🗝️

Webサイトのセキュリティが最終的に守るもの

2021/11/19に公開

WebサイトのセキュリティはWebサイトを運用する上で最重要事項であると言える。
ただ、これは制作サイドの開発者よりの考え方であり、一般的に重要視していないことも多かったりする。

生存性バイアスというかなんというか「今まで大丈夫だったから」という意見や、「うちが狙われるわけ無いじゃん」とか、そういう感覚なのだ。

そのような感覚を少しでも解消するために、セキュリティ対策というのが何を守っているのか、わたしの考えを紹介する。

最初に結論

セキュリティ対策は以下のような役割がある。

  • Webサイトのデータを守るということ
  • Webサイトに紐付けられている個人情報を守るということ
  • サービスや企業など運営の信頼・信用を守るということ

Webサイトにおけるセキュリティとは

簡単に言えば、訪問者・閲覧者・ユーザーが安全にWebサイトを利用するためにするためのものである。
Webサイトというのは裏でプログラムが動いていたり、スクリプトが動作していたり、情報を溜め込んでいたり、送信したりと閲覧者が意識しない中で、いろんなことが起こっている。

それらの情報を悪意のある第三者に不正に利用されたり、取得されないようにしなければならない。
攻撃者の手段も多種多様になり、技術の進歩とともに増えていくため、セキュリティ対策はいたちごっこの状態になってるのだ。

どんなWebサイトが狙われるのか

実際のところ、攻撃者はWebサイトの種類なんか全くみていない。
すべてのWebサイトが攻撃の対象なのである。

もちろん、特定の企業や法人を狙うような攻撃もある。だが、多くのセキュリティインシデントは不特定多数への攻撃の中で引っかかったものであるといってもいいだろう。

よくWordPressが狙われるというような注意喚起がなされることがある。これは半分間違っていて、WordPressだから狙われているわけではなく、単純に使っている人が多いから攻撃のプログラム内にWordPressへのものが含まれているだけというものだ。

ログのチェックをしていると phpMyAdmin やよくあるログインURL(/login)などにも同様にアクセスしようとしてくるログを発見できる。
何が危ないではなく、何でも危ないのだ。

セキュリティ対策の基本的な考え方

細かいセキュリティ対策に関しては自分で調べてみるといい。WordPressの場合、レンタルサーバー会社が出しているメディアなどにも掲載があるだろう。

基本的には、操作させないことが重要になる。
そのために、CMSであれば管理画面へのログイン、お問い合わせなどの情報の送信を行うフォームやファイルのアップローダーなど、閲覧を制限したり、特定されにくい強固なパスワードを利用したりする必要がある。

覚えられないからと言う理由で簡単なパスワードにするのは絶対に駄目だ。そもそもパスワードを覚える必要はなく、利用するブラウザやパスワード管理アプリなどを利用すればいいのだ。

これをやっておけば未来永劫絶対に守られるという対策はない。
いたちごっこの状態になっている中で、脆弱性やバグは必ず見つかる。

だからこそ、WordPressでは本体やプラグイン・テーマのアップデートによる最新化が必要だし、WindowsなどのOSもアップデートされているのである。

どんな被害を受けるのか

ここではかなり大雑把に紹介する。細かい事例などは、セキュリティ関連のニュースなどを追っていれば見つかるだろう。

ファイルの利用をロックされる

いわゆるランサムウェアというものだ。
ファイルを暗号化しロックすることで、運営側が利用できなくするものである。そのロックを外す、暗号を解くことを条件に金銭を要求するのである。
要するに、Webサイトを「人質」にとられるようなものである。

もちろんWebサイトの閲覧はできなくなり、バックアップが別途保管されていない限り復旧もできない。サーバー内を綺麗サッパリ掃除して新しいWebサイトを作成するしかないのだ。

閲覧者にウィルスを感染させるプログラムを埋め込まれる

Webサイトの裏で動いているプログラムやスクリプトなどに割り込ませて、閲覧者の情報の取得や閲覧者のデバイスに対して不正なアプリを導入させようとしてくる。

不正なアプリにはランサムウェアやウィルスも含まれているため、そのような不正なものを媒介するWebサイトになってしまうのだ。
ここまで来てしまうと被害者ではなく、加害者ということにもなってくる。

情報の取得

Webサイトとユーザーの個人情報が紐付いている場合、そのものを持っていかれてしまうこともある。
含まれる個人情報がどんなものなのかはWebサイトの性質によって違うが、メールアドレスだけでも持っていかれると、スパムメールの温床になるため非常によろしくない。
住所や名前、年齢などはユーザーの不利益に直結する。

これが目的の場合、上記の2つとは違って不正なプログラムの動作を目立たせないようにしているケースもある。
階層構造になっているWebサイトのディレクトリのどこかに入っていて悪さをしているが、ぱっとみでは判別がつかないというように偽装されているのだ。

こういうものを後から見つけ出して駆除するのはかなり難しい。
まず、なんの対策もしていない場合、なにか被害が起こってから出ないと気が付かないのである。

Webサイトのセキュリティが守るもの

先に紹介したとおり、セキュリティ対策を行うことで、Webサイトそのものを守ったり閲覧者の情報を守ることができる。

それは、運営している企業・法人・個人の信頼を守ることにほかならない。
正直なところ、セキュリティインシデントを起こしたあのサービスやあの企業のアプリなど、恐くて使えないし、使うとしてもかなり制限をして使うことになるだろう。

Webサイトでそのようなこと起こると、そもそもアクセスしてもらえないようになるわけで、いくら綺麗サッパリ作り直したとしても、その信頼が簡単に戻ってくることはないのである。

まとめ

セキュリティを二の次に考えるということは、閲覧者・ユーザーの不利益を二の次に考えるということと同義であるという認識を持ったほうがいい。
それをないがしろにすることは、まっとうなビジネスをおこなう上で致命的である。

Webサイトのセキュリティ対策は、自分たちのビジネスも守っているということを、運営側は認識しなければならない。
Web制作を生業としている側は、制作をおこなう際にセキュリティということも考慮しながら設計などおこなっていく必要があるのだ。

Discussion