セキュリティ
安全なWebサイトを安全なサーバー上に構築します。IPA(独立行政法人 情報処理推進機構)やJPCERT(一般社団法人 JPCERTコーディネーションセンター)などからWebサイト改ざんに関する注意喚起がたびたび公表されています。悪意のある第三者によってWebサイトが改ざんされマルウェアが埋め込まれるとWebサイトの一時停止を余儀なくされるだけでなく、貴社・貴団体が利用者にウイルスを拡散するという加害者にもなることになります。また、Webサイトが改ざんされたことすら気づかずにウイルスを拡散し続け、結果的にブラックリストに「攻撃サイト」として登録されアクセスがブロックされることがあります。
安全なWebサイトの構築
IPAの『安全なウェブサイトの作り方』に沿ったWebサイトの構築
- SQLインジェクション対策
- OSコマンドインジェクション対策
- ディレクトリトラバーサル対策
- クロスサイトスクリプティング対策
IPAの『安全なウェブサイトの作り方』についてはこちら(PDF/3.8MB)をご覧ください。
Webサーバーのセキュリティ設定
多様なセキュリティ機能を使用したマルチレベルでのサーバーの保護
- WAF(Webアプリケーションファイアウォール)
WAFを導入することで、Webサイト上のアプリケーションにセキュリティ上の問題があってもそれを無害化できます。近年不正アクセスが増加していることもあり、WAFによって遮断される不正アクセスの数も増えています。シマンテックの2016年インターネットセキュリティ脅威レポートによれば2015年にWAFによってブロックしたWeb攻撃の数は1,100,000件だったそうです。これは2014年の2倍以上になります。
出展:シマンテック2016年インターネットセキュリティ脅威レポート - IPS(不正侵入防止システム)
IPSを導入することで、Webサーバの外部との通信を監視し、侵入の試みなど不正なアクセスを検知して攻撃を未然に防ぎます。通常のレンタルサーバーではオプションで設定できます。 - Webサイトスキャン
ホームページが第三者によって不正に改ざんされ、マルウエアが埋め込まれていないかをチェックします。マルウエアを検出した場合、サイトを一時的に停止してお客様にご報告いたします。外部サービスを利用して定期的にスキャンを実行します。 - ブラックリストのチェック
ブラックリストに登録されていないかをチェックします。登録されていた場合には削除リクエストを行います。