皆さんこんにちは、エンドルフィンズ代表の田上です。
今回は、web制作を行う際に我々が実施しているセキュリティ対策について解説していきたいと思います。
『セキュリティ』という言葉は昨今注目を集めているキーワードなので関心のある方も多いのではないでしょうか。一方で、特にweb制作におけるセキュリティ施策は制作会社が裏側で実施しているだけでクライアントに解説されないこともしばしばです。
(実際我々も、行ったセキュリティ対策をわざわざクライアントに説明することはしていません。)
よって、本日はweb制作の際に当社が必ず行っているセキュリティ施策に関して、どのような効果を狙って実施しているのかまで含めて解説していきたいと思います。
目次
web制作でのセキュリティ対策がなぜ重要なのか
まずは、昨今web業界でセキュリティが注目されている背景から解説していきたいと思います。
セキュリティ対策が万全ではない場合に起こりうるリスクとして、まず最初に挙げられるものが「webサイトの改ざん」リスクです。改ざんとはwebサイトに掲載されているコンテンツの内容を勝手に書き換えられてしまうものです。
テキストデータや写真などが改ざんされると、その会社の信用の毀損に直結します。また、webサイトに設置されているボタンやURLリンクなどを改ざんされると、「怪しいサイトへ飛んでしまった」「よくわからない決済画面に飛んでしまった」など、ユーザーに直接的な被害が及ぶケースも想定されます。
また、個人情報の流出などもよく挙がるリスクの一つです。
webサイトの管理画面にアクセスされてしまうと、そのwebサイトで収集したユーザーの個人情報を盗まれる可能性があります。このようなリスクが顕在化した場合、お金の問題ではないのですが一応1件あたり500円程度の謝り金を払うのが通例のようです。流出した個人情報の件数×500円という金銭的リスクにさらされることになります。
このような代表的なリスクを見ても、web制作においてセキュリティ対策がいかに重要かがお分かりいただけたのではないでしょうか。
web制作でのセキュリティ対策、6選
そこで今回は、我々がweb制作において、慣例的に行っているセキュリティ対策の代表的なものを6つご紹介したいと思います。
もし、自社のwebサイトが「セキュリティ対策がきちんとできているのか不安」と感じられている方はここで挙げる対策がなされているのかチェックしてみるのも良いかと思います。
それでは1つ1つ解説していきます。
SSL化対応を行う
まずは、SSL化の対応をされているか、です。
SSLとは、Secure Sockets Layerの略称で、皆さんが普段お使いのPCやスマホとwebサイトの情報が格納されているサーバーとの間の通信を暗号化する仕組みのことを指します。
こちらの暗号化がなされていないと、通信を盗み見することが可能になり、個人情報の流出などのリスクが顕在化する要因となり得ます。
SSLに関する詳しい情報は以下の記事にまとめておりますので、詳しく知りたい方は是非お読みください。
このSSL化の対応が取られているか否かは、自社のwebサイトを表示させた時に、URLが『https://xxx』とhttpの後に“s”が付いているかどうかで判別できます。
もしも、httpsになっていない場合は、IT担当者の方にご相談いただくか、我々にでも気軽にお問い合わせ頂ければと思います。
WordPressで構築されていることを見せない
次のセキュリティ対策が、webサイトをどのCMS(Contents Management System)で構築されているのか見せない、というものです。
CMSとは、ブログやニュースなど更新性のあるコンテンツを自社で作れるようなシステムのことを指します。その中でもWordPress(ワードプレス)と呼ばれるCMSは日本でのシェアNo.1のCMSです。
おそらく多くの企業がこのWordPressを使ってwebサイトを構築していると思います。
このWordPressですが、そのシェアの高さからWordPressで構築されたwebサイトを狙ったセキュリティ上の攻撃というものが存在します。
よって、webサイトがWordPressで出来ていること自体を“見えなくする”設定を行うことで、攻撃される可能性を低くする措置が有効です。
我々が構築しているサイトは、必ずこのWordPressで構築されていることを“見せない”設定を施しています。
ログイン画面のURLを変更する
次のセキュリティ対策が、ログイン画面のURLを変更する、というものです。
前項で少し触れましたが、webサイトが受ける攻撃の中でも管理画面へのログインを狙う攻撃が非常に多いです。
この攻撃に対する有効なセキュリティ施策の一つとして、そもそもログイン画面のURLを見つけにくくする、という施策があります。ログイン画面のURLを分かりにくくし、会社の一部の関係者しか分からなくすればそもそも攻撃を受ける回数が減るので有効なセキュリティ対策になります。
こちらも我々のお客様には、独自のログインURLを発行し、共有する対応をとっています。
ログイン画面に“ひらがな”での入力を求める
次のセキュリティ対策が、ログイン画面で特定のテキストの入力を求める対策です。
もしも、ログイン画面のURLを特定されてしまった場合、攻撃用のシステムを使ってパスワードなどを特定される危険性が高まります。
ただし、パスワードなどを特定されてもさらに特定のテキスト入力を求める仕様にしておけば自動でログインされるリスクが軽減されます。
具体的には上の画像の様な対策です。こうした攻撃の大半が海外から行われていることもあり、我々が制作するwebサイトには“ひらがな”を入力しなければログインできない様な機能を実装しています。
このひらがなは毎回ランダムに生成されるため、人が実際に目で見て入力せねばならず、不正ログインをされる確率を低減させることが期待できます。
ログインの失敗回数を制限する
次のセキュリティ対策が、ログインの失敗回数を制限することです。
前項とも関連しますが、攻撃用システムがパスワードを判定する際に、必ずログインボタンを押さなければなりません。よって、ログインを失敗しても良い回数を設定してあげると、攻撃用システムがパスワードを当てる前にアクセス自体を弾くことが可能になります。
これにより不正にアクセスされるリスクを低減することが期待できます。
サーバーへの外国IPアドレスでのアクセスを制限する
最後に、サーバーのセキュリティ対策です。
前述した様に、セキュリティ上の攻撃は海外から仕掛けられるケースが多いです。その特性を逆手にとり、海外のIPアドレスからのアクセスだと判定した場合には、サーバーにアクセスさせない、という設定にすることで、セキュリティ上のリスクを大幅に低減できます。
同じロジックで、国内の特定のIPアドレスからのみアクセスを可能にするという設定もできるので、よりセキュリティを高めたい場合はそのあたりをIT担当者の方とすり合わせるのも良いかもしれません。
この辺りも、現在自社がどの様な対策を取っているのか分からない、とかセキュリティ上の相談をしたいなど、気になったことがあればお気軽にご相談ください。
web制作でのセキュリティ対策について、まとめ
本日は、web制作においていつも我々が実施しているセキュリティ対策の一部をご紹介しました。
昨今、個人情報の流出などによる企業の信用力低下のニュースは枚挙に遑がありません。その様なセキュリティ上のリスクを顕在化させることなく、安心してwebサイトの運用を行うためにも、web制作の時点でセキュリティ対策を万全に行うことは非常に大切なことです。
