お疲れさまです。コマース・システム部の柴田です。
サイバー攻撃によるリスクや被害があとを絶ちません。ニュース報道で流れない日はないのですが、あまりにも日常的になってしまって、危機に対してマンネリ化しているのが、怖いですね。マイクロトレンドの調査によると2023年上半期に公表されたセキュリティインシデント事例は、2022年下半期に比べても増加しており、サイバー攻撃ではアカウント侵害と脆弱性の悪用が多いようです。

弊社でも自社開発「SES」やその他ウェブサイトを運用していく中で、サイバー攻撃をブロックした痕跡（WAFログ）や、正常でないアクセスによるトラフィック増加を検知することが増え、
セキュリティのリスクが、前よりも高まってることを肌で感じます。

そこで、改めて基本的なセキュリティ対策や保守・メンテナンスの重要性をまとめました。

ウェブサイトのセキュリティ対策とは

ウェブサイトのセキュリティとは、ウェブサイトを悪意のある攻撃から守るための対策になります。
攻撃者はウェブサイトから個人情報や機密情報を盗んだり、改ざんしたり、ウェブサイトをダウンさせようとしたりします。
個人情報の漏洩事件などはよくニュースでも目にすると思いますがケースによっては被害は甚大です。ウェブサイトへの主な攻撃として有名なのは、SQLインジェクションや、クロスサイトスクリプティング(XSS)などがあります。
その他、マルウェア感染（ウイルス、ランサムウェアなどの総称）、サービス妨害攻撃、フィッシング攻撃など多数の攻撃手法に対しての対策が必要です。

ウェブサイトへの攻撃は一部のサイトだけでは？

弊社でも「SES」のサイトを含め多数のウェブサイトを運用しているので実態をみると、特定のサイトを狙った攻撃というよりは、無差別にサイトを巡回し、脆弱性をついているような攻撃が多いことを実感しています。

これらは、防御システムのログ解析で判別し予防策を順次先回りして実装する必要があります。他社事例などを報告されることもあり、情報収集と対策の繰り返しで安全なサイト稼働をキープしています。

確認した攻撃の痕跡から、もっとも多いのがワードプレスを標的にしたと思われる攻撃です。ワードプレスを使ってないサイトに対しても、ワードプレスの仕様で構成される重要ファイルへのアクセスを試みるケースが多く、他にもphpやmysqlを狙った攻撃や、メールアカウントへの不正ログインを試みる攻撃など日々行われており、これはどこの企業や個人に対しても発生していると思われますのでセキュリティ対策の重要性は企業・個人にかかわらず意識していく必要があると思います。

また標的型の攻撃も、大企業ではなくセキュリティ対策の甘いサプライチェーンの中小企業をサイバー攻撃で狙い、結果親企業にも損害を出すケースもニュースになっておりましたので、これまで以上に規模に関わらず対策が必要になってくると思います。

ウェブサイトのセキュリティ対策について

一般の方でも身近な対策がSSL(TLS)暗号化です。（サイトのURLがhttps://～～～から始まる。）

また、OSやミドルウェア（ソフト）のバージョンやセキュリティパッチの適用も大事な対策です。

弊社で開発する”SES”の主なセキュリティ対策としては、脆弱性のないアプリケーション（SES）の開発・実装があります。
幾度のバージョンアップをしていきながら、新しい機能を付加した際など、自己診断を含め定期的な脆弱性診断の実施や、クライアント様による脆弱性診断の受診などから、指摘項目を対処しセキュリティを強化してきました。

SQLインジェクション対策や、クロスサイトスクリプティング対策など、技術的な対策はIPAの推奨する「安全なウェブサイトの作り方」を基本にし、日々の情報収集と、アクセスやログの傾向などから必要な対策を盛り込んでいます。

WEBの通信以外のポートは塞ぐ（ファイヤーウォール）ということも重要な対策です。そもそもWEBに不要なアクセスやデータベース、内部のアプリに直接アクセスしてくるような攻撃を根元からブロックします。

ネットワークなどのインフラを冗長化したり、バックアップ体制を強化することもセキュリティ対策になります。あらゆるインシデント発生が考えられるますので、データ損失などの場合でも早期の復旧ができる体制も重要になってきます。それでも日々新しい脆弱性が発見され、新しい攻撃が生まれていますので、対策も日々アップデートしていく必要があります。

※ちなみに今年SESのサイトの脆弱性診断を受診しましたが、指摘事項０件100点/100点（脆弱性は発見されない）という高い評価をいただいております！

他人事ではありません！日常の中で誰もが警戒する必要が高まっています。

最後に、セキュリティ対策と聞くと、システム的なとか、技術的な、などを連想しますが、インシデントの多くは人的要因であったり、システムや技術ではまだ対応できないことが多いと感じます。
※偽メールを100％ブロックする技術や、偽サイトや不正アクセスを完全にブロックする技術ができればと願いますが、そうはいかない現実があります。
私の場合はとても基本ですが、受信したメールにリンクがあったり、添付があったりする場合は、慣れた相手からでも一息ついて差出人や送信日時、メール文面を読みなすなど注意しています。

セキュリティ専門会社では、技術的なサービス提供もちろん主ですが、人員への教育というサービス提供も増えているようです。

ウェブサイトやシステムを提供する我々のような企業がとるべきセキュリティ対策もありますが、ウェブサービスの一利用者として個人でもセキュリティを意識することがこれからますます重要です！

• 基本的な対策ですが、OSやアプリケーションを最新に！、iOSやAndroidがほとんどと思いますが、アップデートの通知が届いていたら放置せずアップデートしましょう！
• ウイルス対策ソフトも導入しましょう！、PCに導入するとスマホ用がついてくるソフトや、アバストなど無料ソフトもあります。
• 信頼できないアプリケーション提供サイトは利用しない。スマホであればAppStoreか、GooglePlayの提供するもの以外は避けることや、PCであれば必ずインストール前に必ずウイルスソフトによるチェックを受けるなどが大事です。

誤送信による秘密情報の漏洩、流出が67.7％以上

JIPDEC（Pマーク発行団体）によると2022年事故事象別には「漏えい」が5,335件（76.1%）と最も多く、次いで「紛失」681件（9.7%）となりました。
事象分類別には、「誤配達・誤交付」が3,013件（43.0%）、続いて「誤送信」1,730件（24.7%）で全体の67.7％が誤送信、ご配達が原因とのことです。リモートワークが増加したり、働き方、文書の電子化が進む中で事故が絶えません。日常的にネット回線を無意識に利用していますので、この事故割合は他人事ではありませんね。システムで防御も重要ですが利用者の一人としてくれぐれも注意しなければなりません。

今後もセキュリティ対策は日々アップデートして安全性を維持していくとともに、ウェブサービスなどの一利用者としても、セキュリティ対策を意識していきたと思います。

2024.1/24-26パシフィコ横浜で開催されるSCビジネスフェアに出展します。この期間セキュリティ対策やサーバ構築などミニセミナーを開催しますので、ぜひお立ち寄りください。