作ってほしい
Webサイトがサイバー攻撃の標的に!?
セキュリティ対策は
Webサイトのセキュリティ対策は必須!
Q1.
Webサイト更新システムを利用していませんか?
専門的な知識がなくても、Webサイトをインターネット上で更新できるシステムを導入されている場合、
「CMS」と呼ばれるソフトを採用しているケースが多いです。
「CMS」と呼ばれるソフトを採用しているケースが多いです。
CMSとは?
CMS(Contents Management System)とはWeb制作の知識がなくてもWebサイトの構築・更新・管理ができるシステムのことを言います。代表的なものとして「WordPress」や「Movabletype」などがあげられます。
インターネット環境さえれば簡単にWebサイトの更新ができるためとても便利なCMSですが、その反面、Webサイトへの不正アクセスやサイバー攻撃を受けやすいというセキュリティ面で大きなデメリットを抱えています。
特に「WordPress」のようにプログラムの中身(ソース)が公開されているオープンソース型CMSは、脆弱性※が発見されやすく、ターゲットにされる事例が非常に多いです。
※「脆弱性」… プログラムの不具合や設計上のミスが原因となって発生したセキュリティ上の欠陥のこと。
特に「WordPress」のようにプログラムの中身(ソース)が公開されているオープンソース型CMSは、脆弱性※が発見されやすく、ターゲットにされる事例が非常に多いです。
※「脆弱性」… プログラムの不具合や設計上のミスが原因となって発生したセキュリティ上の欠陥のこと。
A1.
CMSを利用するには、しっかりとセキュリティのリスクを
理解した上で運用が必要です。
どんな対策をすればいいの?
CMS本体やプラグインを常に最新の状態に保つ
パソコンにも定期的に脆弱性の修正や機能追加のため「アップデート」が行われますが、CMSにも同様に「アップデート」が提供されています。アップデートを行って最新の状態を保つことでサイバー攻撃に合う可能性を下げることができます。
事前準備もなくアップデートしてしまうと、Webサイトが表示されなくなったり、脆弱性がみつかって逆にアップデートを行うことが危険という可能性もあります。事前にバックアップや調査が必要です。
お困りの際は、弊社までお気軽にご相談ください!
管理画面をSSL対応する
後述するWebサイトのSSL対応と同様に、CMSの管理画面もSSL対応が必須です。SSL対応していないということは、管理画面へのログインIDやパスワード情報が盗聴されて不正アクセスされる危険性があります。
もし不正アクセスされて、ログイン情報が書き換えられてしまったら…Webサイトを乗っ取られてしまう可能性もあるんです!!
Webサイト全体のSSL対応(常時SSL)を行えば、一緒に管理画面のSSL対応を行うことができます。
※SSLに関する解説はこちら
Q2.
WebサイトのURLの先頭が「http://」になっていませんか?
WebサイトのURLには大きく分けて、先頭が「http://」と「https://」の2パターン存在します。
URLだけみると「s」があるかないかの違いですが、セキュリティ面で大きな違いがあります!
「https」の「s」は「Secure(セキュア)=安全な」のこと。ITの分野では「情報やシステムなどが保護されて安全な状態にある」という意味で使われます。
このセキュリティ対策のことを「SSL(SSL/TLS)対応」と言います。
URLだけみると「s」があるかないかの違いですが、セキュリティ面で大きな違いがあります!
「https」の「s」は「Secure(セキュア)=安全な」のこと。ITの分野では「情報やシステムなどが保護されて安全な状態にある」という意味で使われます。
このセキュリティ対策のことを「SSL(SSL/TLS)対応」と言います。
SSL/TLSとは?
SSL(Secure Sozckets Layer)/TLS(Transport Layer Security)とは、インターネット上でやりとりされるデータを第三者に盗聴(盗み見)や改ざん、なりすましされることを防ぐために暗号化する仕組み。
例えば問い合わせページやショッピングサイトで入力した個人情報やクレジットカード情報は「SSL/TLS」が設定されていなければ、盗み見ることが可能になってしまいます。
「SSL/TLS」対策を施すことでサーバとPC・スマートフォンとの間の通信を安全に行うことができるようになります。
Googleが提供するインターネット閲覧ソフト「Google Chrome」ではSSL未対応「http」のサイトを開くと「保護されていない通信」と表示されるようになりました。
iPhoneやiPad標準の「Safari」でも画面上部に同様に警告が表示されてしまいます。
iPhoneやiPad標準の「Safari」でも画面上部に同様に警告が表示されてしまいます。
その他にも、GoogleはSSL対応済のサイトを検索結果(SEO)で優遇すると発表しています。
そういった流れから、Webサイトの大小関係なくSSL対応を行うことが、世界的に標準になっています。
SSL未対応のまま公開を続ければ、Webサイトの信頼が下がり、顧客獲得の機会を逃してしまうかもしれません。
A2.
お客様の情報を守るだけでなく、信頼されるWebサイト作りのため、
SSL対応は急務です!
どんな対策をすればいいの?
SSLの契約を行う
利用しているWebレンタルサーバで提供されている、SSLオプションの契約を行うのが一般的です。
提供されていない場合は、外部で契約を行いWebサーバに登録するか、SSLを契約可能なサーバへ移転するなどの方法になります。
契約費用は無料のものから、企業の実在証明まで行うと年間十数万のものまで、販売会社によっても様々な種類があります。
データが暗号化される仕組みはどれも同じですが、信頼はお金には換えられません。それぞれの特徴をよく確認して選択しましょう。
SSLをWebサイトに適用する
SSLの契約をすれば完了ではありません。そのままではSSL未対応のURL「http」からもアクセスが可能になってしまうため、「http」へのアクセスを「https」へ誘導する設定を行います。
その他にも、Webサイトのプログラム上に「http」が残っていると、「混在コンテンツ」というエラーが出てしまいます。プログラム上の確認・修正も必要です。
URLの登録や表記を変更する
SSL対応を行うと、URLが「https」に変更になります。
「http」で登録されたサービスや、名刺・パンフレット・チラシなどの印刷物に記載されたURLも変更が必要です。
