ウェブサイトのセキュリティ対策と言われても、なにをどこまでやればいいか、悩むというかたも多いのではないでしょうか。検索をしても世の中にはさまざまな対策や手法が溢れています。また、セキュリティ対策には高額なお金がかかるというイメージもあるかもしれません。
WEB制作者が絶対にやっておくべき対策は、重要度順に以下の3つです。
- バックアップ
- SSL証明書(の導入)
- WAF(の導入)
上記にプラスして、企業のホームページや商用サイトで導入したいのは
- DDoS(の緩和)
- 改ざん検知
対策となります。
1. バックアップ
バックアップがセキュリティ?と思われる方もいらっしゃると思いますが、サイバー攻撃を受けてWEBサイトのデータやファイルが改ざんされることもあります。攻撃を受けないようにさまざまな対策をするのですが、万が一攻撃を受けたときに、素早く復旧する必要があります。バックアップがないと元の状態に戻せなくなる場合もあります。
具体的に何をバックアップするの?
具体的には
- WEBサイトを構成するHTML(PHP)、CSS、JS、画像、PDF、動画などの全てのファイル
- データベース
となります。考え方としては、仮にサイバーアタックを受けてサーバにアクセスできなくなったとしても、バックアップを使って別の同じ環境でサイト(サービス)を再開できること、となります。
バックアップの頻度と世代は?
WEBサイトの更新頻度にもよりますが、WordPressなどのCMSを利用した動的なサイトであれば、バックアップは原則毎日(1日1回)とるのが望ましいです。
また、バックアップには「世代」という概念があります。たとえば1日1回のバックアップを7日分残しておくと、7世代のバックアップ、ということになります。
通常、サイバー攻撃を受けてファイルやデータが改ざんされてもすぐに検知できるわけではありません。たとえばサイバー攻撃を受けて3日後に被害に気づいたとします。このときバックアップを1世代(1日)分しかとっていないと、バックアップデータがそもそも改ざんされた後のもので、改ざん前の状態に戻すことができません。
動的なサイトであれば
1日1回、7〜14世代
程度が理想です。
2. SSL証明書
SSL証明書の導入は現代のWEBサイトには必須です。
SSL証明書の種類
SSL証明書には3つの種類があります
- EV証明書(EV)
- 企業証明書(OV)
- ドメイン証明書(DV)
● EV証明書(EV、Extended Validation)
実在認証(OV)よりも厳格な審査を経てから発行されます。
多くのブラウザで企業名がより分かりやすく表示され、金融機関などでも広く採用されています。
発行には数万円〜十数万円かかる場合があります。
● 実在認証(OV、Organization Validation)
組織情報の審査を経てから発行されるSSL証明書です。
組織情報の審査や、認証局からのお電話確認後にSSL証明書が発行されます。
発行されるSSL証明書の属性に、組織情報が設定されます。サイト運営者なりすまし防止としても有効です。
発行には1万円程度〜数万円かかる場合があります。
● ドメイン認証(DV、Domain Validation)
ドメイン管理権限を確認することで発行されるSSL証明書です。組織情報の確認や、認証局からのお電話を受けることなくSSL証明書が発行されます。
発行されたSSL証明書の属性に、組織情報が設定されません。個人による申請も可能です。
発行には千円程度〜数千円かかるものもありますが、無料で利用可能なDVもあります。
どの証明書を使うべきか?
どの証明書を使うべきかは、WEBサイトの運営元が個人なのか組織(会社)なのか、組織の規模、組織の性質、WEBサイト上で扱う内容などによって変わってきます。
ただ、無料で利用できるDVであっても、通信内容を暗号化するという機能に関しては、EV、OV証明書と変わりはありません。迷ったらまず無料の証明書を利用して、あとから有料証明書に切り替えてもいいでしょう。
3. WAF
WAFは
以上の要点を組み合わせて、ウェブサイトのセキュリティ強化を図りましょう。バックアップを取って、SSL証明書を導入し、WAFで攻撃から守ることで、ユーザーとデータの安全性を確保する役割を果たします。セキュリティの重要性を認識し、日々の開発作業において積極的な取り組みを行いましょう。
実際の対策方法
実際の対策方法は
- レンタルサーバを使っている場合
- VPSやクラウドサーバを使っている場合
で変わってきます。
レンタルサーバ前提のセキュリティはこちら
VPS・クラウドサーバ前提のセキュリティ対策はこちら
コメントを残す