=セキュリティ対策事務局運営の背景=
ちょっと前までは日本語のハードルが高く、世界的にセキュリティ対策が遅れている日本でも、特に大きな問題ではなかったのですが、昨今AIの進化によって、自動翻訳の精度が飛躍的に高まってきたため、日本の遅れたセキュリティレベルが世界的に狙われ始めています。中でも特に対策が遅れている中小企業が狙われています。 弊社自身も過去に運営していたマッチングサイトが狙われて、大きな打撃を受けた経験があります。そのために、被害に合うとどれだけダメージが大きいか、またそのリスクの範囲の大きさを体感的に感じ、まだ対策をされていない皆様のお役に立ちたく、パトロールから取り組んでいます。 これまで多くの企業様や団体様のホームページを制作、管理業務を受託させて頂いてきた実績と経験を踏まえ、被害が拡がる前に、リスクの大きさをお伝えし、対策をお手伝い致します。
安全・安心なインターネット通信の普及の取り組みとして、弊社では
常時SSL/TLS通信100%導入を目指して活動しています。
セキュリティ未対策のリスク
セキュリティ漏れによる3つの被害例
1)情報漏洩
2)ホームページ改ざん・ダウン
3)マルウェア感染
サイバー攻撃の5つの種類
1)SQLインジェクション
2)クロスサイトスクリプティング(XSS)
3)DoS攻撃・DDoS攻撃
4)ブルートフォースアタック
5)ゼロデイ攻撃
サイバー攻撃被害の調査方法であるフォレンジック調査の費用
フォレンジック調査は、専門業者へ依頼して実施します。調査の内容や規模、依頼する業者などさまざまな要素によって、費用が異なりますが、一般的には、調査する機器1台につき数十万~数百万円程度といわれています。
簡単に実行できる7つのセキュリティ対策
1)必要のないプログラムは削除
2)システム・プログラムの脆弱性対策・アップデート
3)アカウント管理・アクセス制限
4)パスワードは12桁以上
5)SSLサーバ証明書の取得
6)システム・アプリケーションログの取得・保管
7)Google reCAPTCHAの設置
更に強力な3つのセキュリティ対策
1)ファイアウォールでポートスキャンを防止
2)IPSでDoS攻撃を防止
3)WAFでSQLインジェクション・XSSを防止
WordPressを使用している場合の3つのセキュリティ対策
1)WordPress・プラグインのアップデート
2)セキュリティプラグインを導入
3)不要なプラグインを削除
ホームページセキュリティチェックツール3選
1)Observatory by Mozilla
2)gred
3)VirusTotal
真っ先に着手すべき対策とは
ほとんどの会社や団体は既に実施していますが、いまだにできていない会社や団体をたまに見つけることがありますので、こちらであえてお伝えします。これができていない会社様や団体様は、必ず至急ご対応されて下さい。たいして費用はかかりませんが、被害にあった際のリスクが大きすぎますので。
上述した通り、昨今対策が遅れた中小企業が狙われやすくなっています。 特に外部から、対策をとっていない事がすぐに見えてしまうホームページは、狙われやすいでしょう。 例えばSSL/TLS通信が設定されていないホームページは
保護されていない通信 http://・・・ と一目瞭然です。
これでは、「うちは、セキュリティー対策をしていません」と公表しているようなものです。 狙われるだけでなく、ユーザーからも信用されず、アクセスを敬遠されます。ユーザーの環境によっては、そもそもページが表示されない場合もあります。 この程度の対策であれば、即日大した費用をかけずにできる場合がありますので、すぎにやるべきです。
SSL通信対応しないリスク
【訪問者側のリスクや損失】
1.情報漏洩リスクが高い
もし、ユーザーが個人情報を入力する場合、その情報はセキュリティ対策がされ
ていませんので、簡単に盗まれてしまいます。
2.なりすましによるフィッシング詐欺のリスク
SSLサーバー証明書(組織認証型)は認証局がWebサイト運営者の実在性を確認し
ており、全てのWebページにおいて第三者のなりすましではないことを証明するこ
とができます。
【サイト運営者側のリスクや損失】
3.ハッカーから狙われやすい
対策していないことは一目瞭然ですので、意識が低い運営者とみなされ、狙われや
すくなります。
4.SEO対策の減点
googleの検索エンジンの表示順に関わるアルゴリズムにおいて、マイナス評価と
なり順位低下の影響をもたらしています。
5.顧客や公に対する信用低下
比較的簡単な対策であるにもかかわらず、なされていないということは、「この
ホームページは、セキュリティ対策を行っていません」と言っているようなもの
であり、そういったホームページを運用している会社や団体に対してのユーザー
の信用は当然低下します。
6.情報の改ざんリスクが高い
サイト運営者の売上や集客への影響
2018年10月でバージョン70となり、Google Chromeでは、SSLが設定されていないHPでは、httpのURLの左側に「保護されていない通信」と注意喚起が自動的に表示されますが、更に入力フォームに文字などを入力すると、「保護されていない通信」の表示が赤く警告を発するようになりました。
こうなると、ユーザーは不安になって離脱されることになってしまいます。
特に昨今では公共の場で無線LANのWifiを使用するケースが増えています。これらはほぼセキュリティ対策がなく、「はだか同然」の状態です。
また、SSLサーバ証明書を正しく設定しなかったり、有効期限外の証明書をインストールしている場合、
サイトを訪れると以下のような警告が表示されます。
「警告ページ」が直感的に分かるようになったことで、ユーザーは個人情報の入力をためらいます。
会員登録はもちろん、ECサイトだとしたら住所やクレカ情報を危険に晒してまで、商品を購入したいと思うでしょうか?
SSL未対応は知らずのうちに売り上げや集客の機会損失を招いているのです。
フォーム
セキュリティ対策に役立つ助成金
サイバーセキュリティ対策促進助成金
IT導入補助金