年、サイバー攻撃はますます多くなってきています。

ある統計によれば、高度なサイバー攻撃の頻度は3分間に1回とのデータもあるほどです。

企業や個人のホームページにも、セキュリティ対策が必要な時代です。

今回の記事では、サイバー攻撃の頻度、予想される被害、攻撃の種類、おすすめのセキュリティ対策などを解説します。

ホームページのセキュリティを向上させ、サイバー攻撃による被害を防止しましょう。

サイバー攻撃の頻度と件数

ホームページの運営において、セキュリティ対策は避けては通れない施策となっています。

2017年にNICTERのダークネット観測網で、30万IPアドレスから観測されたサイバー攻撃関連通信は1504億パケットにも上ります(※)。

サーバー攻撃の統計情報

ひとつのIPアドレスあたり56万パケットものサイバー攻撃が届いた計算です。

サイバー攻撃関連の通信は年々、増え続けていて、2015年と2016年のサイバー攻撃関連通信のパケット量は2.2倍に増加しています。

現在では、高度なサイバー攻撃は3分に1回の頻度で発生しています

サイバー攻撃は決して他人事ではありません。どのようなホームページでも、セキュリティを向上させる必要があります。

サイバー攻撃で予想される被害

サイバー攻撃で予想される被害について解説します。

情報漏洩

ホームページでもっとも懸念するべき被害の1つが、情報漏洩です。

不正アクセスや悪意のあるプログラムを埋め込まれることにより、顧客情報や個人情報が流出する恐れがあります

個人情報保護が重視される現代において、顧客情報や個人情報の流出は大きなダメージで、これまで積み上げてきた信用を一気に失ってしまうケースもありえます。

ほかにも、取引先とのやりとりが流出してしまう可能性もあり、そうなると信用の失墜や取引先との関係悪化が懸念されるでしょう。

ホームページの改ざんやダウン

ホームページを知らないうちに改ざんされたり、DoS攻撃によってダウンしたりするケースもあります。

知らないうちにホームページを改ざんされると、訪問したユーザーに間違った情報が拡散されることになります

企業の看板であるホームページに悪意のある文章が書き込まれれば、企業イメージの失墜は避けられません。

DoS攻撃などによりホームページがダウンすれば、機会損失にもつながります。

マルウェア感染

マルウェアとは悪意のあるプログラムの総称で、英語の「malicious(マリシャス:悪意のある)」と「software(ソフトウェア)」を組み合わせた言葉です。

ウイルスやワーム、トロイの木馬、スパイウェアなど、ユーザーのデバイスに不利益をもたらす悪意あるプログラムやソフトウェアの総称がマルウェアです

近年では、ホームページにマルウェアを仕込むサイバー攻撃が増えてきています。

マルウェアに感染すると、ホームページの更新ができなかったり、ユーザーがほかのURLにリダイレクトされたりする危険性があります。

ホームページへのサイバー攻撃の種類

ホームページへのサイバー攻撃の種類について解説します。

SQLインジェクション

SQLインジェクションとは、アプリケーションの脆弱性を攻撃して個人情報漏洩につながるサイバー攻撃の一種です

SQLとはデータベースに命令するクエリのことで、不当な命令文を作成して、データベースを不正に操作する攻撃がSQLインジェクションです。

データベースは、WordPressやECサイトなどさまざまなウェブアプリケーションで使われています。

SQLインジェクションを防ぐには、想定外のクエリに対してエラー処理することが必要です。

クロスサイトスクリプティング

クロスサイトスクリプティングとは、近年注目されているサイバー攻撃手段の1つです。

クロスサイトスクリプティングは、攻撃対象のホームページの脆弱性を突いて悪質なウェブサイトに誘導するスクリプトをしかけ、ホームページを訪問したユーザーの個人情報を抜き取る攻撃のことです。

