ITコラム
サイバー攻撃からWebサイトを守るために必要な対策
近年、企業のWebサイトを狙ったサイバー攻撃は増加傾向にあり、多くの企業が被害を受けています。サイバー攻撃の手口やリスク、必要な対策を理解してWebサイトへのサイバー攻撃に備える必要があります。この記事では、Webサイトへのサイバー攻撃の現況や企業のセキュリティへの取り組みの実態と、サイバー攻撃からWebサイトを守るために必要な対策のポイントをご紹介します。
目次
◎Webサイトへのサイバー攻撃の現況
Webサイトへのサイバー攻撃によって企業の有する個人情報や機密情報が盗まれたり業務が停止したりする被害は年々増加しています。警察庁が発表しているデータによると、平成29年からサイバー攻撃の犯罪検挙件数は毎年増え続けています。Webサイトへのサイバー攻撃が増加している背景には、インターネットやスマートフォンの普及によるシステム環境の多様化やWebサイトの複雑化があります。企業のWebサイトや工場等の制御システム、企業が管理するさまざまな機器などがインターネットでつながるようになりました。便利なサービスが増えWebサイトを取り巻く環境が複雑化するほど、サイバー攻撃によって侵入できる入り口が増えて手口も巧妙化しているのです。
サイバー攻撃は、ターゲットとなる相手によって標的型攻撃とサプライチェーン攻撃に分類されます。標的型攻撃は不特定多数ではなく特定の企業を狙って攻撃するもので、企業の業務内容や取引先を周到に調査した上で、業務に関係する内容を装ったメールでマルウェアを送付するなどして攻撃します。サプライチェーン攻撃は、大企業の取引先でサプライチェーンを担っている中小企業を狙って攻撃し、最終的なターゲットである大企業に大きなダメージを与える攻撃です。サプライチェーン攻撃は近年増加傾向にあります。セキュリティ対策が手薄な中小企業を踏み台にして国内の大手製造業を稼働停止に陥れるなど、被害規模も大きく組織にとって大きな脅威となっています。Webサイトへのサイバー攻撃の代表的な手法には、DDoS攻撃、不正アクセス、ランサムウェアがあります。DDoS攻撃はWebサイトのサーバーに一斉に大量のアクセスを行って負荷をかけ、Webサイトの処理速度の低下やサーバーを停止させWebサイトをダウンさせます。
不正アクセスは、流出したIDとパスワードの悪用やWebサイトの脆弱性をついた攻撃による不正な手段でWebサイトにログインし、個人情報や機密情報の漏洩やシステムの破壊を行うものです。ランサムウェアはマルウェアの一種で、感染したコンピューターをロックしたりファイルを暗号化して開けなくしたりし、元に戻すことと引き換えに身代金を要求するメッセージを表示させます。「身代金を支払わないと盗んだ情報を流出させる」など二重の脅迫を行う手法が多くを占め、暗号化することなくデータを窃取してしまう新たな手口も増えています。ランサムウェアは、Webサイトやネットワーク機器の脆弱性やリモートデスクトップのアカウント管理不備といった隙を狙って企業の内部ネットワークに侵入し、内部ネットワークの情報を把握した上で検知を逃れながら攻撃を仕掛ける非常に巧妙な手口で、近年被害が増えています。
◎中小企業におけるサイバー攻撃対策の実態
日本の中小企業には、情報セキュリティへの認識や対策が不足している企業が多いといわれています。独立行政法人情報処理推進機構(IPA)が2021年度に中小企業向けに実施したアンケート調査によると、中小企業の3割以上が情報セキュリティ対策に投資を行っていないと回答しています。その理由として最も多かったのが、必要性を感じていないからという理由で、全体の4割にのぼりました。そのほかの理由としては、何から対策すれば良いかわからない、手間がかかる、コストがかかりすぎるなどです。サイバー攻撃を脅威と認識していると答えた中小企業は8割を超えている一方で、実際には情報セキュリティへの投資の優先度を高めず対策できていない企業が多いのです。
