本文とサイドメニューへジャンプするためのナビゲーションスキップです。

スタートアップガイド

J-Net21 中小企業ビジネス支援サイト

  • J-Net21とは
  • スタートアップガイド
中小機構
  • メルマガ登録
  • RSS一覧
  • お問い合わせ

HOME > 経営をよくする > ビジネスQ&A

ビジネスQ&A


Q&A検索

現在のQ&A登録件数

880



リスク管理

Q1074.自社のWebサイトを改ざんされないための対策を教えてください。
都内で専門商社を経営しています。先日、知り合いの会社のホームページが改ざんの被害に遭ったと聞きました。商売上、ホームページは欠かせないものになっており、また改ざんの被害に遭うことで信用を落とすことも心配です。どのような対策をすればよいのでしょうか。

A.Webサイトの改ざんには、Webサーバ攻撃による改ざんとなりすましによる改ざんが考えられます。両方の可能性を考慮に入れ、サーバのセキュリティを担保する、パスワードを定期的に変更するなどの対策を行ってください。

【Webサイトの改ざんとは】

ホームページの改ざんとは、第三者がWebサーバに侵入し、ホームページの内容を勝手に書き換えてしまう行為を指します。
 自分の技術力を誇示するために愉快犯的に行われるものから、最近では閲覧者のPCにウイルスを感染させることを目的にしているもの、フィッシング詐欺の踏み台として使われるものまで登場しています。
 放置すると単に自社のホームページが閲覧不能になるだけでなく、閲覧者にまで被害を及ぼす可能性があることを認識しておく必要があります。

【改ざんの手口】

改善の手口は「サーバの攻撃からの侵入・改ざん」と「なりすましによる侵入・改ざん」の2つに大きく分けられます。
 サーバの攻撃からの侵入・改ざんは、ホームページが公開されているWebサーバを攻撃(DoS攻撃等)し、サーバをダウン状態にした上で管理者権限を奪取し侵入する手口です。
 なりすましによる侵入・改ざんは、WebサーバにログインするためのユーザーID・パスワード(FTPID・パスワード)が漏洩し、第三者がそのID・パスワードを使用して侵入する手口です。

【サーバの攻撃からの侵入・改ざんへの対策】

サーバの攻撃からの侵入・改ざんへの対策ですが、まず、Webサーバを自社で管理しているのか、インターネットプロバイダなどのレンタルサーバを使用しているのかにより大きく異なります。
 前者の場合は、ファイヤウォールの設定を適切にする、Webサーバソフトのセキュリティホールを塞ぐための最新パッチをあてる、ルーターで不審なパケットを遮断する設定を行うなどのセキュリティ対策を自社で行う必要があります。

レンタルサーバを使用している場合のサーバ攻撃からの侵入・改ざん対策
  • ファイヤウォールの設定を適切にする
  • Webサーバソフトのセキュリティホールを塞ぐための最新パッチをあてる
  • ルーターで不審なパケットを遮断する設定にする

もし、これらの管理を適切にできる人材がいない場合は、プロに管理を依頼するか、セキュリティがしっかりしたレンタルサーバに引っ越すかの対応を取ってください。
 レンタルサーバを利用している場合は、レンタルサーバの運営会社がセキュリティ対策を行います。しかし、各社においてそのレベルはまちまちです。しっかりとセキュリティ対策を行っているサーバを選択するようにしてください。

【なりすましによる侵入・改ざんへの対策】

WebサーバにログインするためのID・パスワードが流出するケースですが、ソーシャルエンジニアリングと呼ばれる手法で漏洩するケースが多いです。
 たとえば、サーバ管理会社を名乗り電話やメールで接触してきて、「セキュリティ上必要だからIDとパスワードを教えてください」と言って聞き出すような手法です。
 このような手法での改ざんを防ぐ最もよい手法は、ログインのためのパスワードを頻繁に変更することです。
 また、従業員に対して、ソーシャルエンジニアリングの手法などについて研修を行い、ITリテラシーを高める教育を行うことも重要です。

関連情報
<IPAテクニカルウォッチ「ウェブサイト改ざんの脅威と対策」>(情報処理推進機構)
https://www.ipa.go.jp/security/technicalwatch/20140829.html
回答者
中小企業診断士 遠藤 康浩

2016年1月18日更新

リスク管理


このページの先頭へ