WEBコンサル

WEBサイトのサーバーセキュリティ管理が必要な理由と対策方法

こんにちは。株式会社ソライル、Webコンサルタントの波多野です。

WEBサイトを運営していると、情報漏洩やデータ改ざん・悪用といった危険から大切なデータを守るため、サーバーセキュリティ対策と管理を常に行わなければいけません。

サーバーのセキュリティ管理は、今すぐにでも対策を行っておく必要があるため、まだ未対策の場合は起こりうるリスクと対策方法についてしっかりと理解し、さっそく早々に対策を行うことをおすすめします。

サーバーのセキュリティ管理対応ができていないと起きるリスク

WEBサイトを運用している場合、サーバー利用は必須であり、セキュリティ対策や管理も例外なく絶対に行う必要があります。
もしもセキュリティ管理を行わずに攻撃を受けてしまった場合、以下のようなダメージを受けることになりかねません。

・被害状況の調査および復旧にかかる費用と時間の損失
サーバーへの攻撃を受け被害が出た場合、その原因究明調査と復旧に対し、被害の甚大度合いにより多額の費用と時間を費やすことになります。

・顧客からの損害賠償および顧客対応にかかる費用と時間の損失
サイバー攻撃を受けて大切な顧客企業や個人ユーザーの情報を漏洩したり、悪用されてしまったりした場合、損害賠償請求を受け、多額の費用とその対応に多くの時間を費やすことになります。

・ユーザーや顧客の信用失墜によるブランドイメージダウン
今や必須ともいえるセキュリティ管理を行えていないということは、利用してくれていた個人ユーザーや顧客企業の信用を失うことになるでしょう。
ブランドイメージの失墜は費用をかければ取り戻すことができるというものではありません。
これまで培ってきたすべての労力が一瞬にして失われることにもなりかねない、最も恐ろしい事態となる可能性があることを理解する必要があるでしょう。

いずれも大変な事態を招いてしまうため絶対に避けたい事項ですが、特にブランドイメージのダウンは、当然のことながら自社商品やサービスの販売機会損失による売上低下も招く可能性が高いため、企業にとってはとてもリスクが大きいことを理解し、セキュリティ管理については特に心得て行うべきです。

実際におきているサーバー攻撃による被害例

では、実際に起きているサーバー攻撃についてご紹介します。
サーバー攻撃は、個人や企業、また企業の大小に関わらずどんなサイトでも起こりうる可能性があります。

具体的に起きている事例を知っておくことで、よりセキュリティ管理についての重要性がわかりやすくなるのでぜひ参考にしてください。

具体的な被害例

以下は、独立行政法人情報処理推進機構(IPA)が2019年に発表した10大セキュリティ脅威のランキングです。

■組織向けセキュリティ脅威
1位 標的型攻撃による被害
2位 ビジネスメール詐欺による被害
3位 ランサムウェアによる被害
4位 サプライチェーンの弱点を悪用した攻撃の高まり
5位 内部不正による情報漏えい
6位 サービス妨害攻撃によるサービスの停止
7位 インターネットサービスからの個人情報の窃取
8位 IoT機器の脆弱性の顕在化
9位 脆弱性対策情報の公開に伴う悪用増加
10位 不注意による情報漏えい

■個人向けセキュリティ脅威
1位 クレジットカード情報の不正利用
2位 フィッシングによる個人情報等の搾取
3位 不正アプリによるスマートフォン利用者への被害
4位 メール等を使った脅迫・詐欺の手口による金銭要求
5位 ネット上の誹謗・中傷・デマ
6位 偽警告によるインターネット詐欺
7位 インターネットバンキングの不正利用
8位 インターネットサービスへの不正ログイン
9位 ランサムウェアによる被害
10位 IoT機器の不適切な管理

企業を対象としたセキュリティ脅威は、顧客情報の窃取などを目的とした標的型攻撃が多いという点は、企業にとっては数多くのリスクがあり見逃せないポイントです。
そのほかの脅威も甚大な被害を自社および自社の顧客やユーザーに対し及ぼしてしまう可能性の高いものばかりであることからも、サーバーのセキュリティ管理がいかに重要かがわかるでしょう。

参考:独立行政法人情報処理推進機構(IPA)「情報セキュリティ10大脅威 2019」

サーバーセキュリティを脅かす攻撃とは

サーバーセキュリティを脅かす攻撃で、最も多い標的型攻撃は、攻撃相手を特定して仕掛けてくる方法です。
標的型攻撃には大きく分けて3つの手法があります。

■ブルートフォースアタック(Brute Force Attack)
パスワードを破り攻撃してくる手法です。プログラムで無作為に番号やアルファベットを組み合わせて攻撃を行ってくるため、「総当たり攻撃」とも呼びます。
コンピューターによる総当たり攻撃は、想像以上に処理が早く、簡単なパスワードを設定している場合などは、一瞬にして見破られてしまいます。

■DoS攻撃(Denial of Service Attack)/DDoS攻撃(Distributed Denial of Service Attack)
昔からある攻撃方法で、サーバーに大量のデータを送信してサーバーをダウンさせる攻撃を「DoS攻撃」と言い、「DoS攻撃」を進化させ、複数IPを使用してより大きな負荷をかけ、マルウエアを用いてコンピューターを乗っ取るといった攻撃をしかける手法を「DDoS攻撃」と呼びます。
これらの攻撃目的は、主に特定サイトへの妨害や嫌がらせ、抗議などの目的や、脅迫や金銭を目的としたものなど様々です。