自社は被害に合わないだろう、という考えが抜けずに無防備なWebサイトを運用していくことは大きなリスクが伴います。また、Webサイトへのサイバー攻撃の手口は巧妙化しており、被害を受けたことに気付いていないケースも非常に多いと考えられています。同一のアンケート調査で、サイバー攻撃の被害を受けたことがあると回答した企業は10%にも満たなかったですが、IPAの実際の調査では中小企業1,117社に設置した機器が外部からの不審なアクセスを181,536件も検知したことが明らかになっています。Webサイトへのサイバー攻撃は顧客や取引先を含む外部からの指摘によって被害を受けたことが発覚するケースが多く、気付いたときには既に大きな被害が発生していたという状況になりかねません。
◎Webサイトへのサイバー攻撃が企業に及ぼす影響
Webサイトへのサイバー攻撃により、企業には大きな悪影響が及びます。Webサイトへのサイバー攻撃による直接的な被害のひとつが、情報漏洩です。企業が有する個人情報や機密情報がWebサイトから流出すると、企業イメージは悪化し、顧客や取引先からの信頼を失います。個人情報保護法の対象となる個人情報が流出した場合は、本人への通知義務があるため、損害賠償や対応費用のコストも大きくなります。また、Webサイトへのサイバー攻撃によってWebサイトが停止したり業務が継続できなくなったりした場合は、ビジネス機会の損失につながります。サプライチェーン攻撃で自社を踏み台にして他社が攻撃されていた、となれば自社の責任が問われる場合もあります。
Webサイトへのサイバー攻撃によって、社会的評価が下がり、顧客流出や取引停止という影響も生じます。実際に、2022年2月、大手メーカーに部品供給を行っていた協力企業がランサムウェアによるサイバー攻撃を受け、Webサイトやすべてのシステムを停止する事態に陥りました。この影響により、取引先の複数の大手メーカーが工場の稼働を取り止め、大規模な生産停止により大きな被害がでました。サプライチェーン攻撃により重大な被害につながった事例です。Webサイトへのサイバー攻撃が複雑かつ巧妙化している現在、企業がサイバー攻撃に備えた対策を行うことの必要性は高まっています。企業の大小に関わらず、企業の業態やWebサイトの種類、取り扱う情報の種類と適用される法令に基づき、顧客や取引先との信頼を守り社会的責任を果たすために必要な対策をとることが重要です。
◎Webサイトにおけるサイバー攻撃対策のポイント
Webサイトをサイバー攻撃から守るためには、平時から有効な対策を行うことと、サイバー攻撃を受けた場合の連絡体制や対応手順などを取り決め周知徹底することが大切です。
〇最新のセキュリティパッチを適用する
OSやアプリケーションは、脆弱性があるとサイバー攻撃の標的になりやすくなります。OSやアプリケーションの脆弱性が見つかったときにベンダーから提供される追加プログラムがセキュリティパッチです。Webサイトをサイバー攻撃から守るためには、常時最新のセキュリティパッチを漏れなく速やかに適用しておくことが重要です。セキュリティ担当者は、常にセキュリティパッチの情報収集を行い、自社の関連機器へのパッチ適用作業や従業員へのパッチ適用作業の依頼、適用状況の管理を徹底する必要があります。
〇多層防御でセキュリティを強化する
Webサイトへのサイバー攻撃を防ぐことのみにフォーカスするのではなく、サイバー攻撃によって脅威が侵入した後の対策にも目を向けて複数の防御層を設定する考え方を、多層防御といいます。サイバー攻撃による侵入を防ぐ入口対策、侵入された場合に速やかに検知して被害拡大を防ぐ内部対策、素早い対処で情報を守る出口対策を行うことで、よりセキュリティを強化できます。入口対策は、マルウェアをはじめとするサイバー攻撃が自社のネットワークに侵入することを防ぎます。メールフィルタリングや通信可否を制御するファイアウォール、IPS(不正侵入防止システム)、アプリケーションの脆弱性対策に特化したWAF(Web Application Firewall)などが有効です。
内部対策は、サイバー攻撃による侵入をアンチウイルスソフトやログ監視によって早期に異常検知します。出口対策は、サイバー攻撃による侵入があった場合に情報漏洩等の被害拡大を防ぐ対策です。プロキシサーバーを導入して、自社の端末のインターネットへの通信を代理するようにし、プロキシサーバーに不正な通信をブロックする機能を実装しておくことで、機密情報のファイルがサイバー攻撃の攻撃元に送信されないようにすることも有効な手段のひとつです。
