Webサイトへの攻撃による過去のインシデント
Webサイトにメールアドレスを打ち込んでもらって何かを申し込んでもらったり、Webサイトから何かを買ってもらったり、Webサイトを経由してデータのやり取りをするケースは案外多いものと思われます。
「何かの複雑なシステムを作ろう!」と意気込んでいる場合には、案外自分に慣れ親しまない『新たな挑戦』をすることになるので、思ったよりも身構えながら慎重に進めていくのが人間の性ですが、
普段自分が「利用者」として使っている『Webサイト』についても同じように考えられているでしょうか。
Webサイトを経由して情報のやり取りがあるということは、少なくともWebサイトからデータベースまでは、正当な経路でのデータのやり取りができているということを意味します。逆に言えば、このデータのやり取りに少しでも不十分なところがあれば、データが盗み見られたり、データを丸ごと持っていかれたりというセキュリティインシデントにつながりうるのです。
上記は、矢野経済研究所の事例ですが、メールアドレスが十万件規模で漏洩した可能性があることが発表されたことがあります。これほどの有名企業でも起こりうるインシデントであり、これからWebサイトを作ろうというときには、ぜひ一度セキュリティのことを考えてみる必要があります。
Webサイトの種類(超おおざっぱな分類)
Webサイトの分類としては、一般的にこのように分類されているわけではないかと思いますが、読み手から受けつけるデータの量と、表示・操作内容の柔軟性という観点から、大きく4つに分類できるのではないかと考えられます。
(1)Webアプリケーション
Webブラウザを使ってデータの入出力を行う場合、大半がWebアプリケーションを利用しているものと思います。例えば、Google Spread Sheet、銀行の入出金管理、ECサイト、などなどきりがありませんがこれらはすべてWebアプリケーションであり、取り扱うデータの量が多く、機能性・ユーザの操作の面ともに柔軟性の高いサービスであるといえます。
このようなアプリケーションは、ユーザの操作フローをイメージしながら、複雑な機能を実装し、データを処理・加工のうえ保存する必要があることから、基本的にはAWSやGCP、Azureなどのクラウドサービスを利用しながら、本格的なシステム開発を施すこととなります。そのため、この記事においては言及の対象外としています。
(2)企業のホームページ 等
企業の情報紹介や、問い合わせのために用いられるWebサイトです。特徴としては、Webサイトの柔軟性がそこまで求められない一方で、取り扱うデータの量が多くなりうる(問い合わせ情報などの管理を含む場合がある)ということがあります。
(3)オリジナリティ溢れるWebサイト 等
ちょっと分類名のダブり感が・・・ということはさておき、Webサイトを作る側の工夫をふんだんに盛り込んだものです。Webアプリケーションとの違いはデータ量にあるということになりますが、基本的には情報発信をメインとした使い方を想定するものです。情報発信がメインではあるので、ユーザ側からの情報収集をするケースは少ないものの、Webサイトの独自性・柔軟性が高くなります。
(4)日記型ブログ 等
これは、主に情報発信だけを意図したものであり、毎回基本的には定型のフォーマットで情報発信されるものを意図しています。
Webサイトで主に対策が必要な事項
IPAが公開している、『安全なウェブサイトの作り方』によれば、以下の対策に焦点が当てられており、Webサイトを安全に運営するためには対策が必要です。
①Webサーバの対策
②ネットワーク盗聴の対策
③フィッシング対策
④DNSの対策
⑤パスワード対策
⑥WAFによるアプリケーション保護
詳細が気になる方は、IPAのWebサイトでまとめられていますのでご確認ください。
安全なウェブサイトの作り方 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
最終的にこのページでは、対策を行うためのサービスをいくつか紹介します。
例えば、どんなに車が安全に作られていたとしても、飲酒運転をしては事故が起こってしまうように、どのようなサービスを使ったとしても、すべての丸投げにすることはできないということを意識する必要があります。
対策を行うためにおすすめのサービス
柔軟性の高いWebサイトを構築する場合(上図右側)には、本当に簡単に言えば、
①コンテンツを保管するためのサーバ
②アクセスするための仕組み(独自ドメインの登録)
③コンテンツを管理するための仕組み(WordPressなど)
が必要になります。
①と②は、自ら構築しようとする場合にはかなり手間がかかるため、セキュリティが担保され、かつ気の利いたレンタルサーバを用いることがおすすめです。
なお、レンタルサーバがどのようにセキュリティ対策が講じられているのかについては、様々な比較サイトで検討されていると思いますが、実際にはレンタルサーバ業者のセキュリティコントロールに関する書類をしっかりとレビューしないことには判断が難しいのです。
多くのレンタルサーバではそれらの書類が公表されているケースはありません。そのため、会社の財務状況と、セキュリティに関連する取り組み状況から判断することが賢明であると考えられます。
例えば、「さくらインターネット」のレンタルサーバは会社としてもプライム上場企業であり、ISMAPなどの高レベルのクラウド認証(別サービスですが、会社として取り組んでいるという意)にも取り組んでいるなど、セキュリティ意識の高さがうかがえます。
さらに、レンタルサーバを運営している石狩データセンタの範囲において、セキュリティに関する保証報告書であるSOC3レポートを受領しており、十分なセキュリティ水準を有していると考えられます。
※ただし、レンタルサーバのすべてのサービスが石狩データセンタで運営されているかは不明
また、このようなレンタルサーバを利用する場合においての注意点もいくつか公開されていますので、併せてご確認ください。