資料請求 お問い合わせ

ホーム
イプロスとは
サービス
成功事例
ノウハウ
イベント・セミナー お問い合わせ
資料ダウンロード
  • ホーム
  • イプロスブログ
  • 顧客情報を守るために、いま何をすべきか。 顧客に信頼されるWebセキュリティ対策とは

顧客情報を守るために、いま何をすべきか。顧客に信頼されるWebセキュリティ対策とは

顧客情報を守るために、いま何をすべきか。

顧客情報を守るために、いま何をすべきか。

Webサイトの改ざんやシステムの脆弱性を突いた不正アクセス、取引先を装ったサイバー攻撃など、Webのビジネス利用にかかわる情報セキュリティの事案が後を絶たちません。

当社はハッカーに狙われるような情報は持っていないから大丈夫だろう」という安心は禁物!そういったのはすでに過去の話で、今や、大手企業に代わり、対策が手薄な中堅・中小企業がターゲットにされるケースが少なくありません。

一度被害に遭えば、サービス停止を余儀なくされるだけなく、せっかく築き上げてきた社会的な信用を一気に失うリスクもあります。

今回は、そんなサーバー攻撃から顧客情報を守り、信頼されるWebセキュリティ対策をまとめた小冊子から一部抜粋しご紹介します。

 

ご興味のある方はダウンロードしてご覧ください。

顧客情報を守るために、いま何をすべきか。

顧客情報を守るために、いま何をすべきか。

顧客にも被害が及ぶ可能性のあるWebサイトの攻撃

企業としてWebサイトを運営するのが当たり前のようになっているいま、企業の経営者やマーケティング担当者にとって、製品・サービスの販売状況やページへのアクセス数などサイト閲覧者の反応を気にすることは多いが、忘れてならないのはWebサイトの安全対策です。

多数の顧客がアクセスするWebサイトでは、安心して商取引できる信頼性の高い運営が必要となってきます。

たとえ実害を被らなかったとしても、不正アクセスなどの被害に遭って一度はヒヤリとした経験を持つWeb担当者もいるのではないでしょうか。
しかしもっと重大な問題は、不正アクセスを受けたことすら気が付かないこと。たとえ気付いたとしても対策に手をこまねいているうちに、さらに大きな被害に遭う危険性があるからです。

 

図1 情報セキュリティ10大脅威 2016 個人・組織別順位

実際、企業・組織がハッカーに狙われる状況はどうなのか見てみましょう。

毎年、情報セキュリティ10大脅威を発表しているIPA(独立行政法人情報処理推進機構セキュリティセンター)によると、下図の通り「Webサービスからの個人情報の窃取」「Webサイトの改ざん」「サービス妨害攻撃によるサービスの停止」「Webサービスへの不正ログイン」など、Webにかかわるセキュリティの脅威が上位を占めており、この傾向は数年前から変わらないようです。

 

なによりWebサイトの攻撃がやっかいなのは、顧客にも被害が及ぶリスクがあることです。窃取された顧客情報で、犯罪者に不正利用されたり、盗み取った顧客のメールアドレスを悪用して標的型攻撃を仕掛けたりするなど、二次・三次と被害が広がる恐れもあります。そして、Webサイトの顧客情報を盗み取られた企業は、サイバー攻撃の「被害者」としてだけではなく、対策が手薄だったため顧客情報を守れなかった「加害者」と見られることを肝に銘じるべきでしょう。

ID、パスワードの使い回しで不正ログインの被害が拡大

Webサービスから窃取した認証情報(ID、パスワード)を悪用し、不正ログインされる被害も多発しています。

その原因として多いのが、ID、パスワードの使い回しです。登録会員制などのWebサービスのログイン時にはID、パスワードで認証するケースが一般的ですが、もし利用者が複数のWebサービスで同じID、パスワードの組み合わせを使い回している場合どうでしょう。ある1つのWebサービスからその情報が漏えいした際、他のWebサービスで悪用され、不正ログインされる恐れが高まります。
そして不正ログインされると、登録した個人情報の窃取や商品・サービスの不正購入、貯まったポイントの不正利用などの被害に遭う可能性が高まります。

 

不正ログインのリスクは会員などの利用者だけではありません。
企業のシステム管理者や従業員のアカウントが窃取されることもあるのです。こうした場合は、犯罪者は窃取した正規のID、パスワードを使うため、のセキュリティ専門家の力を借りる方法もある。情報漏えいなどの被害が明らかになるまで不正ログインに気が付かないことがあります。

ID、パスワードによるWebサービスの不正ログインを防ぐためには(図2)のように、会員登録時に推測されにくい複雑なパスワードの設定や、可能な範囲で長い文字数(数字、アルファベット大文字・小文字の組み合わせ)の設定、定期的なパスワードの変更、二要素認証などの認証方式の提供といった対策が有効です。

 

