情報セキュリティ ブログ記事

ウェブサイト制作・運用担当者が安全にサイトを運用するには!?

2020/06/22

 

 

現在、企業情報や製品・サービス提供等のあらゆる情報がインターネットを通してウェブサイトで確認できる状況にありますが、そのすべてのウェブサイトがサイバー攻撃の標的となる可能性があり、運用するうえでセキュリティ対策を行うことが求められます。

とは言っても、ウェブサイトを制作・運用する担当者は、作業に追われ手が回らない、予算の問題やそもそもセキュリティの知識が不足しているなど、セキュリティ対策が十分ではないケースがよくあります。

今回はそういった制作・運用担当者に向けて、セキュリティ対策を少しでも効率よく確認・実装するためのひとつの手法として参考となる内容をお伝えします。

安全なウェブサイトの運用を行うには

「攻撃被害にあわず安全にウェブサイトを運用したい!」というのは誰もが願うところですよね。それを実現するヒントとして、IPA(独立行政法人情報処理推進機構)が発信している『安全なウェブサイトの運用管理に向けての20ヶ条』を活用する方法があります。

安全なウェブサイトの運用管理を行うためには、状況に応じた対策が求められます。 そのためには、まず現在の状況を把握することが重要になります。例えば、「自社のウェブサイトのどの対策が不十分か?」「見逃しや気づいていない部分はないか?」 などの視点で確認し、現在の状況を見直しながら把握することが必要です。

その見直すべき視点を、セキュリティ対策のポイントとなる4つのカテゴリ(ウェブアプリケーション・ウェブサーバ・ネットワーク・その他必要なこと)に分けて、効率よく把握するための道標となるのが、前述した『安全なウェブサイトの運用管理に向けての20ヶ条』です。

『安全なウェブサイトの運用管理に向けての20ヶ条』


1.ウェブアプリケーションのセキュリティ対策
  1. 公開すべきでないファイルを公開していませんか?
  2. 不要になったページやウェブサイトを公開していませんか?
  3. 「安全なウェブサイトの作り方」に取り上げられている脆弱性への対策をしていますか?
  4. ウェブアプリケーションを構成しているソフトウェアの脆弱性対策を定期的にしていますか?
  5. 不必要なエラーメッセージを返していませんか?
  6. ウェブアプリケーションのログを保管し、定期的に確認していますか?
  7. インターネットを介して送受信する通信内容の暗号化はできていますか?
  8. 不正ログインの対策はできていますか?
2.ウェブサーバのセキュリティ対策
  1. OSやサーバソフトウェア、ミドルウェアをバージョンアップしていますか?
  2. 不要なサービスやアプリケーションがありませんか?
  3. 不要なアカウントが登録されていませんか?
  4. 推測されやすい単純なパスワードを使用していませんか?
  5. ファイル、ディレクトリへの適切なアクセス制御をしていますか?
  6. ウェブサーバのログを保管し、定期的に確認していますか?
3.ネットワークのセキュリティ対策
  1. ルータなどを使用してネットワークの境界で不要な通信を遮断していますか?
  2. ファイアウォールを使用して、適切に通信をフィルタリングしていますか?
  3. ウェブサーバ(または、ウェブアプリケーション)への不正な通信を検知または、遮断していますか?
  4. ネットワーク機器のログを保管し、定期的に確認していますか?
4.その他のセキュリティ対策
  1. クラウドなどのサービス利用において、自組織の責任範囲を把握した上で、必要な対策を実施できていますか?
  2. 定期的にセキュリティ検査(診断)、監査していますか?

出典:「安全なウェブサイトの運用管理に向けての20ヶ条」ページ

ここで対応が不十分とわかった箇所に対し、どのような対策が有用かについても解説でわかりやすく確認することができるため、効率よく現状の把握から対策までの流れを知ることができます。また、詳細記事や必要ツールへのリンク遷移も用意されているので、より精度の高いセキュリティ対策の対応を行うことも可能です。

さいごに、今回ご紹介した内容はセキュリティ対策案を効率よく行うための有効な手段のひとつですが、どの対策を選択するにせよ、「これをやったからあとは安全に運用できる」というものはなく、定期的なチェックを継続していくことで、安全な運用に繋がってく。ということも意識していただければと思います。

■IPA 情報処理推進機構 ウェブサイトのセキュリティ対策のチェックポイント20ヶ条 チェックリスト
https://www.ipa.go.jp/files/000044403.xlsx

■IPA 情報処理推進機構 安全なウェブサイトの運用管理に向けての20ヶ条
https://www.ipa.go.jp/security/vuln/websitecheck.html

 
このエントリーをはてなブックマークに追加