Web制作会社が取り組むセキュリティ対策について

サイバー攻撃や脆弱性に関する記事が年々増えています。それに伴い、ホームページ作成時にセキュリティの強化を求めるクライアントが増えてきました。

一方で、これだけ明らかなニーズがありながらも、Web制作会社がセキュリティ対策に踏み込めない(踏み込まない)場合もあります。

本日は改めてホームページ作成時のセキュリティ対策の重要性を確認しつつ、制作会社が感じているジレンマについてまとめたいと思います。

※セキュリティに関する関連記事は下記より↓

【Web担当者が知っておきたい知識】「SSL」とは？

WordPressの脆弱性って？WEBサイトのセキュリティ対策について

増加するサイバー攻撃と世間の関心

2018年のサイバー攻撃は9,040件で過去最多となりました。（2018年のサイバー犯罪検挙件数、9,040件で過去最多に 警察庁調べ　より）

サイバー攻撃の増加に伴い、消費者や企業もセキュリティへと関心を持つようになってきました。その中でもWebサイトは、会社の看板でもあり、場合によってはサービスそのものとなるので、万全のセキュリティ状態にしておく必要があります。

ホームページ作成時のセキュリティ対策

ホームページ作成の際、Web制作会社ではあらゆるサイバー攻撃を予測してセキュリティ対策を講じます。とはいえ、すべての攻撃を阻止できる対策法はありません。そこで、まずは以下の代表的なサイバー攻撃の対策に取り組みつつ、新たな攻撃には都度対策を講じていきます。

XSS（クロスサイトスクリプティング）対策

XSSとは、お問い合わせフォームなどから悪意のあるプログラム（スクリプトコード）を侵入させるサイバー攻撃です。攻撃されたホームページは、ページの見せ方や動作を勝手に操るだけでなく、閲覧するユーザーには別のホームページ（クロスサイト）にリンクをさせるなどして、個人情報の搾取やマルウェア感染といった被害を及ぼします。

XSSの対策法は、フォームに入力する文字の制限や、悪意のあるプログラムを無害化するなどの方法があります。

SQLインジェクション対策

データベースを動かす「SQL」という言語を不正に操作して、ホームページを改ざんしたりウィルスを設置したりするサイバー攻撃です。例えば、オンラインショップなどで顧客情報を管理しているデータベース内に攻撃者が不正なSQLを侵入させ、データベース内の個人情報を搾取するといった被害がみられます。

SQLインジェクション対策としては、悪意のあるSQL言語を正常な文字列に変換させたり、「WAF（Webアプリケーションファイアウォール）」というセキュリティシステムを導入したりするなどの方法があります。

CSRF（クロスサイトリクエストフォージェリ）対策

CSRFは、Webアプリケーションの脆弱性を利用したサイバー攻撃です。例えば、オンラインショップなどにログインした状態のユーザーを、悪意のある別のホームページ（クロスサイト）にリンクをさせ、不要なものを買わされるなどユーザーの意図しない処理が勝手に行われるなどの被害があります。

XSSとも似ていますが、XSSはブラウザで実行されるのに対し、CSRFはWebアプリサーバで実行されます。対策としては、Webアプリケーションが不正なリクエストの受信や処理をさせないよう、システムを作り込むなどの方法があります。

なぜWebサイトのセキュリティ対策に踏み込めないのか

実際はまだまだ万全のセキュリティ対策をできていない企業があるのも事実です。その理由の1つとして、Webサイトを作る制作会社のスタンスも挙げられます。制作会社がセキュリティ対策に踏み込まない理由を大きく分けると5つ理由があると思います。

何をすればいいのかわからない

まず、セキュリティ対策と言っても何をすればよいのかがわからない方も多いのではないでしょうか。目先だけのセキュリティ対策を行ってもキリがないので、まずは根本からを理解する必要があります。

やり方がわからない

また、やるべきことがわかっていても、どのようにして対策をするのかがわからないケースもあるかと思います。ネットで検索しても曖昧な情報も多く、専門家に頼るか自身で習熟する必要があります。

コストが高すぎる

やるべきことややり方がわかっていても、コストの兼ね合いで提供できないこともあります。各セキュリティの対策を行っていくとそれだけコストがかかるので、SSLなどの最低限のセキュリティ対策でとどめることもあります。

中堅・中小企業が対策に踏み込めない理由として、これが最も多いのではないでしょうか。クライアントの予算から提案を断念してしまっている企業も多そうです。

重要性を感じていない

そもそも重要性を感じていないケースがあげられます。確かに対策をしなくても問題が起こらない可能性がありますが、これだけ世間で騒がれている中、避けて通るわけにはいかないでしょう。

セキュリティ対策はクライアントサイドに任せている

そもそもセキュリティ対策はクライアントサイドで実施するものだ、というWeb制作会社も多いです。とはいえクライアントも知識がなく不安なこともあるので、制作会社が丸っと面倒をみたほうが安心でしょう。

ウェブタメとして支援したいこと

弊社はこのような現状に対して、自社のCMSを通して解決しております。クラウド型のCMSを扱っているため、レイヤーごとのセキュリティ対策から、Webサイトの改ざんまでを1つのパッケージにしております。

例えば、セキュリティに関しても下記のような対策をCMSパッケージの一環として取り組んでいます。


イメージ図：各レイヤーごとのセキュリティ対策の実装↑

安価にセキュリティ性の高いCMSが提供可能で、中小企業～上場企業様までご好評をいただいております。

また、セキュリティに力を入れていきたいWeb制作会社様に対しても、CMSの代理店（パートナー）を募集しており、CMSの提供を行っております。

エンドクライアントから要望があった際に、ツール1つですべてが丸っと収まるので、安心してご利用がいただけます。もしご興味がございましたら、お気軽に下記リンクよりご相談ください（まずはご相談ベースで大丈夫です！）。

ホームページ作成を検討されている企業様はもちろん、Web制作会社様も、ぜひお気軽にご連絡ください！

合わせて読みたい：
CMSの概要と種類を１から解説！無料から有料まで比較のポイントもまとめました。