サイトセキュリティを保つための7つのステップ : 怖いサイバー攻撃からサイトを守ろう!
ホームページを作成するとなると、まず気になるのがサイトの安全性の問題です。
世界で作成されるホームページの数は増えるばかりで、2021年上半期だけでも18億6000万件を記録しました。そして、これに伴いサイバー攻撃の被害数も増加しています。ホームページを狙った攻撃は米国の場合、2020年から約400%も増加。FBI による発表では1日に最大4,000件のサイバー攻撃があったというから驚きです。また、DDoS(分散型サービス拒否)攻撃は2023年までに世界中で1540万件を超えると予想されています。
サイバー攻撃の高度化に伴い、今やすべてのサイトがセキュリティやプライバシー侵害の危険にさらされています。自社とユーザーのデータを守るためには、このような攻撃からサイトを保護し、サイトの安全性を確保する方法を知っておくことが重要です。この記事ではホームページの安全性について取り上げ、適切なホームページ作成ツールの選び方から、サイトセキュリティを向上させ、ビジネスを保護するための手順まで、サイバー世界の脅威からビジネスを確実に保護する方法について解説します。
サイトの安全性とは?
Web サイトの安全性(セキュリティの確保)とは、サイトのコンテンツやデータにアクセスし、改ざんや情報の窃盗を行う悪意のあるオンライン攻撃者からサイトを保護することを指します。また、サイト利用者の個人データやプライバシーも保護する必要があります。
サイトを作成するにあたっては、サイトとそのデータが安全であることをまず確認する必要があります。サイバー攻撃は増加の一途をたどり、ますます巧妙化しているため、サイト制作者はもちろん、セキュリティの専門家でも発見することが困難になる場合すらあります。そのため、安心してオンラインでビジネスを行うためには、セキュリティ対策のしっかりした適切なホームページ作成ツールを選ぶことが大切です。
サイトを狙ったサイバー攻撃の例
サイトのセキュリティが侵害される可能性は非常に高く、その手口もさまざまです。ここでは、最もよくみられるサイバー攻撃の手法と、それがサイトにもたらす潜在的な脅威についてご説明します。
SQL インジェクション
SQL インジェクションは、検索クエリ言語(コンピューターコードの一種)を使用してデータベースを制御し、機密情報を抽出するものです。このタイプの攻撃はデータベース内の情報を編集、変更、削除したり、パスワードやユーザー情報を取得するために使用されることもあります。アカマイの「インターネットの現状/セキュリティ」レポートでは、2020年1月から2021年6月の間に試みられた SQL インジェクションは62億件で、最も一般的なウェブ攻撃の上位に位置づけられています。
SQL 攻撃は甚大な被害をもたらすため、サイトとそのデータの両方を安全に保つための対策は必須です。攻撃を受けたことでサイトの機能に影響が生じ、機密性の高いユーザーデータの損失につながったり、サイトからパスワードが盗み出され、複数のオンラインプラットフォームにおけるユーザーアカウントのハッキングに使用されるケースなどもあります。
ランサムウェア
ランサムウェアは、コンピューターを感染させるために用いられる悪質なソフトウェアの一種です。一度アップロードされると、ファイル、システム、ソフトウェア、アプリケーションへのアクセスをブロックすることができます。ハッカーはこれを利用し、コンピューターと関連ファイルの解読、およびランサムウェアの削除を行う代償として、感染したユーザーに身代金を要求します。
2021年には、公立病院、政府機関、大企業などの組織がランサムウェア攻撃の犠牲となりました。これらのランサムウェア攻撃の大半はフィッシングによるもので、従業員がフィッシングメールを受け取り、その中の悪意のあるリンクをクリックすることでコンピューターやシステムが感染するという流れが一般的でした。
ランサムウェア攻撃は増加傾向にあり、特に2021年は37%の企業組織がランサムウェア攻撃の被害を受けたと報告されています。また、2021年上半期だけで、このような攻撃が前年同期比で62%増加したという FBI のデータもあります。
クロスサイトスクリプティング(XSS)
クロスサイトスクリプティング攻撃は、悪意のある JavaScript コードを、信頼できるウェブサイトを通じてユーザーのブラウザに仕掛ける手口を指します。このタイプの攻撃は、SQL インジェクションと同様、「悪意のあるマークアップテキストと無害なマークアップテキストを区別できない」というブラウザの特性を利用したものです。そのため、ブラウザは、受け取ったテキストをその意図に関係なくレンダリングしてしまいます。
