COOSY BLOG
  • HOMEホーム

  • SERVICEサービス

    • サービスTOP
    • Web制作
    • ブランディング
    • デジタルマーケティング
    • 戦略企画
    • DX推進・システム開発
    • グローバル展開
  • WORK制作実績

    • 制作実績TOP
    • コーポレートサイト
    • 採用サイト
    • ECサイト
    • プロモーション
    • サービスサイト・SaaS
    • システム開発
  • ABOUTクーシーについて

    • クーシーについて
    • 会社情報
    • 私たちが大切にしていくこと
    • お知らせ
    • クーシーラボ岩手
    • ロンドン支社
    • ミャンマー支店
  • BLOGブログ

  • RECRUITリクルート

  • Contactお問い合わせ

BLOG MENU

  • BLOGトップ
  • 目的別

    • 目的別TOP
    • コーポレートサイト
    • ECサイト
    • オウンドメディア
    • 採用サイト
    • プロモーション
    • Webサービス
    • LP
    • ブランディング・CI
  • Web制作ハウツー

    • Web制作ハウツーTOP
    • UIUX・サイト設計
    • WebデザインTips
    • PM/ディレクション
    • フロントエンド(HTML/CSS)
    • 撮影・動画編集
    • ライティング
    • CMS
    • Web制作ツール
    • イラスト
  • システム開発

    • システム開発TOP
    • プログラミング
    • EC構築
    • CMS開発・構築
    • サーバ構築
    • データベース構築
    • セキュリティー
  • Webサイト運用のコツ

    • Webサイト運用のコツTOP
    • サイト運用・管理・保守
    • コンテンツ運用
    • CRM(顧客管理)
  • Webマーケティング

    • WebマーケティングTOP
    • SEO対策・トレンド
    • コンテンツ制作・SEOライティング
    • アクセス解析
    • Web広告
    • Web集客ハウツー
  • 特集

    • 特集TOP
    • Web最新トレンド
    • カルチャー
    • ガジェット

Share on

  • Xでシェアする
  • Facebookでシェアする
  • このエントリーをはてなブックマークに追加

Web制作で必須!セキュリティ対策を解説

  • システム開発
  • Webサイト運用のコツ
  • セキュリティー
  • サイト運用・管理・保守
Web制作で必須!セキュリティ対策を解説

この記事ではWebサイトのセキュリティ対策について解説します。

ひょっとしてあなたは、こんなふうに思っていませんか?
「うちみたいな小さい企業は攻撃されないから大丈夫」
「うちのサイトは攻撃されても被害は少ない」

その認識はいずれも間違いです。

今や組織の規模にかかわらず、Webサイトはサイバー攻撃のターゲットになり得ます。また自社サイトでの被害は少なかったとしても、他社サイトに被害をもたらす可能性もあるのです。

本記事ではサイバー攻撃の現状や手口を踏まえて、どんなセキュリティ対策がとれるかを解説しています。自社サイトのセキュリティ対策がなんとなく気になっている方はぜひ最後までお読みください。

ではいってみましょう。

Webサイトなどへのサイバー攻撃の現状

サイバー攻撃とは、悪意のある第三者がインターネットを利用して、企業や団体のサイトを改ざんしたりサーバーから情報を盗んだりすることです。

NICTが公表している『NICTER 観測レポート2022』によれば、2022年に観測したサイバー攻撃関連通信数は約5,226億パケットでした。10年前の2013年が約128.8億パケットなので、およそ40倍です。2020年以降数値は上がっていませんが、依然高い値で推移しています。

NICTRにおけるサイバー攻撃関連のバケット数の推移
NICTRにおけるサイバー攻撃関連のバケット数の推移(単位:億パケット)
『NICTER 観測レポート2022』を元に作成

サイバー攻撃はかつては愉快犯による犯行が多かったですが、現在は金銭や情報の取得を目的としたもののほかテロの手段として使われることもあります。

大手企業をはじめとする大規模な組織が攻撃されるイメージがあるかもしれませんが、 中小企業も攻撃の対象です。中小企業は大手企業のネットワークに侵入する経路として利用されます。 大手企業に比べてセキュリティレベルが低いところが多く攻撃しやすいからです。