ホームページを訪れたユーザーは、自動で悪質なウェブサイトにリダイレクトされます。

クロスサイトスクリプティングをしかけられると、「セッションハイジャック」「個人情報の流出」「ホームページの改ざん」などの被害が出ます。

DoS攻撃

DoS攻撃とは「Denial of Service attack」の略語で、日本語では「サービス拒否攻撃」と訳されます。

ホームページやウェブサイトに対し、過剰なアクセスやデータを送付するのがDoS攻撃の特徴です

DoS攻撃を複数のコンピューターから大量に行うことを、DDoS攻撃と呼びます。

DoS攻撃やDDoS攻撃を受けるとサーバーに負荷がかかり、ホームページにアクセスできなくなったり、表示に遅延が生じたりします。

ホームページにアクセスできなくなれば、機会損失や信用の失墜につながりかねません。

ブルートフォースアタック

ブルートフォースアタックは日本語で「総当たり攻撃」と訳されます。

ブルートフォースアタックは、ユーザーのIDやパスワードを総当たりで解読する攻撃です

たとえば、3桁のダイヤルがある鍵は1000回の試行をすれば必ず1回は開きます。

このように、総当たりでIDやパスワードを試行するのがブルートフォースアタックです。

ブルートフォースアタックでログインされると、金銭的な被害、個人情報の漏洩、ホームページの改ざん、SNSの不正な利用などの被害が出ます。

ゼロデイ攻撃

ゼロデイ攻撃は、特定の攻撃手法を指す言葉ではありません。

ゼロデイ攻撃の意味は、ソフトウェアなどのセキュリティホールが発見され、対策が講じられる前に攻撃することです

セキュリティホールとは、セキュリティの弱い抜け穴のことで、多くのソフトウェアでは、セキュリティホールが発見され次第、修正したりアップデートしたりします。

しかし、修正されるまでの間は対策が困難です。

その抜け穴を狙ったのがゼロデイ攻撃で、この攻撃を防ぐためには、1日も早く修正やアップデートを行うしかありません。

ホームページのおすすめセキュリティ対策

ホームページでおすすめのセキュリティ対策について解説します。

不要なプログラムの削除

使わない不要なプログラムは、速やかに削除するようにしましょう

普段は使っていないプログラムを「そのうち使うかもしれない」「あって困るものではないから」と常駐させているケースがあります。

しかし、プログラムにはセキュリティホールが存在する可能性があるため、使わないプログラムは削除しておいた方が無難です。

削除しておけば、不要なプログラムのために更新やアップデートをする必要もなくなります。

システムやプログラムの更新

システムやプログラムの更新通知が来たら、ただちに更新するようにしましょう

システムやプログラムの更新には、セキュリティホールの修正が含まれていることが多く、更新することでセキュリティホールが防がれ、セキュリティが向上します。

更新せずに放置していると、いつセキュリティホールを狙われるかわかりません。

システムやプログラムの更新は、小まめに行うようにしましょう。

厳格なアカウント管理

ホームページのアカウント管理は厳格に行いましょう。

「脆弱性の高いパスワードを使わない」「パスワードは12桁以上で英数字を混ぜる」「WordPressでアカウント名に『admin』は使わない」などを徹底しましょう

ブルートフォースアタックでアカウントを取られ、管理者権限でホームページを改ざんされては目も当てられません。

厳格なアカウント管理で、不正な乗っ取りを防ぎましょう。

12桁以上のパスワード

アカウントのパスワードは、12桁以上に設定しましょう

ブルートフォースアタックは、パスワードの桁数によって難易度が変わってきます。

例えば、4桁のパスワードの場合、突破にかかる時間は最大でもわずか9分です。

逆に、10桁のパスワードの場合は最小でも32年かかります。(※)

