今日、ほとんどすべての組織が、効果的に機能するためにウェブサイトを必要としています。組織であれ、個人のブログであれ、ウェブサイトはより多くの読者にリーチする手段です。しかし、光があるところには必ず闇があります。そのため、攻撃者からウェブサイトを保護することが不可欠です。これを効果的に達成するために、私たちは自問自答する必要があります。私たちのウェブサイトを保護するための「ベスト・プラクティス」は何でしょうか?
目次
HTTPSを使用する
HTTPS(Hypertext transfer protocol secure)は、HTTPのセキュアバージョンで、ユーザーのウェブブラウザとウェブサーバ間でデータを送信するための主要プロトコルです。HTTPは、通信を暗号化することでこれを実現しています。クレジットカード情報やマイナンバーカードなどのデータを保護するためには、HTTPSを使用することが不可欠です。HTTPSを有効にするには、SSL/TLS証明書が必要です。SSLは "Secure Socket Layer" の略称で、TLSは "Transport Layer Security" の略称です。SSLはTLSの前身となるものです。SSL/TLSとは何かを理解するには、こちらの記事を読んでください。https://senku.jp/info32
ただし、ブラウザによって表現が異なる場合があります。
さらに、HTTPSの厳格な使用を保証するために、ほとんどのブラウザには設定に高度な機能があり、これをオンにすると、ブラウザは可能な限りHTTPSのみを使用してウェブサイトにアクセスし、HTTPを使用するウェブサイトにアクセスしようとするとウォームアップします。この機能を有効にするには、設定のプライバシーとセキュリティに進みます。次に、セキュリティの詳細設定から「常に安全な接続を使用する」を探し、有効にします。(注:これはGoogle Chromeの場合です。他のブラウザでは異なるかもしれません)。
原則として、常にHTTPSを使用し、どうしてもHTTPを使用しなければならない場合は、機密データを決して共有しないでください。SSL/TLSアーキテクチャを管理・保守する専門家チームを持つことをお勧めします。弊社では、SSL/TLS証明書を維持・監視する専門家チームを擁しており、お客様のウェブサイトの安全性を確保しています。
強力なパスワードと2FAを使用する
パスワードは、不正アクセスに対する伝統的な方法です。パスワードは、ウェブサイトや携帯電話などにおける防御の第一線として機能します。残念ながら、パスワードは覚えにくいものであるので、多くの人は覚えやすいパスワードを選んでいます。しかし、このような覚えやすいパスワードは、ブルートフォースと呼ばれる方法で簡単にアクセスができてしまいます。これを防ぐために次のことをやってみましょう。
1. 強力なパスワードを使用する。
パスワードは最低でも10桁の数字を使用することをお勧めします。
出典: https://www.oxfordlearnersdictionaries.com/definition/english/backup?q=backup
また、パスワードは簡単に推測できたり、辞書に載っている単語を含むものであってはなりません。このアイデアは、パスワードの複雑さを増し、ブルートフォースや推測を困難にすることです。WordPressでは、Password Policy Managerプラグインをインストールすることで、強力で安全なパスワードポリシーを簡単に作成し、実施することができます。プラグインって何だろうと思っている方、プラグインとは、既存のコンピューター・プログラムやウェブ・ブラウザに特定の機能を追加するソフトウェア・コンポーネントのことです。
参考:https://www.lenovo.com/us/en/glossary/plugin/?orgRef=https%253A%252F%252Fwww.google.com%252F
このプラグインでは、パスワードの長さ、複雑さ、有効期限を設定できます。
2. 2FAを使用する
2FAとは、Two-factor authentication(二段階認証)の略です。現在では、パスワードによる保護だけという考え方は時代遅れになりました。上記で説明したように、パスワード保護に関しては、不正アクセスを困難にすることです。2FAによって、私たちはデータを保護するためのセキュリティのレイヤーをもう1つ追加します。なぜ二段階と呼ばれるのですか?段階と呼ばれる2つの認証方法を必要とするため、二段階と呼ばれています。二段階には様々な組み合わせがありますが、通常、最初の段階は、例えば電子メールアカウントにログインする際のパスワードと、携帯電話に送信されるワンタイムパスワード(OTP)トークンです。例えば、WordPressではWP 2FAというプラグインを使って2FAの使用を強制することができます。このプラグインで、使用する2FAのタイプを定義することができます。最も重要なことは、2FAの使用を強制するポリシーを定義できることです。これにより、ウェブサイトの全体的なセキュリティ態勢が強化されます。
2FAをよりよく理解するために、この記事を読んでください。
参考:https://www.microsoft.com/ja-jp/security/business/security-101/what-is-two-factor-authentication-2fa
ウェブサイトをバックアップする
バックアップとは何ですか?