組織の規模に関わらず、セキュリティ対策が重要になってきていると言えます。

Webサイトへのサイバー攻撃は大きく2種類

Webサイトへのサイバー攻撃の手口

Webサイトへのサイバー攻撃の手口は大きく分けて2種類です。順番に見ていきましょう。

1.サーバーなどに過度な負荷をかけるサイバー攻撃

サーバーなどに過度な負荷をかける手口として、代表的なのが「DoS/DDoS攻撃」です。

DoS/DDoS攻撃

DoS/DDoS攻撃は、標的のサーバーに大量のアクセスもしくはデータを送信することで負荷をかけ障害を起こすものです。攻撃を受けるとアクセス障害やサービス停止などの被害が発生します。

DoS攻撃とDDoS攻撃の違いは、PCを何台使ったかです。1台ならDoS攻撃、複数台ならDDoS攻撃となります。DDoS攻撃の場合、第三者の PC を利用していることもあり、より匿名性が高く悪質な攻撃とされています。

類似の手口として「F5アタック」があります。サーバー側にサイトのリロードを頻繁に要求することで過剰な負荷をかけるものです。本質的にはDoS/DDoS攻撃と同じと考えていいでしょう。

2.OSやアプリケーションなどの脆弱性を狙ったサイバー攻撃

OSやアプリケーションなどの脆弱性を狙った攻撃には以下のものがあります。

  • ゼロデイ攻撃
  • フォームジャッキング
  • SQLインジェクション
  • OSコマンドインジェクション
  • クロスサイトスクリプティング

順番に見ていきます。

ゼロデイ攻撃

ソフトウェアなどのセキュリティホールが発見されてから対処法が確立されるまでの期間を「ゼロデイ」といいます。この期間に当該の脆弱性に対して仕掛けられるサイバー攻撃が「ゼロデイ攻撃」です。

アップデートにまでにはどうしても時間がかかるので、ソフトウェアの利用を中止する、あるいはゼロデイ攻撃を目的とした通信を検知・遮断することで一時的に対応します。

フォームジャッキング

フォームジャッキングは、正規サイトの購入ページの入力フォームなどに悪意のあるスクリプトを埋め込み、クレジットカードなどの個人情報を盗み出すものです。フォームが送信されると、情報は不正に悪意のある第三者の手に渡ることになります。

SQLインジェクション

SQLとはデータベースに対して、データの読み出しや更新・削除などの操作をするために使われる言語です。 SQLインジェクションはアプリケーションの脆弱性につけ込み、不当な SQL文を作成・注入することでデータベースの不正操作を行います。 個人情報の漏洩につながる悪質な攻撃です。

OSコマンドインジェクション

OSコマンドインジェクションは、Webアプリケーションの脆弱性を突いてOSに対して不正なOSコマンドを送信し、対象PCやサーバーに不正アクセスする攻撃です。SQLインジェクションのOS版と考えていいでしょう。

WebサーバーへのリクエストにOSへのコマンドを紛れ込ませ、不正に実行をさせます。これによりサーバー内のファイルに、改ざん、削除、流出などの被害が生じる恐れがあります。

クロスサイトスクリプティング

クロスサイトスクリプティングはウェブサイトの脆弱性を利用して、記述言語である HTML に悪質なスクリプトを埋め込む攻撃です。 罠が仕掛けられたリンクをクリックすると別のサイトに飛ばされ、マルウェア感染などを引き起こします。

Webサイト制作・運営で必要なセキュリティ対策10つ

Webサイト運営におけるセキュリティ対策

Webサイト運営においては、以下のようなセキュリティ対策があります。

  • セキュアプログラミング
  • サーバーOSやソフトウェア、CMSのアップデート
  • ファイアウォール、IPS、WAFの導入
  • セキュリティソフトの導入
  • パスワードポリシーの設定と適用
  • 改ざん検知
  • 常時SSL化
  • 脆弱性診断
  • ペネとレーションテスト
  • ログの管理

一つずつ見ていきます。

セキュアプログラミング

セキュアプログラミングとは、セキュリティ上の脆弱性を最小限に抑えたプログラムを開発する手法です。SQLインジェクションなど、既知のリスクに対して設計段階から対策を講じます。開発の下流工程で脆弱性が発見されるよりも、対応が簡単にできるのがメリットです。