ブルートフォースアタック

このことから、12桁以上のパスワードであればまず破られないと考えてよいでしょう。

パスワードの桁数は、少なければ少ないほど破られやすくなります。

桁数の多い強固なパスワードを設定して、セキュリティを向上させましょう。

SSLサーバー証明書の取得

ホームページは必ずSSL化しましょう。

SSLとは「Secure Sockets Layer」の略語で、インターネット上の通信を暗号化する技術です。

SSL化するとホームページのURLが、HTTPではなくHTTPSに変わります。

SSLは通信を暗号化することで、第三者に通信を改ざん、傍受されないようにするための仕組みです。

SSL化は特に、ログインを必要とするホームページにとって重要です。

現在ではホームページの9割がSSL化しています。

Googleも検索順位においてSSL化しているホームページをより評価する仕組みです。

システムやアプリケーションのログの保管

不正アクセスのログがあれば、分析してさまざまな対策に役立てられます。

そのためシステムやアプリケーションのログはしっかりと保管しておきましょう。

また、ログを保管するだけではなく、定期的にチェックして不正アクセスの痕跡を確認してください。

Google reCAPTCHA

Google reCAPTCHAとは、ロボットと人間を区別するためのプログラムです

ホームページに「私はロボットではありません」というチェックボックスを設置し、チェックを入れることでロボットではないことを証明します。

Google reCAPTCHAは、問い合わせフォームやメールフォームに設置しましょう。

設置することでスパムメールを防止できます。

サーバー側で行うホームページのセキュリティ対策

サーバー側で行うセキュリティ対策について解説します。

ファイアウォール

ファイアウォールは、サーバーを不正アクセスやサイバー攻撃から守るためのセキュリティ機能です

ファイアウォールは日本語に訳すると「防火壁」で、インターネットとサーバーの間に設置して、外部からの攻撃を監視したり遮断したりします。

ファイアウォールにはパケットフィルタリング型、アプリケーションゲートウェイ型、サーキットレベルゲートウェイ型などいくつかの種類があります。

IPS

IPSは「Intrusion Prevention System」の頭文字を取った言葉で、日本語では「不正侵入防止システム」と訳されます。

ネットワークやサーバーを監視し、不正なアクセスを検知して管理者に通知するシステムです

加えて、不正なアクセスを検知したときに遮断する役割も担います。

WAF

WAFは「Web Application Firewall」の略語で、ウェブアプリケーションの脆弱性を突いた攻撃に対するセキュリティ対策です。

ネットショッピングやゲーム、インターネットバンキングなど顧客情報やクレジットカード情報に関するデータのやりとりが発生するウェブサービスが保護対象です。

WAFはウェブアプリケーション内に実装するのではなく、ウェブアプリケーションの前面やネットワークに配置します。

脆弱性を突いた攻撃を検知、低減することを目的として導入されます

WordPressを使用している場合のセキュリティ対策

WordPressを使用している場合のセキュリティ対策について解説します。

WordPressやプラグインの更新

WordPress本体やプラグインの更新は、小まめに行いましょう

WordPress本体やプラグインにもセキュリティホールがありますが、それらは発見されると修正され更新が行われます。

WordPress本体やプラグインを更新することで、セキュリティ向上が図れるのです。

セキュリティプラグインの導入

WordPressにはセキュリティを強化するプラグインがあります。

それらのプラグインを導入し、セキュリティ向上を図りましょう。

WordPressのセキュリティプラグインには、以下のようなものがあります。

  • SiteGuard WP Plugin
  • All In One WP Security & Firewall
  • Wordfence Security
  • BulletProof Security
  • iThemes Security

必要ないプラグインの削除

WordPressで使っていないプラグインや、無効化しているプラグインは削除しましょう

プログラムの数が増えれば増えるほど、セキュリティホールが生じる危険性が高まります。

そのため、必要のないプログラムやプラグインは削除するのがおすすめです。

必要のないプラグインを削除することで、プラグインを更新する手間も必要なくなります。

まとめ

今回は、ホームページのセキュリティ対策について解説しました。

サイバー攻撃は年々、激しさを増しています。

サイバー攻撃を受けると、情報漏洩、不正な改ざん、ホームページのダウン、マルウェア感染といった被害が予想されます。

サイバー攻撃にはさまざまな種類があり、しっかりとセキュリティ対策をしなければなりません。

セキュリティ対策の中でも特に重要なのが、厳格なアカウント管理や12桁以上のパスワード、SSL化などです。

また、サーバー側のセキュリティ対策としてはファイアウォール、IPS、WAFなどがあります。

自分のホームページに適切なセキュリティ対策をして、被害を未然に防止しましょう。

誰でも10分!WordPressブログの始め方
ブログを始めるには、ライブドアブログやはてなブログといった無料ブログを使う方法、あるいはWordPressなどを使用する方法があります。

まだWordPressを持っていない人でも、簡単に準備できる方法を以下の記事で解説してます。
初心者でもわずか10分で始められるので、参考にしてみてください。

合わせて読みたい

【完全ガイド】誰でも10分!WordPressブログの始め方

独自ドメインを取得するなら「お名前.com」

「お名前.com」は、国内No.1のドメイン登録サービス。独自ドメインと合わせて、WordPressの自動インストールに対応したレンタルサーバーも利用できます。
WordPressや独自ドメインを一度も使ったことのない人でも、スムーズに始められるはず。

独自ドメインを取得しようと考えている方は、以下のリンクから、ぜひご利用ください。

お名前.comで
独自ドメインを取得

Facebookシェア Twitterシェア LINEシェア はてなブックマークシェア

このサイトの管理人
泉 賢

GMOインターネット株式会社お名前.com事業部所属。
お名前.comのドメインに関するマーケティング業務を担当し、現在はオウンドメディアサイト運営を中心に活動中。