■SQLインジェクション攻撃
SQLを用いてWEBサイトやアプリケーションに不要な文を挿入し、情報改ざんや抜き取りを行う方法です。脆弱性を狙った攻撃で、大切な顧客情報などの漏洩にもつながりかねない脅威です。

サーバーへの攻撃手法は年々進化しているため、常にどのような攻撃をされるリスクがあるのかは把握しておく必要があります。

WEBサーバーのセキュリティ管理対策で行うべきこと

WEBサーバーのセキュリティ管理で取り急ぎ対応すべきことについてご紹介します。

セキュリティ管理は、一つの抜け穴も許されないため、すべてのおいて漏れなく対応しておくことが必要です。

強固なパスワードを設定する

他でも使っているパスワード、誕生日や電話番号、IDと同じパスワードなど、推測しやすいものや、簡単なパスワードを使用するのはとても危険です。

強固なパスワードは、数字、アルファベットの大文字小文字の組み合わせ、サイトによっては記号などを組み合わせ、他では使用しておらずユニークなもので、推測しにくい何の意味も関連性も持たない羅列の組み合わせが良いです。

すべてのパスワードを違うものにすると管理するのが大変ですが、セキュリティ管理対策のためには必須の対応となります。

使用していないアプリケーションやサービスを停止する

すでに使用していないアプリケーションやサービスがある場合は、停止をするか、削除をしてください。

不要なものは悪用をされてしまうリスクを伴います。
サーバー上には必要なものだけを公開しましょう。

使用していないアカウントの削除する

使用していないアカウントも危険です。

サイバー攻撃の対象になりますし、アカウント管理が煩雑になるだけなので、すでに使用していないアカウントがあればすぐに削除しましょう。

管理者権限のアカウントを変更する

使用当初は管理者アカウントIDがデフォルト設定されています。
そのため、パスワードだけを違うものに変更してもすぐに破られて、悪意ある攻撃で簡単に突破されてしまいます。

サーバーの管理者アカウントでログインをされてしまうと、すべての機能変更が可能となるため、その被害は甚大です。
また、ログインされた後にパスワードを変更されてしまうと、本来の管理者がログインできなくなり、最悪の場合は全サービスを停止しなければならなくなります。

サーバー管理者のIDがデフォルト設定で統一されていることは周知の事実なので、すぐにユニークなものに変更することは必須対応です。

セキュリティパッチを適用する

セキュリティパッチとは、ソフトウエアに問題点があった場合、その脆弱性をつかれて攻撃されないようにセキュリティホールを埋めて問題点を解決するプログラムのことです。

WEBサーバーやOS、Webアプリケーションなど、WEBサーバーを構成する要素は様々あって、セキュリティホールと呼ばれる不具合は多々存在するため、最低限セキュリティパッチの適用は必要となります。

セキュリティホールについては下記ページで公開されているため、定期的に確認を行って、新たなセキュリティパッチが公開されている場合は早めに入手して適用を行ってください。

参考:一般社団法人JPCERTコーディネーションセンター

WEBサーバーのログを取得し管理する

サイバー攻撃は完全に防ぐことは難しいため、もしも攻撃を受けた際には、ログを見ることで攻撃に気づきやすく、早めに対応策をとることができるので、ログ取得機能のあるOSの場合は、記録を取得・管理することをおすすめします。

ログの管理を行なう際は、以下のような点を考慮しておくと、より役立てることができます。

サイバー攻撃をする際、攻撃したことが気づかれぬようハッカーによってログを削除されてしまうことがあります。そのため、削除ができないようにログの保存は通常のサーバーだけではなく、ログ専用のサーバーを用意して、そちらにも保存しておくことをおすすめします。
遠隔サーバーに保存しておいた場合、そちらのログは削除されずに済むため、仮に通常サーバーのログを削除されても、専用サーバーのほうで確認を行うことができます。

なお、遠隔で別サーバーにログを保存する際、サーバー側の時刻が正しく設定しておかないと実際に攻撃された時間との照らし合わせにズレが生じるため、前後関係がおかしくなり、正しい状況把握ができなくなるため注意しましょう。

ちなみにログの保管容量にも限りがあるため、容量がいっぱいになると新しいログが保存されなくなる場合があるので気を付けましょう。

WEBサイトのサーバーセキュリティ管理が必要な理由と対策方法まとめ

WEBサイトのサーバーセキュリティ管理が必要な理由と対策方法について解説してきましたが、いかがでしたでしょうか。

サーバーのセキュリティ管理は、残念ながら一度対策を行えば放置しておけるというものではありません。
また、WEBサイトを運営していると、サーバーのセキュリティ管理以外にも色々な保守管理を行う必要があります。

例えばワードプレスでWEBサイトを構築している場合は、ワードプレスに関するセキュリティ管理なども必要です。

ソライルでは面倒なWEBサイトの保守対応を、一括で対応させていただくお得なプランをご用意しています。
気軽にご利用いただけるコースからご用意しているので、気になる方はぜひご相談ください。

ソライルの保守対応についてのプランは下記ページでもご案内していますのでご確認ください。

あわせて読みたい
WEBサイトの保守って何をするの?保守契約は必要?

ソライルのWEBサイト診断