オックスフォード・ラーナーズ・ディクショナリーは、「オリジナルが失われたり破損したりした場合に使用できるファイルなどのコピー」です。
出典:https://www.oxfordlearnersdictionaries.com/definition/english/backup?q=backup
明確に定義されているように、バックアップはウェブサイトに万が一のことがあった場合の保険の役割を果たします。ウェブサイトの定期的なバックアップは、ハッキング、サーバークラッシュ、その他の災害によるデータ損失からの復旧に役立ちます。バックアップの重要性を理解するために、ウェブサイトをバックアップしなかった場合に起こりうることを見てみましょう。
1. データとハードワークを失う。
残念ながら、セキュリティと同じように、バックアップを後回しに考える人がいます。ウェブサイトのバックアップがなければ、ハッキングや自然災害によってウェブサイトを失った場合、最初からサイトを構築しなければなりません。サイト建設に費やした時間と労力は、すべて無駄になってしまうでしょう。
2. ダウンタイムと収益の損失。
ダウンタイムとは、ウェブサイトにアクセスできない時間のことです。バックアップを取らずにウェブサイトを失った場合、ダウンタイムは長くなり、復旧にも時間がかかります。もし顧客がウェブサイトを訪問し、アクセスできなければ、他のウェブサイトに移動し、二度と戻ってこないかもしれません。ダウンタイムが長ければ長いほど、その影響は深刻になります。ダウンタイムが発生すれば、経済的なコストが発生します。商品を販売するウェブサイトを例に見てみましょう。購入者がウェブサイトにアクセスできなければ、購入することはできません。それで、利益は失われます。
上記で説明した問題の影響を防止または軽減するためには、バックアップを作成することが非常に重要です。バックアップにはさまざまな種類があります。
弊社では、日次の差分バックアップと週次のフルバックアップを実施しています。さらに、週単位でバックアップの状況を監視しています。
このアプローチでは、トラブルが発生した時の復旧がより簡単でコスト効率に優れています。
ウェブサイトのセキュリティ・プラグインをインストールする
プラグインとは何かについては上で説明した。ウェブサイトにセキュリティ機能を追加するセキュリティプラグインがあります。 これらのセキュリティプラグインは、悪意のある攻撃をブロックするファイアウォールとして機能したり、マルウェア対策スキャナとして機能したりします。ただし、プラグインによってはウェブサイトに脆弱性をもたらす可能性があるため、プラグインの選択には注意が必要です。一例として、こちらの記事を読んでください。
出典:https://www.ipa.go.jp/archive/security/security-alert/2020/alert20200918.html
WPScanやJetpack Protectのような人気のあるプラグインは、ウェブサイト上のマルウェアや脆弱性を定期的にスキャンするために使用することができます。これらのセキュリティ・ツールを使用することで、脆弱性の警告により攻撃者の先を行くことができます。脆弱性が検出された場合、適切な修復を支援するチームを持つことが重要です。
まとめ
これらは、ウェブセキュリティのベストプラクティスの一部です。これらのプラクティスに従うことで、ウェブサイトとユーザーをセキュリティの脅威から守ることができます。適切な措置を講じていれば、回避可能なデータ漏洩も少なくありません。
出典:https://www.fujitsu.com/jp/solutions/business-technology/security/secure/column/meister-column/08/
そのため、ウェブサイトの保守とセキュリティの専門家チームを持つことをお勧めします。提供するサービスのリストについては、https://senku.jp/service/を見てください。