こんにちは、吉政創成 菱沼です。
ゴールデンウィークですね。長期休暇中は不正アクセスやウィルス感染などのセキュリティ事故が起きがちです。Webサイトも例外ではありませんので、バージョンアップなどをお忘れなく!
そういえばIPA(情報処理機構)が8年ぶりにWebサイトの脆弱性対策向けのガイドラインを改訂したことをご存知ですか?
今回はIPAのガイドラインとともに公開された小規模ウェブサイト運営者の脆弱性対策に関する報告書(概要)のデータと、自遊空間のランシステムが運営するサイト「サイバーテレワークソリューション」で、KUSANAGIが採用されたという事例をご紹介します。
■最近のWebサイトのセキュリティ事情
ところでWebサイトを構築する際や運用中に、脆弱性対策をしていますか?
IPAの調査報告書によると、
①Webサイトの構築を外部に委託する際、セキュリティ要件が契約に含まれていると回答したのは53.9%で、2012年に調査したときと比較すると増加傾向にある。
②Webサイトを構築する際に重視する点:1位コスト、2位運用中の利便性・拡張性、3位セキュリティ。
1、2位は2012年度調査時と数に大きな変化はないが、セキュリティは約13%増加。
③セキュリティ対策の管理・組織的な体制:Webサイトのセキュリティ管理の担当者が21.6%から32.7%に増加
といったことが分かったそうです。
この数字から見てもわかる通り、8年を経て、小規模サイトであってもWebサイトのセキュリティの向上を図るようにしていることがわかります。
その背景には、皆様もご存じの通り、昨今のサイバー攻撃で中小企業のWebサイトが狙われるケースが増えていることにあると考えられます。
小規模サイトが狙われていた理由として、セキュリティ対策が不十分なケースが多いため、セキュリティ対策がしっかりされている大手企業を狙うより狙いやすく、そして効率よく稼げること、中小企業の取引先である大手企業を攻撃する足掛かりにしやすいことがあると言われています。
そうした背景から、各中小企業は自発的に始めたというよりは、もしかしたら取引先や親会社である大手企業からセキュリティ要件を満たすよう、迫られて始めたのかもしれません。
■サイトのセキュリティ対策、まず何から始める?
では、具体的にどういった対策があるのでしょうか。
①脆弱性対応をしっかりすること(Webアプリケーション、Webサーバ)
②Webサーバ(OS、ミドルウェア、ネットワーク機器等)の設定を見直すこと
③専門家による定期的な脆弱性診断の実施、相談
④Webサーバのログを保管し、定期的に確認する
⑤Webサイトの特性に応じてWAFなどの機器を導入する
といったことが挙げられると思います。
(より具体的な対策を知りたい方はIPAの「安全なウェブサイト運営にむけて~ 企業ウェブサイトのための脆弱性対応ガイド ~」をご参照ください。)
また、調査でもあったように、そもそもWebサイトを構築するときにセキュリティ要件を組み込んでおくことも重要だと思います。そして、セキュリティ要件をどのように立てたらいいのか、要件を満たしているのか確認する方法がわからないと言った不安があるのなら、セキュリティの専門家に相談することも大事だと思います。コストが厳しいようなら、最近では最低限の項目だけを検査するようなものもあると思いますので、せめて立ち上げてすぐに脆弱性診断をするだけでも安心感はあると思います。
(それでも厳しいようなら、IPAの「安全なウェブサイトの運用管理に向けての20ヶ条 ~セキュリティ対策のチェックポイント~」を参考に、担当者がチェックするのでもいいと思います。)
Webサイトの脆弱性はなくなるものではありませんし、最初に対策をしてもずっとその効果があるというものでもありません。突然被害に遭う可能性もありますので、そうならないよう事前に対策を打っていきたいですね。
…とはいえ、セキュリティ対策にもお金がかかります。そのための費用を捻出するのもなかなか難しいことがあります。そうしたときはまず、KUSANAGIを導入することをご検討ください。
KUSANAGIは最新バージョンのOSで導入されますし、WAFも使用することができます。また、WordPressのバージョンアップ対応などのサポートも行っています。
まずは最低限の対策のところから始めていけるといいですね。
さて、今回ご紹介する事例のランシステム様は、自遊空間を運営している企業です。
自遊空間はテレワークでも利用できるような、安心で安全なネットワーク環境を構築されています。その同社が新たに立ち上げた「サイバーテレワークソリューション」のサイトでKUSANAGIを採用されました。KUSANAGIのパフォーマンスの向上とセキュリティ対策を評価されての導入です。ぜひご一読ください。
■事例のご紹介
自遊空間のランシステム、テレワークのための情報サイトでKUSANAGIを採用
株式会社ランシステム / サイバーテレワークソリューション
<課題>
サイバーテレワークソリューションの魅力を伝えるサイトの構築
安全でパフォーマンスの良いサイトにしたい
<効果>
サイトとWordPress管理画面のパフォーマンスが良好なサイトが完成した
セキュリティ対策が施されていることで安心してサイトを運営できる
<お客様コメント>
今回、初めてKUSANAGIが導入されたWordPressサイトを運営していますが、管理画面を含めて表示速度が速く、パフォーマンスの良さを実感しています。またメンテナンスなどの煩雑な作業も委託していることで、安心して本来の業務に集中することができています。
WordPressサイトは特に脆弱性が多いので、そのまま普通に使っている状態では安全だとは思えません。 KUSANAGIはベースとなる部分でセキュリティを向上させることができます。また、必要に応じてWAFオプションを利用することができる点が良いと思います。サイトの速度を速くすることができ、安心して使えるサービスだと思っています。