クロスサイトスクリプティングは、ユーザーの Cookie(保存された情報)を盗み、オンラインでユーザーになりすますためによく使用されます。また、この手口を用いてウェブサイトの改ざんや、保護されたユーザー認証情報(例:パスワードやクレジットカード番号など)の収集を試みたケースもあります。2020年1月から2021年6月にかけては同様の手口が10億1900万件発生したと推定されており、Web サイトの安全性を確保するためにはクロスサイトスクリプティング対策も決して怠るべきではないことが分かります。
認証情報の再利用
ユーザーの認証情報が盗まれた場合、その影響は1つのサイトだけにとどまりません。複数のサイトで同じ認証情報を適用していた場合は、一度に多くのウェブサイトにまたがる被害が発生する可能性があるからです。
このタイプの攻撃は、サイトのセキュリティに対する最も一般的な脅威のひとつです。ユーザーが一般的に、複数のサイトやオンラインプラットフォームで認証情報を繰り返し使用するという傾向をうまく利用した手口だといえます。攻撃者はこれらのうち1種類をハッキングするだけで、当初のサイトだけでなく、同じユーザーが持つ他のサイトにもアクセスできてしまうというわけです。
DoS / DDoS 攻撃
DoS(サービス拒否)攻撃は、Web サイトの機能や使い勝手を阻害することを目的とした手口です。最も一般的な形態の1つが「分散型サービス拒否(DDoS)」攻撃で、ボットが複数のソースから Web サイトに大量の偽トラフィックを送信し、サーバーに過負荷をかけようとするものです。
DoS 攻撃はサーバーのタイムアウトを引き起こし、攻撃されたウェブサイトをアクセス不能にします。これはあらゆる規模のサイトにとって非常に有害な手法で、パフォーマンスにも悪影響を及ぼします。
サイトのセキュリティ侵害がもたらす影響
サイバー攻撃は、サイトの機能やパフォーマンスに重大かつ持続的な影響を与えます。短期的なトラフィックやコンバージョンの伸び悩みにはじまり、長期的にはブランドアイデンティティとビジネス上の評判にダメージを与える可能性があります。セキュリティ侵害がもたらす主要な影響としては、次のようなものがあります。
顧客離れ
ユーザーにあなたのホームページを信頼して利用し、リピーターとして戻ってきてもらうためには、ユーザーの個人データの安全を確保する必要があります。サイトが信頼できないと、CTA をクリックしたり、商品を購入することが難しくなるからです。悪意のある攻撃により、お客様の認証情報や機密情報が流出した場合、会社のホームページやビジネスに対するイメージに影響が及ぶことは間違いありません。これは残念ながら、Web サイトだけにとどまらず、ブランドの評判や顧客サービスにも影響を与えることになります。
検索エンジンのブラックリスト入り
サイトがセキュリティ侵害を受けた結果、検索エンジンのブラックリストに掲載されてしまうことがあります。たとえば、Google は Web サイトをクロールしてマルウェアや悪質なコードを発見した場合、影響を受けたサイトをブラックリストに追加します。ブラックリスト化されたサイトは検索結果に表示されにくくなるため、トラフィックが大幅に減少し、サイトを通じた顧客創出・維持に悪影響を及ぼす可能性があります。
同様に、定期的なダウンタイムがあったり、サーバーエラーが頻出するウェブサイトでは、ページのインデックスに問題が発生することがよくあります。Google がページをクロールする際にサーバーダウンエラー(通常500エラー)に遭遇すると、そのページを再びクロールしないよう指定する場合があります。こうなってしまうと同様にサイトの検索順位が下がり、新規訪問者の獲得に大きな影響が生じます。
サイトの停止
セキュリティ攻撃により、ログイン、新規登録、ショッピング機能など、サイトの重要なサービスが停止に追い込まれる可能性があります。その結果、ユーザーとサイト間のインタラクションが阻害されてしまいます。マルウェアの削除・修正にはコストも時間もかかるため、セキュリティ攻撃を受けた後に対処するよりも、当初より強力なセキュリティ対策を講じて先手を打っておく方がはるかに良いといえます。
サイトの安全性を高めるための7つのステップ
安全なサイト作りは、まず適切なホームページ作成ツール選びから。セキュリティに重点を置いているツールを選ぶことで、サイバー攻撃対策に必要以上の時間を費やすことなくサイトの運営に集中できます。以下では、大切なサイトを守るために、あなた自身が行うべきことと、ホームページ作成ツールが備えておくべき機能をいくつかご紹介します。
01. コアプラットフォームのアップデート & 豊富なビジネスツール
サイバー攻撃によるリスク対策はもちろん必要ですが、そもそもサイトのセキュリティ確保は当たり前のことであるべきです。
まずは、年中無休で監視されているプラットフォーム上でサイトを構築して、サイトおよびビジネスの安全性を確保しましょう。脆弱性をスキャンし、それに応じてアップデートを行うなど、最先端のセキュリティ機能を備えたプラットフォームを選ぶことをおすすめします。
また、サードパーティ製アプリはサイトのセキュリティ侵害の主な原因となり、一度に数百万ものサイトに害を及ぼす可能性があります。このような事態を避けるために、ビジネス運営に必要な機能をできるだけ多く内蔵したホームページ作成ツールを選ぶことをお勧めします。こうすることで、外部のアプリに依存することなく、よりビジネスに集中することができます。