〇従業員への情報セキュリティ教育を実施する
従業員への定期的な情報セキュリティ教育の実施もサイバー攻撃対策に重要です。セキュリティ担当者のみならず全従業員にもサイバー攻撃の実態や自社が攻撃を受けた場合の影響を認識してもらい、企業として情報セキュリティへの意識を向上させましょう。Webサイトがサイバー攻撃を受けた場合は、適切な初動をとることが大切です。サイバー攻撃を受けた場合の連絡先や行動指針、対応体制等を取り決めておきましょう。それらを定期的な情報セキュリティ教育のカリキュラムのひとつとして従業員に周知したり、Webサイトへのサイバー攻撃への対応訓練を行ったりして、平時から意識を高めておくことが重要です。
〇端末やアクセス権の管理を徹底する
業務で利用する端末や自社のネットワークには、個人情報や機密情報が多く保管されています。業務用端末の持ち出しや個人の端末の持ち込みには制限を設け、必要な場合はセキュリティ担当者への申請手続きを行うなどして管理する必要があります。パソコンに限らず、スマートフォンやタブレットなどのデバイスも重要な情報を含んでいます。すべてのデバイスの利用者や保管場所を管理しておきましょう。また、Webサイトやサーバーへのアクセス権限の管理を徹底することも大切です。ユーザーの使い回しや単純なパスワードを許可しないことはもちろん、従業員の異動や退職に合わせて速やかにアクセス権限の見直しを行いましょう。
〇運用しやすくセキュアなツールを利用する
WordPressに代表されるオープンソース型のCMSによって、Webサイトを手軽に作成できるようになりましたが、オープンソース型のCMSには脆弱性が多くあるためサイバー攻撃に狙われやすく、Webサイトのセキュリティ対策には注意が必要です。WordPressの脆弱性を狙ったWebサイトへのサイバー攻撃のなかでも、とくに多くみられる攻撃事例が、SQLインジェクション攻撃とクロスサイトスクリプティングです。SQLインジェクション攻撃は、Webサイトからサーバーに渡される文字列に悪意のあるSQL文を注入し、データベース内の個人情報窃取やデータベースを改ざんする攻撃で、Webサイトの運用に大きな被害が及びます。
クロスサイトスクリプティングは、Webサイト内に悪意のあるスクリプトを仕掛けるものです。Webサイト管理者やユーザーを悪意のある外部のWebサイトにリダイレクトしたり、Webサイト管理者がWebサイトの管理画面にログインできなくなったりする被害がでます。サイバー攻撃からWebサイトを守るためには、操作の簡単さはもちろん、セキュリティも強化されたツールを利用してWebサイトを運用していくことが大切です。
◎サイバー攻撃に強いツールの選び方
サーバー管理や速やかなセキュリティパッチ適用などWebサイトのサイバー攻撃対策は、管理する担当者の負荷も大きく、専門知識やノウハウも必要です。担当者の負担や不安を減らし、簡単でわかりやすく効果的な対策が行えるような仕組みづくりが重要です。運用しやすくサイバー攻撃に強いツールを導入することで、安心してWebサイトを運用できます。当社独自のCMSである更新プログラム+はセキュリティ対策が強化されており、誰でも簡単かつ安全にWebサイトを運用できます。
IPS、WAF、専門家が最新のセキュリティパッチを常時適用しているマネージドサーバーというセキュアな環境で、顧客のWebサイトをサイバー攻撃から守ります。Webサイト運用後のサポートも充実しているため、Webサイトの予期せぬトラブルが発生した場合も安心です。当社の更新プログラム+で、Webサイトをサイバー攻撃から守り安全に運用していきましょう。
◎まとめ
ECサイトをグローバル展開することで、リスクを抑えつつ販路を拡大できます。国や地域によって文化や価値観が異なるので、グローバル展開を成功させるには徹底した市場調査が重要です。ターゲットに合わせたマーケティング戦略や決済方法を選択することで、効果的に海外ユーザーを獲得できるようになります。配送方法や輸出規制などの注意点を理解したうえで、ECサイトのグローバル展開を成功させて売上アップを目指しましょう。