サーバーOSやソフトウェア、CMSのアップデート

サーバーOSやソフトウェア、CMS(コンテンツ管理システム)などのプログラムはセキュリティ上の脆弱性を持つ場合があります。アップデートは脆弱性に対する手軽で確実な対策の一つであり、定期的に実施することが重要です。最新バージョンを利用することで、脆弱性のリスクを最小限に抑えられるため、常に最新バージョンを導入するようにしましょう。

ファイアウォール、IPS、WAFの導入

ファイアウォール、IPS、WAFはいずれも攻撃に関連する通信からサイトを守るシステムです。ただし、それぞれ異なるレイヤーでの保護を提供します。

ファイアウォールはネットワークの境界線に設置され、IPアドレスやポート番号で通信の通過・遮断を判断します。IPS(Intrusion Prevention System)はOSやネットワークを行き来する通信を監視し、不正な通信や攻撃・侵入を防御します。WAF(Web Application Firewall)は最後の砦です。Webアプリケーション層で通信を監視し攻撃を検知してブロックします。

セキュリティソフトの導入

セキュリティソフトはコンピューターをサイバー攻撃から守ります。

  • ウイルスやスパイウェアの検出・駆除
  • ファイアウォール機能による不正アクセスを防止
  • マルウェア感染の感染源と感染範囲の特定

ウイルスやスパイウェアなどの脅威は、Webサイトを閲覧するだけで感染することがあります。セキュリティソフトがなければパソコンに深刻な被害をもたらす可能性がありますが、これを防ぐことができるのです。

またファイアウォール機能がパソコンとインターネットの間に立ち、不正アクセスや攻撃を防止します。

パスワードポリシーの設定と適用

パスワードポリシーとは、パスワードの複雑性や更新頻度などを定めたルールのことです。

  • パスワードの複雑性要件(大文字・小文字・数字・記号など)
  • パスワードの長さ要件
  • パスワードの有効期限設定
  • パスワードの再利用禁止 など

これらのルールを設定することで、パスワードのセキュリティを強化し、不正アクセスや情報漏えいなどのリスクを軽減することができます。

改ざん検知

改ざん検知とは、Webサイトが不正な改ざん行為に遭った際に、自動的に検知してアラートを発する技術のことです。改ざんが検知されると、速やかに対処することができるため、被害を最小限に抑えることができます。ハッシュ値やタイムスタンプの比較などの方法があります。

常時SSL化

常時SSL化は、Webサイトの通信を常に暗号化することにより、情報漏えいや不正アクセスなどのリスクを軽減するセキュリティ対策です。WebサイトにSSL証明書を取得し、HTTPSプロトコルを使用することで、通信内容を暗号化します。また、SSL証明書を使用してサイトの認証を行うことにより、ユーザーがWebサイトにアクセスする際に、正規のWebサイトであることを確認できます。さらに、Googleの検索順位の決定要因にもなっているため、常時SSL化はセキュリティだけでなくSEO面でもメリットがあります。

脆弱性診断

脆弱性診断とは、Webサイトに存在する脆弱性のリスクを評価し、必要性が認められればセキュリティの強化を図るプロセスです。定期的に実施することが重要で、頻度は3ヶ月、半年、1年に1回程度が一般的です。

方法は自動化ツールを用いることが多いですが、専門家が手動でコードをレビューする方法もあります。これにより自動化ツールでは発見できない脆弱性が見つかることもあるため、両方の方法を組み合わせることが望ましいでしょう。

診断ツールを使えば自社で実施することも可能ですが、適切な設定ができないと、適切な診断結果が得られないことがあります。自社で脆弱性診断を行う際には、その点にご注意ください。

業者に脆弱性診断を依頼する場合、あらかじめ想定されるリスクを折り込んで診断を行うので、精度の高い診断ができます。費用はサイトの規模や構造によって変わってきますので、依頼する業者にご相談ください。

ペネトレーションテスト

ペネトレーションテストは、Webサイトに対する攻撃シナリオを作成し、実際に攻撃を行うことで、Webサイトのセキュリティ対策を評価するテストです。脆弱性診断よりも高度なテストであり、攻撃者の視点からWebサイトの脆弱性を発見することができます。

ペネトレーションテストによって、実際の攻撃に耐えうるセキュリティ対策ができているかを評価できます。実際に攻撃を行うという性質上、稼働中のWebサイトに対して実施できない場合もありますので、事前の準備が必要になる可能性があります。

ログの管理

Webサイトのログの管理は、セキュリティ上重要です。ログは、アクセス履歴やエラー情報を含み、セキュリティインシデントの追跡や不正アクセスの検知などに役立ちます。ログ取得、保存期間の設定、監視と分析が重要で、これらを適切に行うことでWebサイトのセキュリティを強化できます。

ログの取得にあたっては、必要な情報だけを取得するように設定し、不要な情報を含めないように注意することが重要です。また、保存期間については、法令や規制を考慮して設定することが望ましいです。監視と分析には、適切なツールを使用し、ログの解析や不審なアクティビティの検知を行うことが重要です。

セキュリティ対策もクーシーにお任せ!