02. SSL プロトコル
安全なウェブサイトは SSL(Secure Sockets Layer)プロトコルを含んでいます(サイト URL が https で始まるものを指します)。SSL プロトコルは Web サイトとサーバー間の通信を暗号化することで保護し、受け渡される情報をハッカーが閲覧・干渉することを防ぎます。SSL プロトコルは、新しく作成するすべてのサイトに標準装備しておくべきですが、オンライン決済や販売を行うサイトでは特に重要です。最近の SSL プロトコルは、暗号化を破ろうとするより高度な攻撃に対処するために継続的に更新されています。
Wix のようなホームページ作成ツールを使用すれば、自動的に最新の安全なプロトコル(TLS 1.2)を使用して、より強力に保護されたサイトを作成することができます。個人サイトから ネットショップまで必要なあらゆるタイプのサイトを作成・管理できるほか、会社とお客様のデータを最高の業界標準に沿って保護します。Wix サイトのセキュリティについての詳細は、こちらをご覧ください。
03. 安全な Web ホスティング
サイトの安全性を確保するためには何重もの保護策が必要ですが、信頼できる Web ホスティングはその不可欠な要素です。安全な Web ホスティングを利用していれば、サーバーを介したサイトへの攻撃を防ぐことができます。また、ホスティングサービスが定期的にスクリーニングされ、DDoS を含むあらゆる脅威への対策を備えていることも確認しておきましょう。
ホスティングサービスでは継続的なテストの実施に加えて、年中無休のサイト監視や、最先端のサイバー脅威への保護が保証されていることが理想的です。また、GDPR をはじめとするオンラインのプライバシーとセキュリティに関する国際標準にも準拠している必要があります。
04. 高度な管理者権限
チームで管理する必要があるような大規模なサイトでは、それぞれのメンバーに必要な権限のレベルが異なります。サイトの運営・管理に必要な操作内容とその程度をよく考えた上で、サイト管理者のみに権限を付与するようにしてください。サイトのユーザー全員にやみくもにすべてのアクセスを許可すると、サイトの脆弱性がさらに高まってしまいます。
また、すべてのサイト管理者が遵守すべきセキュリティポリシーを作成することをお勧めします。パスワードの設定方法、サードパーティアプリのダウンロード、その他サイト管理に関する重要なタスクをポリシー内で定めることで、チーム全体でのサイトに対するセキュリティ意識が高まります。
05. サイトのバックアップ
サイトのセキュリティ対策では攻撃を未然に防ぐことが重要となりますが、万が一セキュリティ侵害が発生した場合、迅速な復旧を行うためにはサイトのバックアップが欠かせません。これは、サイトのコピーを別に保存し、公開中のサイトが何らかの攻撃を受けた場合に復元できるようにすることを意味します。
Wix を含む多くのホームページ作成ツールは、すべてのサイトを自動的にバックアップするよう設計されています。何も操作しなくてもサイトは保存されているので安心です。もし、サイトが自動的にバックアップされるかどうかが分からない場合は、サービスを利用する前にツールの提供元やサイト開発者に確認しておくことをお勧めします。
06. デフォルト CMS 設定の変更
CMS(コンテンツ管理システム)の初期設定が変更されていない場合、サイトがハッキングされやすくなります。サイトを作成する際には、必ず変更するようにしてください。たとえば、サイトの管理者にそれぞれ異なる権限ロールを割り当てるなど、コメントやユーザーの設定変更から始めると良いでしょう。
このようにデフォルトの設定を変更することで、ハッカーがシステムを理解することが難しくなり、攻撃されにくくなります。多くのサイバー攻撃は自動化されており、多くの CMS のデフォルト設定を理解し、それを破ることができるボットによって実行されます。これらの設定を変更することで、ボットを使ったサイトの読み取りや攻撃がより困難になります。
07. パスワードのベストプラクティス
サイトのパスワードを定期的に変更することで、認証情報を狙った攻撃から身を守ることができます。パスワードは、数字、文字、記号を組み合わせた強固なものを選びましょう(長ければ長いほど安全です)。また、パスワードを共有したり、ブラウザに保存したりしないことも重要です。同じパスワードを複数のサイトで使用することは避け、サイトにアクセスできるすべての人がログイン情報を安全に管理していることを確認しましょう。
また、ハッカーによるアクセスを回避するために、ログインには多要素認証(MFA)を設定することを強くお勧めします。MFA ではモバイル端末からのプッシュ通知など、別のレベルのログイン認証が求められるためより安全です。
ライター: Wix Team
