MovableType sixapart ProNet会員

ネットプロは、MovableTypeのsixapart ProNet会員です。
CMSによるウェブサイト構築は、ネットプロにご相談ください。

セキュリティスペシャリストが作るホームページ

404821177

企業組織や団体にとってのホームページの重要度が増すにつれ、ホームページを悪用してウィルスやマルウェアの発信源にする改ざんも増加の一途をたどっています。
ホームページが改ざん等の被害を受けると、感染したホームページは第三者の被害者を出す加害者にとなり、企業の信用問題にかかわる問題へと発展することも珍しくありません。

ホームページ運用においてセキュリティへの配慮は欠くことができないものとなっています。
こうした背景の中で、プロジェクトメンバーにサイバーセキュリティ分野のおける国家資格である「情報処理安全確保支援士(登録情報セキュリティスペシャリスト)」の有資格者が参加するネットプロのWeb制作・Webアプリケーション開発はお客様のセキュリティ対策を強力にサポートします。

事例にみるセキュリティ事例

CMSの脆弱性が原因でウェブサイトが改ざんされる

【概況】

WordPressのプラグインに存在していた脆弱性を攻撃され、ウェブサイトが改ざんされる。
サイトは一時閉鎖となり、復旧までの数日間の売り上げに大きな影響を与える。

【対応】

改ざんに使用されたマルウェアを除去後、攻撃対象となったCMSを削除。ウェブサイトを暫定的に復旧。
その後、CMSを非公開なテストテストサイト上に設置し、公開サイトにリリースするワークフローを採用

ブラウザのアドレスバーに警告が表示される

【概況】

Chromeブラウザに[保護されていません]とアドレスバー左端に表示が出るようになった。
Chromeブラウザは2018年7月以降、https接続されていないページに対して警告を表示する仕様に変更となったことが原因

【対応】

ウェブサイト上のすべてのページをhttp接続するようにサイトを改修(常時SSL化)。
サイト利用ユーザーがログインするようなウェブサイトでは、ログインページがSSL化されていても、https接続とhttp接続を行き来する場合に盗聴などによりログイン情報が漏洩する危険があります。

クロスサイトスクリプティング脆弱性

【概況】

脆弱性診断によってフォームで受け渡しするデータに悪意を持ったスクリプトを埋め込むなどの攻撃が可能なクロスサイトスクリプティング脆弱性があることがわかり、このままでは情報漏洩などの危険がある。

【対応】

脆弱性診断で指摘されたプログラムを改修してクロスサイトスクリプティング対策を実施。
再発防止と脆弱性診断で発見にいたらなかった脆弱性が潜んでいるリスクを解消するため、攻撃スクリプトなどを含むウェブサイトへのアクセスを遮断するWAF(ウェブアプリケーションファイアウォール)を導入。

被害者にならないためのセキュリティ対策

セキュアCMS構築

CMSを非公開なテストテストサイト上に設置し、公開サイトにリリースするワークフローを採用します。
CMSの本体を公開サイトに設置しないため、攻撃リスクを大幅に軽減することができるとともに、リリース前のテストサイト上で十分な動作確認も行うことができるため、価格表記の誤りなど重大なヒューマンエラーの防止策にもなります。

セキュアWebアプリケーション開発

Webアプリケーションを開発する際に、開発者が留意すべきポイントがいくつかあります。

技術者はこうしたセキュリティ対策も念頭においてWebアプリケーション開発を行う必要がありますが、技術者の知識や経験が十分なレベルに達していることの証として「情報処理安全確保支援士」があります。

WAF

WAF(ウェブアプリケーション・ファイアウォール)とは、ホームページと利用者の間で交わされる通信を検査し、攻撃などの不正な通信を遮断することでホームページの改ざんや不正アクセスによる情報漏洩を防ぐツールです。
情報処理安全確保支援士がプロジェクトに参加するネットプロであれば、ツールを利用したホームページを脅威から守るサポートも行うことができます。

Web脆弱性診断

「今すぐ安全なホームページに作り直すことはできないけど、潜在的なリスクを調べて応急処置をしたい」そんな企業様にもご利用いただけるサービスです。
情報処理安全確保支援士が貴社のホームページを診断して脆弱性を見つけ出し、対策を支援いたします。
運用中のホームページに不安がある方など、まずはお気軽にお問合せください。