news

自社サイトのセキュリティについて2

自社サイトのセキュリティについて2

お久しぶりです、IT知恵袋の細谷です。

 

GWは皆様どう過ごされたでしょうか?

途中に豪雨が来たりなど、出かけるタイミング次第ではハプニングに見舞われたかもしれませんが、それもまた長期休暇の醍醐味とポジティブにいきましょう。

 

それでは前回の続きですね、

対策の手法を紹介しましたが「全部入れればいい」という訳でもありません(コストもかかるので大変ですしね)

 

なので次は逆に環境を想定してみましょう

 

●作業できる場所を固定する

企業サイトという事は、更新作業は業務で行うことになるので、事務所で行うことが多いです。

管理者用のページには事務所のIPで「IP制限」をかけることで、事務所以外で作業できなくなります。

 

担当者は編集するときには出社しないといけないという問題はありますが、

それはつまり外部から操作はできないという事でもあります。

 

もし緊急時に対応したいが担当者を複数用意できない小規模な運用の場合は、担当者の自宅もIPを登録しておけば大丈夫です。

「個人宅でなんて」と思われるなら、担当者を増やし常に担当者が対応できる環境を用意しましょう。

 

●偶然アクセス出来ちゃったを防ぐ

Webサイトではリンクをクリックしてアクセスするというイメージが強いですが、URL手打ちもできる為、リンクが無くてもアクセスできてしまう事があります。

ニュースの記事では数字の連番だったりするため、「最新の記事から数字を一つ増やす」事で公開待ちの記事が見えてしまったという記事を見かけたことがありますし、

 

遊びで今のURLの末尾に「/admin(管理者の英単語の略)」や「/login」などを入れてみると管理者のログインページに入れてしまったり。

もちろんリンクの張り間違えてしまって、非公開にページにアクセスできてしまったというケースもあります(Q&Aのページを渡そうとして、議事録のページのURLを張ってしまう等)

 

ただ、それを防ぐために全員にアカウント発行をというのもサイトによっては難しいでしょう。(人員の入れ替わりが激しいコールセンター等)

そういった厳密に隠す必要はないが偶然「アクセス出来ちゃった」を抑えたい場合はBasic認証を使いましょう、

間違えてアクセスしても知らない人は表示できないので「見えてしまう事」は無くなります。

 

●お客様しか来てほしくない

当たり前ですが、Webサイトにアクセスしてほしいのは善意の利用者であり。

情報を盗んだりしたい人には来てほしくありませんが。本当に攻撃者なのかただの閲覧者なのかは「攻撃が来ないと分からない」というのも事実です。

 

攻撃が来てから対応するというのであれば「常にだれかがチェックしていないといけない」という事でもあり、また新しい攻撃方法が無いかというのを見ている人も必要です。

つまりマンパワーが必要ですが、売上に大きくかかわらないサイトにまで、それを行えるかというと難しいところだと思います。

 

そういった場合はWAFを導入しましょう、他のサイトで受けた攻撃情報を貰えるため、自分のサイトでもそういった攻撃の通信を防いでくれます。

もちろん自分のサイトで受けた攻撃は他の人に共有され、どこかで対策が作られるため、次の攻撃を受ける心配は少なくなります。

 

余談ですが、ウィルス対策ソフトと何が違うの?と思われるかもしれませんが、ウィルス対策ソフトは「ファイル」がターゲットになっています。

おかしなファイルは「攻撃を受けた後」でないと存在しない為、攻撃後がメインになるので「治療」という事になります、

WAFは通信データがターゲットになる為、攻撃自体を防ぐのが目的なので「予防」ができます。

 

つまり「予防」と「治療」両方入れておけば安心という事ですね。

 

 

 

さて本日はここまでにしましょう。

 

そういえば、私はブログ上では基本会社のいいところを中心に触れていますが、悪いところが無いわけではありませんし隠しているわけでもありません。

そういったネガティブな事を書いていると、私自身落ち込んでいってしまって仕事がいやになってしまいそうというだけですね。

 

結局仕事のモチベーションは「面白いかどうか」だと私は思っています。私はピアラが「面白い」と思っています。

まあ悪い点は面白くないですが、それを直すために活動するのも面白いですし、、

 

なのでブログの上で悪い点を書くことは基本しませんが、聞いてくれるならお話ししましょうか。(知らないでピアラに来て、こんな所だと思わなかったといわれても悲しいですしね。)

という事で、それではこの辺で失礼いたします。