,
これはセキュリティに関する内容です

何時

「このウェブサイト、セキュリティは大丈夫ですか?」

そう聞かれて、自信を持って「はい、大丈夫です!」と言えるでしょうか?

ウェブサイトのセキュリティ対策と言われても、なにをどこまでやればいいか、悩むというかたも多いのではないでしょうか。

検索をしても世の中にはさまざまな対策や手法が溢れています。また、セキュリティ対策には高額なお金がかかるというイメージもあるかもしれません。


WEB制作者が絶対にやっておくべき対策は、重要度順に以下の3つです。

  1. バックアップ
  2. SSL証明書(の導入)
  3. WAF(の導入)

以下、実際の内容を見ていきましょう。

1. バックアップ

Digital background depicting innovative technologies, data protection Internet technologies. Cloud computing digital concept

セキュリティで一番大切な対策はバックアップです。

「バックアップがセキュリティ?」「被害を受けないようにすることがセキュリティ対策では?」
と思われる方もいらっしゃると思います。

もちらん被害をうけないように対策をするのですが、残念ながらどのような対策をしても100%大丈夫ということはありません。サイバー攻撃を受けてWEBサイトのデータやファイルが改ざんされることもあります。

万が一ウェブサイトが攻撃を受けて被害にあったとき、バックアップを使って素早く復旧する必要があります。逆にバックアップがないとすぐに元の状態に戻せなくなり、復旧のために莫大なコストがかかる、復旧までに長時間サイトが停止する、など、さらに被害が拡大・長期化することになります。

何をどれくらいの頻度でバックアップすればいいか分からない。そん

具体的に何をバックアップするの?

どのようなサイトでもまず必要なバックアップは、

1. 公開ディレクトリ(WEBサイトを構成するHTML、PHP、CSS、JS、画像、PDF、動画などの全ファイルが置かれている最上位階層フォルダ)

となります。
公開ディレクトリ以外にもウェブサイトを構成するディレクトリ(フォルダ)やファイルがある場合は、それらもバックアップ対象となります。

また、ワードプレスなどのCMSを利用している場合は、

2. データベース(データベースの内容を書き出したSQLファイルなど)

もバックアップ対象となります。
公開ディレクトリとデータベースのバックアップがあれば、最悪サイバーアタックを受けてサーバにアクセスできなくなったとしても、バックアップだけで別の環境でサイト(サービス)を再開できます

バックアップの頻度と世代は?

WEBサイトの更新頻度にもよりますが、WordPressなどのCMSを利用した動的なサイトであれば、バックアップは原則毎日(1日1回)とるのが望ましいです。

また、バックアップには「世代」という概念があります。たとえば1日1回のバックアップを7日分残しておくと、7世代のバックアップ、ということになります。
通常、サイバー攻撃を受けてファイルやデータが改ざんされてもすぐに検知できるわけではありません。たとえばサイバー攻撃を受けて3日後に被害に気づいたとします。このときバックアップを1世代(1日)分しかとっていないと、バックアップデータがそもそも改ざんされた後のもので、改ざん前の状態に戻すことができません。

動的なサイトであれば

1日1回、7〜14世代

程度が理想です。

2. SSL証明書

Cyber security, data protection, information privacy. Internet and technology concept.

SSL証明書の導入は現代のWEBサイトには必須のセキュリティ対策です。

SSL証明書の効果

SSL証明書は「暗号化通信を行うもの」という

SSL証明書の種類

現代においてSSL証明書は必須のセキュリティ対策と言えます。

SSL証明書とは?と聞かれて、「通信を暗号化するもの」と答える方は多いと思います。
ただし、SSL証明書の目的はこれだけではありません。

SSL証明書の

SSL証明書には3つの種類があります。用途によって

  • EV証明書(EV)
  • 企業証明書(OV)
  • ドメイン証明書(DV)

● EV証明書(EV、Extended Validation)

実在認証(OV)よりも厳格な審査を経てから発行されます
多くのブラウザで企業名がより分かりやすく表示され、金融機関などでも広く採用されています。
発行には数万円〜十数万円かかる場合があります。

● 実在認証(OV、Organization Validation)

組織情報の審査を経てから発行されるSSL証明書です
組織情報の審査や、認証局からのお電話確認後にSSL証明書が発行されます。
発行されるSSL証明書の属性に、組織情報が設定されます。サイト運営者なりすまし防止としても有効です。
発行には1万円程度〜数万円かかる場合があります。

● ドメイン認証(DV、Domain Validation)

ドメイン管理権限を確認することで発行されるSSL証明書です。組織情報の確認や、認証局からのお電話を受けることなくSSL証明書が発行されます。
発行されたSSL証明書の属性に、組織情報が設定されません。個人による申請も可能です。
発行には千円程度〜数千円かかるものもありますが、無料で利用可能なDVもあります。

どの証明書を使うべきか?

どの証明書を使うべきかは、WEBサイトの運営元が個人なのか組織(会社)なのか、組織の規模、組織の性質、WEBサイト上で扱う内容などによって変わってきます。

ただ、無料で利用できるDVであっても、通信内容を暗号化するという機能に関しては、EV、OV証明書と変わりはありません。迷ったらまず無料の証明書を利用して、あとから有料証明書に切り替えてもいいでしょう。

3. WAF

WAFは

以上の要点を組み合わせて、ウェブサイトのセキュリティ強化を図りましょう。バックアップを取って、SSL証明書を導入し、WAFで攻撃から守ることで、ユーザーとデータの安全性を確保する役割を果たします。セキュリティの重要性を認識し、日々の開発作業において積極的な取り組みを行いましょう。

実際の対策方法

実際の対策方法は

  • レンタルサーバを使っている場合
  • VPSやクラウドサーバを使っている場合

で変わってきます。

レンタルサーバ前提のセキュリティはこちら

VPS・クラウドサーバ前提のセキュリティ対策はこちら