弊社でのセキュリティ対応

通常弊社で行うのは最低限必要なセキュリティ対策のみです。それ以上の対策は、お客様のご要望に応じてご提案しています。

最低限のセキュリティ対策とは以下のものです。

  • セキュアプログラミング
  • サーバーOSやソフトウェア、CMSのアップデート
  • 常時SSL化
  • ログの管理

セキュアプログラミングによって既知のリスクに設計段階から対策し、公開後に発見される脆弱性については各種アップデートで対応します。これらに加えて常時SSL化で、情報漏えいや不正アクセスなどのリスクを軽減します。ログについては最低限の管理となりますが、サイトのアクセスログやエラーログなど最低限必要なログは保管して確認できるようにしています。

お客様の側でパスワードポリシーの設定と適用をしていただければ、さらにしっかりとした対策になるでしょう。

これ以上は高度な対策となり費用も発生しますので、とくに高いセキュリティが求められる場合のみご検討いただければよいかと思います。該当しそうな場合はご相談ください。

まとめ

以上、Webサイトへのサイバー攻撃と対抗するセキュリティ対策についてお伝えしました。

ネットに公開している以上、どんなWebサイトも攻撃の対象となり得ます。本記事でお伝えしたとおり、サイバー攻撃は目的も方法も多様化しているため、あなたのサイトが被害に遭うことも十分考えられるのです。

攻撃一覧
クーシーブログ編集部

この記事を書いた人

クーシーブログ編集部

1999年に設立したweb制作会社。「ラクスル」「SUUMO」「スタディサプリ」など様々なサービスの立ち上げを支援。10,000ページ以上の大規模サイトの制作・運用や、年間約600件以上のプロジェクトに従事。クーシーブログ編集部では、数々のプロジェクトを成功に導いたメンバーが、Web制作・Webサービスに関するノウハウやハウツーを発信中。

お問い合わせはこちらから

Web制作デザイン、丸ごとお任せ

お問い合わせする

2023/04/13

テキスト:加藤久佳 デザイン:小林沙綾

Share on

  • Xでシェアする
  • Facebookでシェアする
  • このエントリーをはてなブックマークに追加
お問い合わせはこちら

セキュリティー・サイト運用・管理・保守の関連記事はこちら

  • 初心者向けのWordPressセキュリティプラグインおすすめ4選! 設定と注意点をプロが解説

    「WordPressのセキュリティ、不安だけど難しそう…」そんなお悩みを解決します。プロが選んだ必須セキュリティプラグイン4選と、よく陥りがちな運用のミスをわかりやすく解説します。今すぐできるサイトの安全対策を始めましょう。

    • セキュリティー
  • 【2025年最新】ホームページ制作に使える補助金一覧!目的別に徹底解説

    この記事では、ホームページ制作に使える補助金の種類や申請の流れなどを詳しく解説します。補助金を使ってホームページ制作を依頼をお考えの方は、ぜひ最後までお読みください。

    • サイト運用・管理・保守
  • Webサイト制作と運用で知っておきたい法律8選

    Webサイト制作・運用で知っておきたい法律をまとめました。「個人情報保護法」「著作権法」「商標法」「不正競争防止法」「特定電子メール法」について解説します。

    • サイト運用・管理・保守
  • 独自ドメインはどう決める?決め方と取得方法を1から解説!

    独自ドメインを決める際の注意点は4つ!取得方法と合わせて丁寧に解説していきます。納得のいくドメイン名を決められるように是非ご一読を!

    • サイト運用・管理・保守
  • 表示速度を高める!画像最適化ツールを「お手軽さ」と「安全性」で選んでみた

    画像最適化はサイトの表示スピードに大きく関わり、ユーザーからも検索エンジンからも評価されるので、絶対取り組むべき施策です。

    • UIUX・サイト設計
    • サイト運用・管理・保守
  • 【画像付き】GA4コンバージョン設定手順とトラブル対処法を解説!

