ICTコラム

第26回 ウェブ運用テクニックを意識する前に!運用基礎講座 第三回 サイバーセキュリティについて知り、サイバー攻撃に備えよう!

コンピュータへの不正アクセス、標的型攻撃による個人情報の漏洩など、被害に遭う企業は増加し続けています。大手企業が狙われやすいと考えがちですが、中小企業も攻撃対象となっているため、サイバーセキュリティ対策は必須です。今回は、サイバーセキュリティの概要からサイバー攻撃の事例、サイバーセキュリティ対策をご紹介いたします。

サイバーセキュリティとは

サイバーセキュリティとは、コンピュータを不正に利用するサイバー攻撃に対する防御対策のことです。サイバー攻撃は、コンピュータやウェブサイトの不正アクセス、コンピュータウィルスの感染などがあります。

サイバーセキュリティの動向

2016年にJPCERTコーディネーションセンターに報告された情報セキュリティインシデント件数は、1万6,446件にも上っています。

IPAが報告している2016年に発生した社会的に影響が大きかったと考えられるサイバーセキュリティの10大脅威をご紹介します。

<10大脅威>

順位 組織 昨年順位
1位 標的型攻撃による情報流出 1位
2位 ランサムウェアによる被害 7位
3位 ウェブサービスからの個人情報の窃取 3位
4位 サービス妨害攻撃によるサービスの停止 4位
5位 内部不正による情報漏えいとそれに伴う業務停止 2位
6位 ウェブサイトの改ざん 5位
7位 ウェブサービスへの不正ログイン 9位
8位 IoT機器の脆弱性の顕在化 ランク外
9位 攻撃のビジネス化(アンダーグラウンドサービス) ランク外
10位 インターネットバンキングやクレジットカード情報の不正利用 8位

(IPA、「情報セキュリティ10大脅威 2017」を基に作成。
参照URL:https://www.ipa.go.jp/security/vuln/10threats2017.html)

サイバー攻撃事例

<ウェブサイトの改ざん>

Kaspersky Dailyで、中小企業のウェブサイトの改ざん事例が公開されていますので、ご紹介します。

被害に遭ったのは、東南アジアの宝石を販売する小さな会社でした。その会社のウェブサイトが改ざんされ、ウェブサイトを訪問した人たちがマルウェアに感染するようになりました。

ウェブサイト改ざんの原因は、十分に機能していない無料のアンチウイルスを導入していた経営者が利用するパソコンのマルウェア感染でした。ウェブサイトのアクセス情報がマルウェア感染により盗まれ、サイトの改ざんが発生し、訪問者にマルウェアを感染させる状態になっていました。

このマルウェアを完全に削除し、ウェブサイトのアクセス情報を変更しましたが、Googleはマルウェア感染サイトとして改ざんされた同社サイトをブラックリストに追加し、インデックスから削除しました。別の検索エンジンでも同じことが行われました。

検索エンジンのインデックス、検索結果の表示順位も取り戻すなど、サイトを元の状態に戻すのに、時間がかかりました。会社の収入が途絶えたため、倒産寸前になり、その後、業績が回復するまでに1年かかったと紹介されています。

(参考:Kaspersky Daily「1件のITセキュリティ事件が企業の命取りに?」、
URL:https://blog.kaspersky.co.jp/how-a-single-cybersecurity-incident-can-kill-your-business/7421/

サイバーセキュリティ対策

サイバー攻撃に備えるためのサイバーセキュリティ対策は大きく分けて「情報セキュリティ全般の対策」と「ウェブサイト運用における対策」の二つが必要です。

<情報セキュリティ全般の対策>

情報セキュリティ全般の対策とは、自社で保持している情報資源を機密性・完全性・可用性の確保を行い、正常に維持するための対策です。

IPAで対策の実行が必要な5か条は以下と定義されています。

  • OSやソフトウェアは常に最新の状態にしよう!

  • ウイルス対策ソフトを導入しよう!

  • パスワードを強化しよう!

  • 共有設定を見直そう!

  • 脅威や攻撃の手口を知ろう!

(引用:IPA「情報セキュリティ5か条」、URL:https://www.ipa.go.jp/files/000055516.pdf

<ウェブサイト運用における対策>

ウェブサイト運用における対策とは、ウェブサイトの安全性を確保するために実行すべき対策です。チェックポイントは、以下になります。

①ウェブアプリケーションのセキュリティ対策
 ・重要な情報を格納したファイルは、インターネット上からアクセスできない場所に保管。
 ・期間限定のページや、不要なウェブサイトは閉鎖する。
 ・ウェブアプリケーションの脆弱性対策をする。
 ・ウェブアプリケーションを構成しているソフトウェアの脆弱性対策をする。
 ・ウェブアプリケーションのエラーメッセージの内容は必要最低限のものにする。
 ・ ウェブアプリケーションのログを保管し、定期的に確認する。
②ウェブサーバのセキュリティ対策
 ・OSやサーバソフトウェア、ミドルウェアをバージョンアップする。
 ・不要なサービスやアプリケーションは停止・削除する。
 ・ウェブサーバやウェブサーバを管理する端末に不要なアカウントがある場合は、削除する。
 ・推測されにくい複雑なパスワードを使用する。
 ・ウェブサーバ上のファイル、ディレクトリに適切なアクセス制御をする。
 ・ウェブサーバのログを保管し、定期的に確認する。
③ネットワークのセキュリティ対策
・境界ルータなどのネットワーク機器を使用して、外部から内部ネットワークへの不要な通信を遮断する。
 ・ファイアウォールを使用して、適切に通信をフィルタリングする。
 ・ウェブサーバ(または、ウェブアプリケーション)への不正な通信を検知または、遮断する。
 ・ ネットワーク機器のログを保管し、定期的に確認する。
(参考:IPA「安全なウェブサイトの構築と運用管理に向けての16ヶ条 ~セキュリティ対策のチェックポイント~、URL:https://www.ipa.go.jp/security/vuln/websitecheck.html」)

まとめ

ウェブサイトで個人情報を取り扱っていなかったとしても、社内のパソコンには重要な情報が保存されているケースが多く、サイバー攻撃に遭った場合、情報漏洩が発生する可能性があります。まずはサイバー攻撃が身近なものだと認識いただき、早い段階で対策を行うことが重要です。ぜひこの機会に、サイバーセキュリティに目を向けていただきたいと思います。

西村 公美子氏

株式会社トラスWebディレクター。WACA認定上級ウェブ解析士。

大手通信企業に常駐し、大規模会員サイトのリニューアルWebディレクション、サイトコンテンツのアクセス解析および改善提案などWebサイトの価値向上に従事。
前職の金融機関で培った経験を活かし、精緻な業務管理と改善、また、実務に基づいた新人育成およびマネジメントを担当。

入会のご案内

電話応対教育とICT活用推進による、
社内の人材育成や生産性の向上に貢献致します。

ご入会のお申込みはこちら