図2 認証情報(ID・パスワード)を悪用した不正ログイン

Webサイトの改ざんやDDoS攻撃からサービス停止を食い止める

Webサイトの改ざんでは、コンテンツ管理システム(CMS)などのソフトウェア製品やプラグインの脆弱性を突いて攻撃される事案が多数発生しています。これらのケースでは、改ざんされたWebサイトを踏み台に、閲覧者のパソコンにウィルスを感染させ、攻撃者が外部から端末を操って他のシステムを攻撃するといったように被害が広がる恐れがあります。

また、アプリケーションが想定しないSQL文(データベースへの命令文)を実行させ、データベースに蓄積された情報の改ざん、消去などの被害を受けるSQLインジェクションの脅威も依然として多く、こうしたWebサイトの改ざんを防ぐためには、ソフトウェア製品やサーバOSなどの更新を随時行うとともに、ソフトウェアの脆弱性対策情報がアップデートされた際にすぐに対策が行えるよう、日頃から利用している製品のバージョン管理などを適切に行うことがポイントになります。

 

また、近年はサービス妨害攻撃(DDoS攻撃)によるサービス停止の事案も多くなっています。攻撃者は踏み台を介して大量のパケットを送りつけるなど、Webサイトは正規の通信を処理できず、正常に表示されないなど、サービス妨害の被害を受けることになります。DDoS攻撃を受け、安全確認を含めて数日間サイト停止が余儀なくされた例も数多くあります。

DDoS攻撃対策としては、サービス事業者が提供する対策を利用する方法があります。(図3)のように事業者のバックボーン側で攻撃を遮断し、Webサイトへの不正な通信を防ぐことで、接続に必要な帯域を確保することができます。
また、DDoS攻撃からアプリケーションを保護するセキュリティ製品にWebアプリケーション・ファイアウォール(WAF)があります。WAFはHTTP通信やアプリケーションの中身までチェックすることができ、HTTP通信が正常だと判定した場合はそのままWebサイトにリクエストを送信。また逆に、悪意のあるHTTP通信だと判定した場合は遮断するといった処理が行えます。

図3 WAFによるWebアプリケーションの保護

外部の専門家やクラウドの力を借りてセキュリティ対策を強化

Webサイトのコンテンツやマーケティングなどの担当者の場合、必ずしもシステムやセキュリティを熟知していないこともあります。そこで、社内のシステム部門や業務委託先のシステム担当者と連携しながら必要なセキュリティ対策を講じることはもちろん、外部のセキュリティ専門家の力を借りるという方法も1つの手です。

 

また、Webサービスのプラットフォームやアプリケーションをクラウドに移行する企業が増えています。

ある企業ではWeb会員の増加とともにサイトのアクセス数が増え、キャンペーン時にはサーバレスポンスが低下するといった課題を抱えていました。しかしピーク時に合わせてサーバを増強するとなると、通常時はオーバースペックになり、費用対効果の面でも問題があります。

そこでクラウドサービスを活用し、アクセスの変動に応じて柔軟にWebサイトのインフラを増減するとともに、WebサーバやDBサーバ、ストレージなどのシステムを一括してクラウドに移行するという対策を講じたそうです。そうすることで、アンチウィルスやDDoS攻撃などのセキュリティ対策もクラウド事業者に任せられ、Webサイトのシステムとセキュリティにかかわる負荷を軽減。その分、社内のスタッフはコンテンツ制作・更新などに注力できるようになったそうです。

Webサイトのセキュリティ対策にも役立つマイナンバーの安全管理措置

情報セキュリティの必要性は理解しているが、具体的にどのように対策をすればいいのかわからないというマーケティング担当者もいるでしょう。社内にIT部門があるのならIT担当者にセキュリティ対策を相談するのもいいですし、また専任のIT部門がない場合は、マイナンバーを担当する人事や総務に尋ねてみてはどうでしょうか。

 

マイナンバー制度では顧客や従業員の特定個人情報を保護するため、企業に人的、物理的、技術的な安全管理措置を求めています。技術的安全管理措置では、特定個人情報へのアクセス制御、アクセスする人の識別と認証、外部からの不正アクセスの防止、情報漏えいなどの防止に必要な措置を講ずるとしています。これらはWebサイトなどのIT環境のセキュリティ対策として適用できるものも多く、検討に価するはずです。

 

Webサイトを狙った攻撃の手口が日々進化し巧妙化するなか、対策アプリケーションのアップデートが追い付かないほど、深刻な脅威となっています。いまやセキュリティの事案を完全に防ぐのは至難の技でしょう。

しかしそこで重要なのは、セキュリティ侵害は起きるものという前提に立ち、起きたときの被害を最小化し、早期復旧するための体制づくりと言えるでしょう。


詳しくは資料をダウンロードしてご覧ください。

関連資料

  • 成功事例集(郵送)請求
  • Webマーケティングの基本ダウンロード