    本記事では、GA4のコンバージョン設定方法をステップバイステップで解説します。画像を見ながら進めていただければ誰でも設定できるように書きました。

    • サイト運用・管理・保守
    • アクセス解析
  • 今さら聞けない「Cookie」とは?初心者にもわかりやすく解説

    「Cookieがどんなものか」「使用にあたって注意すべき点」まではよくわからない人が多いのではないでしょうか。

    • サイト運用・管理・保守
  • 【ディレクター必見!】Webサイト公開前のチェックリスト

    Webサイト公開前のチェックは重要なプロセスです。チェックするべき項目は意外と多いためチェックリストを使うことで漏れを防ぐことができます。

    • PM/ディレクション
    • サイト運用・管理・保守

COOSYの
制作実績

UIUXと美しさを両立させた、クーシーが誇る成功事例一覧。
課題解決のアイデア満載です。

制作実績を見る

Web制作の課題はクーシーが解決します

  • セキュリティ対策

    巧妙化するサイバー攻撃を熟知した専門家が、最適な防御策を構築。SEO評価も守り、デジタル資産を脅威から保護します。

  • サーバー構築・運用保守

    SEOにも影響する安定稼働を実現。トラブルゼロ実績の専門チームが、セキュリティに強いサーバー構築・運用保守を支援します。

  • Web制作

    コーポレートサイト、採用サイト、ECサイトまで。最新AI技術を掛け合わせ、各サイトの特性に合わせたUIUX設計を実現します。

CATEGORY LIST

  • すべての記事一覧

  • 目的別

    • 目的別TOP
    • コーポレートサイト
    • ECサイト
    • オウンドメディア
    • 採用サイト
    • プロモーション
    • Webサービス
    • LP
    • ブランディング・CI
  • Web制作ハウツー

    • Web制作ハウツーTOP
    • UIUX・サイト設計
    • WebデザインTips
    • PM/ディレクション
    • フロントエンド(HTML/CSS)
    • 撮影・動画編集
    • ライティング
    • CMS
    • Web制作ツール
    • イラスト
  • システム開発

    • システム開発TOP
    • プログラミング
    • EC構築
    • CMS開発・構築
    • サーバ構築
    • データベース構築
    • セキュリティー
  • Webサイト運用のコツ

    • Webサイト運用のコツTOP
    • サイト運用・管理・保守
    • コンテンツ運用
    • CRM(顧客管理)
  • Webマーケティング

    • WebマーケティングTOP
    • SEO対策・トレンド
    • コンテンツ制作・SEOライティング
    • アクセス解析
    • Web広告
    • Web集客ハウツー
  • 特集

    • 特集TOP
    • Web最新トレンド
    • カルチャー
    • ガジェット
  • WORKS

    Webサイト・アプリなどの
    様々な実例・制作実績のご紹介

    WORKS
  • CONTACT CONTACT

    Webサイトのご相談、お見積もりはこちらから

    Webサイトのご相談、お見積もりなど
    お気軽にお問い合わせください

ホーム

  • TOP
  • COOSY BLOG
  • Web制作で必須!セキュリティ対策を解説
ページトップへ
  • TOP
  • SERVICE

    • ブランディング
    • デジタルマーケティング
    • 戦略企画
    • DX推進・システム開発
    • グローバル展開
    • Web制作
  • WORKS

    • コーポレートサイト
    • 採用サイト
    • ECサイト
    • プロモーションサイト
    • サービスサイト
    • システム開発
  • ABOUT

    • 会社情報
    • 私たちが大切にしていくこと
    • お知らせ
    • クーシーラボ 岩手
    • ロンドン支社
    • ミャンマー支店
  • RECRUIT

    • ディレクション部
    • デザイン部
    • システム開発部
    • アカウント・プランニング部
    • Webマーケティング事業部
    • 人事・総務部
    • オフショア
    • グローバル事業部
  • BLOG

    • 目的別
    • Web制作ハウツー
    • システム開発
    • Webサイト運用のコツ
    • Webマーケティング
    • 特集

COOSY SNS

  • facebook
  • X
  • お問い合わせ
  • Privacy policy
  • Site Policy
  • Security Policy
© COOSY All Rights Reserved.