news

自社サイトのセキュリティについて

自社サイトのセキュリティについて

疲れ様です、システム知恵袋の細谷です。

 

話題のネタが多く、逸れていましたがそろそろ戻しましょうという事で今回は自社サイトのセキュリティです。

会社を運営するうえで、信用にも関わる企業サイトですが、(私も営業電話がかかってきたとき、まず企業サイトを検索します。)

運営するうえで問題になるのがセキュリティ、アカウントを乗っ取られたせいでサイトを改ざんされて、、、という話題を聞いたことがあるかと思います。(最近はSNSの方が多いですが、、)

 

サイトを運用するうえで基本的なセキュリティを紹介いたします。

 

●IPアドレス制限

何処かで紹介したかもしれませんが、念のため説明すると「インターネット上の住所」と覚えておけば大丈夫です。

ネットワークに契約をすると、ドットで区切られた1~3桁で4つの組み合わせの番号が発行されます(192.168.1.1等)

これをグローバルIPと言いますが、この情報は契約に基づくため原則固定となります(オンラインゲームで使われるほうはPCに依存するのでローカルIPといい、こちらは起動順に連番になるので変化します)

 

このグローバルIPを通ってきた人だけがアクセスできるようにするというのが「IPアドレス制限」になります。

サイトの一部分にだけつけることができる為、WordPress等管理画面のあるCMSを利用する場合はとても有効な方法です。

ただし、バックドア等回避方法もある為、これ一つで解決とはならないので注意しましょう(※他にVPN・リモートアクセスなどもありますが、こちらは企業側が把握していることが前提ですので目くじらを立てる必要はありません。)

 

 

● Basic認証

下記のような画面を見たことはあるでしょうか?

※左からEdge・FireFox・Chromeです

これがBesic認証といい、特定のエリアにアクセスするときにIDとパスワードでログインするという仕組みです(共通のアカウントを使う事もありますが)

通常のログインフォームとの違いは、設定が容易という部分になります。

 

Besic認証はサーバーとブラウザ間の認証になるので、「あるファイルをサーバー上に置くだけで設定可能」というぐらい簡単です。

CMSなどによるユーザー管理に比べれば、「特別な設定」を入れにくいのでランクが低く見られがちですが、どのブラウザでも同じ挙動という点では非常に使いやすいセキュリティになります。

 

 

 

●ログインフォーム

会員制サイトなどで使われるものです、ログインと言えばこれ!ってぐらい一般的ですね。

先ほどのBasic認証との違いは、、、データサーバーを使っているぐらいでしょうか。。

細かい部分を言えば違いはたくさんあるのですが、IDとパスワードを使ってログインという点は変わりないです。

 

こちらはシステムを自分で構築可能という事で、文字の入力の帆か、画像判定など様々な方式を取り入れることができる点です

半面設定にはかなりの知識が必要となりますので、0からの作成はおすすめいたしません(勉強目的ならおすすめです)

 

そういったCMSが配布されているのでそちらを使いましょう、その場合初期設定のIDとパスワードは変更してください。

当たり前ですが初期設定IDとパスワードは「パスワードリスト攻撃」の対象に含まれています。

CMSだけ入れて対応している場合、かなりの高確率で乗っ取りが起きてしまいます。

 

 

●WAF(Web application Firewall)

インターネット版のファイヤーウォールです。

サーバ間の通信で危険と判断されるパターンを検知したら、その通信を遮断してくれるシステムです。

その場合WAFのサーバーとの通信が追加される事がある為、リファラーなどに影響が出る可能性がありますので、

導入する際にはちゅういしてください。

 

 

 

本日は一旦ここまでにしましょう、

今回はセキュリティのツールを説明しましたが、次回はどこに注意するべきかという点を記載しようと思います。

 

さて、雑談枠ですが、EUの方でGDPRという個人情報保護のルールが来月から施行されるようですね。

「海外だからかんけーないやー」と思っている方、このルールはEU所属の個人情報のデータを使うならEU加盟外でも適用され、基準を満たさない場合最大で20,000,000ユーロまたは売り上げの4%のどちらか大きい方の罰金が課せられます(いきなりではなく警告を挟んではくれますが。)

1ユーロ130~140円ぐらいですので約25億円の罰金ですね。。。

 

私も今規約の調査を行っている途中なので、誤報を防ぐため今は詳細は避けますが、「日本で作って日本向けに展開している」なら一旦は気にしなくて大丈夫そうです。

回避しようとすると、悪質とみなされ警告なしで罰金になるようですので、EU加盟国を対象にしたサービスを作る場合は、このGDPR(EU一般データ保護規則)を確認し、対策を取りましょう。

 

と言ってもこのブログを見ている人に需要はあるのだろうか、、、

それでは失礼致します。