【初級編・WordPress対応】Webサイトのセキュリティって何？

皆様、こんにちは。Cocoaのウェブデザイナー・ディレクターの中島です。
猛暑と言われていた割に、7月はあまり暑くない日が続きましたね。（東京の話ですが）
どうやら8月は強烈な暑さが続くそうですので、お盆休みの脱水症状には十分お気を付けください。
ポケモンGOによる熱中症も非常に増えそうで、不安です。

さて、今回はWebサイト（ホームページ）のセキュリティについて触れておこうと思います。

よく、セキュリティやら保守やら、アップデートやら耳にする機会があると思いますが実際のところWebサイトのセキュリティとは何なのでしょうか。
何となくよくわからないものに不安になったり、コストをかけたりしていませんか？

これより、Webサイトのセキュリティとはいったい何なのかについて、複数の目線より解説していきたいと思います。まずは、ユーザー（利用者）から。

ユーザー側から見たセキュリティ

セキュリティと一概に言っても、大きく分けるとユーザー（利用者）から見たセキュリティと、オーナー（管理者）から見たセキュリティがあります。

ここでは、ユーザー側から見たセキュリティリスクの一例を挙げてみます。

・ クレジットカード情報が流出する

・ 個人情報が不正に取得される

・ 変なウイルス（マルウェア）などに感染させられる

と、上記のようなリスクがあります。

近年はセキュリティの甘いサイトの場合は、ブラウザより警告が出たりしますので、セキュリティの甘いサイトを運営している場合、アクセスが急激に下がったりもしてしまいますね。

また、暗号化通信（SSLなど）を採用していないWebサイトの場合はクレジットカード情報の入力を避けたりする場合もあります。

ユーザーに安心感を与えるセキュリティ対策を行っていないと、当然ユーザーは不安になりそのWebサイトから去ってしまいます。一定のセキュリティを維持する必要があるでしょう。

次に、ユーザーに配慮したセキュリティ対策方法の例を挙げてみます。

ユーザーに配慮したセキュリティ対策

ユーザーサイドのセキュリティ対策の場合、本質的なセキュリティ導入と同じくらい重要なのは、不安感の払拭です。
ユーザーに安心感を与える、という事を優先にしましょう。

・ 個人情報入力ページへの暗号化通信の導入

SSLを導入することで、サイトURLがHTTPSになります。これにより、セキュリティ保護されているページかどうかが一目瞭然になります。主に、決済ページやお問い合わせフォームに設定すると良いでしょう。

・ 個人情報入力ページの入力項目を必要最低限にする

「え、こんな情報何に使うの？」、ユーザーはそう考えています。
必要最低限以上の入力項目はなくし、不安要素を排除してあげましょう。

・ なるべくWebサイトのバージョンを上げて新しそうな見た目にする

本質的にはあまり効果はないのですが、古い見た目のページですとユーザーは不安になります。
なるべく新しい印象を与えることを心掛けましょう。

・ プライバシーポリシーページ（個人情報保護方針）の設置

会社が個人情報をどう扱うか、また削除を希望した時に対応してくれるのか。
組織としてのスタンスを明確にしておくことは不安感の払拭になります。

・ リンク切れのチェック

画像のリンク切れ等、メンテナンスがあまりされていない印象を与えてしまうエラーを定期的にチェックしましょう。

以上のように、SSLの導入以外はコストもあまりかからず、すぐできることが多くあります。
上の項目に反するようなページは早急に改善を検討すると良いでしょう。

オーナー側から見たセキュリティ

次に、オーナー（管理者）から見たセキュリティリスクを挙げていきます。

・ Webサイトが不正アクセスで書き換えられる

・ 取得した個人情報が流出する

・ スパムコメントが大量に増える

・ 大量のアクセスアタックでサーバーが落ちる

・ Webサイト自体が不正サイト扱いされ検索順位が急激に低下する

聞くだけで恐ろしい内容が並んでいます。

まるで対岸の火事のように聞こえるかもしれませんが、すべてのWebサイトは常にこのようなリスクにさらされています。他人事ではありません。

また、Webサイトに直接かかわる攻撃は、ユーザーの信頼を失ってしまうだけでなく、Googleなど検索エンジンからスパムサイトとして判断されてしまうリスクも伴います。

一度スパムサイト扱いされてしまったWebサイトは元の状態（検索順位など）に戻すのが難しく、失うものは短期的な信頼だけではないのです。

以下では、こういった事態を防ぐために、どのような対策を行うべきかをお答えしていきます。

管理者の管理

こういったセキュリティが破られる大きな原因の一つは、「ソーシャルエンジニアリング」によるものです。

さて、このソーシャルエンジニアリングとは何でしょうか。

ハッキングや、セキュリティ破りは、スパムやウイルスソフト、脆弱性を突いたアタックによるものが多いと思われがちですが、実は違います。

最も多いのは、管理する人間の隙や油断を突いて、直接情報を奪い取る手段です。

これを、ソーシャルエンジニアリングと呼びます。

・ 外注会社を装ったパスワードを変更したいので教えてくださいというメール

・ 管理者のPCの後ろから直接入力を見る

・ 金銭を不正に渡してパスワードを盗み取る（協力会社含む）

上記のような直接的な不正入手手段があります。

これを防ぐにはたった３つ。

・ 管理者のレベルによって権限を分ける

・ 必要以上に管理者を置かない

・ 定期的にパスワードを変更する

これしかありません。
特に、管理者によってアクセスできる情報の権限をレベルを分けるのは非常に有効です。

また、管理するPCやスマホには必ずパスワードロックをかけるようにしましょう。

サーバーのセキュリティ

一方、ハッキングや、セキュリティ破りに対する対策はどうでしょうか。

実際はよくわからず、管理会社に投げっぱなしという事も多いと思います。

サーバーのセキュリティでできる事で、最低限守っておくべきことは以下の３つです。

・ WordPressやEC-CUBEなどのシステムは常に最新版にしておく

・ 使用していないプラグインやPHPファイルは必ず削除する

・ FLASHなど脆弱性があるスクリプトは使用しない

以上は最低限守るようにしましょう。

これだけで大半のハッキングリスクを防ぐことが出来ます。

一方で、サーバーアクセス過多（俗にいうF5アタック）など、物理的な攻撃は管理者では防ぎようがありません。

レンタルサーバーなどを利用の場合は、連続アクセス遮断の機能が実装されているかなど、その性能をチェックしましょう。

まとめ

以上が初歩的なセキュリティに関する知識でした。

単純にセキュリティといっても、その目的や対処法が異なることがわかっていただけたと思います。

大事なことは、

セキュリティに関する意識を持つこと

と

ユーザーに配慮してセキュリティを考える

ことです。

わからなかったり、不安がある場合はすぐに現状のWebサイト管理会社に問い合わせるのが良いでしょう。ほかの会社の意見を聞くのも私はありだと思います。

今後は、より発展したセキュリティの考え方、また簡単な実装手段などをお伝えしていきます。