サーバーのセキュリティ 中小企業がターゲットとされる理由とその対策

サーバーセキュリティ

 

自社のサイトをWeb上に開示するといことは、外部の「サーバー」に公開するということです。インターネット上に情報を公開して世界を相手にビジネスを展開できる一方、サイバー攻撃を受ける可能性が出てきます。

18年7月にはシンガポールで約150万人分の医療情報がサイバー攻撃で漏洩。日本では不正アクセスによる検挙件数は17年で648件と「セキュリティ対策の甘さ」が指摘されています。サイバー攻撃は、大企業より中小企業が狙われています。

中小企業がサイバー攻撃に狙われる理由

アメリカのソフトウエア会社・シマンテックによると、サイバー攻撃の約6割は中小企業やスタートアップ企業への攻撃だそうです。
狙うなら見返りが大きそうな大企業をターゲットにする印象ですが、実際に狙わるのは違います。

中小企業が狙われるには理由があります。
多くの中小企業の場合は、セキュリティはシステム委託先が自動で行っていると思っているそうです。また、サーバーのセキュリティは自社または専門業者が必要と知っていても、リターンが分かりづらいセキュリティ関連に投資しづらい現状があると言われています。

そして、セキュリティの高い大企業を狙うリスクよりも、セキュリティの甘い取引先の中小企業を狙いハッキングした方がリスクは低く、そこから本丸の大企業の情報を盗むことができる可能性があります。

サイバー攻撃によって一度でも侵入されると、「顧客情報の漏洩」だけでなく、
・サイトの書き換え
・データの改ざん
・ウイルス感染
・コンピューターの破壊
・他人へのなりすまし
・不正購入
などの被害が考えられます。

例えば、お客様の個人情報を不正アクセスにより漏洩してしまうと、
・顧客への問い合わせなどの対応
・顧客など関係各所への賠償損害
・調査に掛かる時間と費用
・サイト復旧に掛かる費用とビジネス停止
・社会的信用の失墜
・掲示板やSNSなどへの書き込みによる2、3次被害
など莫大な損害が発生してしまいます。

サーバーのセキュリティ対策の基礎

上記なような被害を受けないためにも、Web上にサイトをアップしているのなら、以下の基本的な対策をおすすめします。参考にしてみてください。

・管理権限者のアカウント設定
サーバーに対して全ての操作を行うことができる権限が「管理者権限」です。デフォルト設定になっていませんか。別のユーザーIDに変更しましょう。

・安全なパスワード設定
名前など個人から推測されないもので、大文字・小文字・数字を含ませることでパスワードの安全性が高まります。

・セキュリティパッチ(セキュリティ更新プログラム)
プログラムにセキュリティホール(脆弱性※セキュリティの欠陥)が見付かったさいに、修正するプログラムです。公開しているWebサーバーと一見、関連がないようですが、構成要素にセキュリティホールが存在してしまう可能性があります。ハッカーはどんな隙でも突いてきます。常に最新の情報にしておきましょう。

・不要なアカウント削除
使用していないアカウントがセキュリティホールになる可能性があります。不要なアカウントは削除しましょう。

・ログ(通信記録)の取得
不正アクセスやウイルス、内部からの情報漏洩が発生した場合、事後の調査のためにもログの取得と記録が必要です。

・ファイアウォール
文字や画像をインターネットで送受信するさいに使われる道(ポート)と伝達方法(プロトコル)があります。ハッキングのさい、この道を使って侵入してきます。ファイアウォール(防火壁)は、ポートを制御して外部からの不正アクセスを防いでくれます。

・侵入防止システム(IPS)
セキュリティホールを突く、サーバーに過剰な負担などを与える「DoS攻撃」などをリアルタイムで感知し、アクセス元の通信を遮断させる機能です。IPS(Intrusion Prevention System)は、ファイアウォールと同時に導入することで、より高いセキュリティを手に入れられます。

・WAF(Webアプリケーションファイアウォール)
WAF(ワフ)とは、Webアプリケーションのセキュリティホールを突いた攻撃から守るセキュリティ対策です。ファイアウォールとは違い、アプリケーションレベルで解析、対策できる強みが特徴です。従来型WAFと呼ばれる対策が、セキュリティ対策に意識が高い企業に導入されていましたが、エンジニアの確保、複雑な設定作業などコストの面で敷居が高いセキュリティと言われていました。しかし、「クラウド型WAF」の登場で、コストを大幅に抑え、実用的なサーバーセキュリティ対策として注目されています。

最後に

セキュリティ対策は、管理権限者だけでなく、社内での啓もうが大切です。公開情報と非公開情報の意味や機密情報や個人情報の扱いや重要性、それらが漏洩したことによるリスクを「セキュリティ教育」とし意識を高めていく必要があります。

セキュリティホールが社員自身だったとならないためにも、意識を高めて、将来のリスクをなくすために「セキュリティ対策」の導入を検討されてはいかがでしょうか。ただ、あらゆるセキュリティ対策を施したとしても、セキュリティ対策はいたちごっこと言われています。どんなに強化してもそれで万全というわけではありません。

そのため、万が一侵入されデータの改ざんを許した場合の備えも重要になってきます。監視サービスを導入していれば侵入を素早く検知し、改善策を打てる様にしましょう。パトロールクラリスを導入すればRPAとの連携で監視の強化だけでなく調査・復旧・報告・設定までの運用を自動化出来ます。検知から即復旧までを自動で処理してくれるので安心です。