コーポレートサイトセキュリティが重要視されている訳

インターネットの発展と共に増加しつつあるサイバー攻撃、昨今ではその対象が大手企業だけでなく中小企業にも向けられつつあります。最近では企業システムだけでなく企業フロントに設置されているWebサイトにも向けられてきています。

一旦サイバー攻撃を受けた場合、被害甚大です。金銭面での被害はもちろんのこと、昨今では企業イメージ低下などその影響は計り知れません。

今回はコーポレートサイトに対するサイバー犯罪の現状と、その対策方法について解説します。

コーポレートサイトのセキュリティが重要視される理由

サイバー犯罪そのものは年々増加の一途をたどっています。国立研究開発法人情報通信研究機構(NICT)の調査によると、2008年に22.9億回だったサイバー犯罪は、2018年には2121億回と実に100倍まで増加しています。

またかつては社内システムやパソコンに対する攻撃がメインでしたが、ここ最近はコーポレートサイト、すなわち企業Webサイトへの攻撃が著しく増加しているのです。

近年、爆発的に増加しているWebサイトへのサイバー攻撃

かつては社内向けのセキュリティも脆弱で攻撃しやすい環境にあったのですが、ここ10年でその対策は堅牢になりつつあり攻撃しづらくなりました。そこで狙われやすくなったのが、外部からアクセスすることを前提にしているコーポレートサイトなのです。

Webサイトは社外からアクセスすることを前提にしており、完全な防御は難しいため攻撃しやすい背景があります。また、内部システムと連携しているケースも多く、Webサイトを踏み台にして内部へ攻撃するパターンも多くなっています。

単なるシステム停止目的から情報搾取等によるお金目当ての犯罪に

コーポレートサイトへの攻撃が増加した理由は、攻撃者の目的が変化してきたことも背景にあります。

かつては攻撃者側の技術力を誇示するために行われていたサイバー犯罪は、今やお金目的に変わってきています。その結果、攻撃者はよりお金になるものの搾取、あるいは乗っ取りによって目的を達成する方針に変わってきています。お金になるもの、それは企業情報です。

コーポレートサイトはその特性上、お客様の個人情報などと連携しているケースが多々あります。顧客の個人情報には住所氏名だけでなく口座情報やクレジットカード情報などそれを販売、利用してお金にすることが出来ます。そのため、コーポレートサイトは狙われやすくなっているのです。

対象は企業規模に関わらない

また攻撃対象は企業規模に関わらず及んできています。そもそも彼らが狙っているのはお金になる情報、その情報は企業の規模に関わらず保持しています。

攻撃によるダメージは深刻

万が一、サイバー攻撃を受けた場合のダメージは深刻です。企業の個人情報漏洩がニュースで大々的に取り上げられたケースを見たことがあるのではないでしょうか?一旦発生すればその影響は計り知れないのです。

情報漏洩による企業イメージ低下

何より情報漏洩による企業イメージ低下は計り知れません。当然のことながら犯罪をおこなっているのは攻撃側というのは間違いありません。ただ一旦情報漏洩が発生すれば、非難の目は企業側に向けられます。それは昨今、顧客情報を守るためセキュリティの対策するのは企業の義務となっているからです。

そのため、情報漏洩が発生した場合、企業はセキュリティ対策を怠った=対策義務を果たしていない、とみられてしまうのです。これによる企業イメージの低下、信頼の失墜は計り知れないものがあります。

攻撃対象は企業だけでなくお客様にも向けられている

さらに情報漏洩による攻撃はお客様にも向けられています。例えばカード情報搾取によりカードを悪用されたりすれば、お客様に多大な被害や迷惑が掛かります。最近では某電子マネーサイトが狙われ、電子マネーの登録情報が漏れた結果、勝手に利用されお客様に被害が及んだ実例がありました。

一旦お客様に被害が生じれば、信頼失墜だけでなく損害賠償などにもつながり、さらにダメージは大きくなってしまいます。また、ECサイトなどがあればサービス停止も余儀なくされる可能性があり、最悪の場合企業存続の危機に陥る可能性もあるのです。

サイバー攻撃内容はどのようなものか?

それではWebサイトに対するサイバー攻撃はどのようなものか?現状のトレンドをご紹介します。先ほどもお話ししたとおり、お金目当ての犯罪が増加しており、そのための情報搾取やのっとりがメインになっています。

情報を搾取する目的の攻撃が多い

何より情報搾取をおこなうための攻撃が増加しています。例えばデータベースの脆弱性をついた犯罪です。企業のお問い合わせページに不正な命令文を混ぜて送信、データベースの誤動作を引き起こし、データベース内にあるお客様情報を入手してしまう手法です。

また、企業ページを改ざんし、不正なリンク先を埋め込むことでアクセスしてきたお客様を悪意のあるサイトに誘導、クレジットカード情報など個人情報を入力させ、搾取する方法です。これをフィッシングといいます。

システム自体を人質とした身代金搾取目的のものも

また最近では、システムにウィルスを混入させ、システム停止を引き起こす、ないしは乗っ取った上で、システム開放と引き換えに身代金を要求するパターンも出てきています。
最近の事例ではカプコンで発生したランサムウェアがあります。コーポレートサイトではありませんでしたが社内システムをウィルスにより停止し、身代金を要求する事件が発生しています。お客様影響はないものの、システム停止による業務影響は計り知れないものがあります。

日々新たな攻撃、亜種が発生している

ウィルス問題は毎日のように新しい攻撃、ウィルス亜種が発生しており、攻撃側と対策側のイタチごっこが続いているのが現状です。昨日までは堅牢だったとおもっていたセキュリティ対策も翌日には穴だらけ、ということもありえるのです。

よって今ではいかに守るか、というよりも攻撃をいかに早期に検知、止めるか?が重要視されてきています。

サイバー犯罪に合わない為に:行うべき対策

年々高度化しつつあるサイバー攻撃に対し、企業側はどのように対策を講じていけばよいのでしょうか?ここでは3つの対策方法について解説します。

脆弱性診断

1つ目はサーバの脆弱性診断です。簡単にいえば、サーバが攻撃に対しどの程度耐えられるのか?を診断するため、疑似的に攻撃し状況判断するものです。

例えばOSの脆弱性対策が行われているか?外部からのあらゆる攻撃を某業出来るのか?などその項目は多岐にわたります。また年々増える新たな攻撃に対し診断項目もアップデートされていっているのが特徴です。

主にSierやサービスプロバイダーなどがサービスとして提供しており、リアルタイム診断や定期的な診断など多くのパターンが出てきています。最低でも年1回は診断することをおすすめします。

WAF

WAFとは、Web Application Firewallの略で、Webサイトに特化したFirewallです。アプリケーションレベルでリアルタイムに通信内容を解析し、不正な通信を遮断することで、外部からの攻撃からサイトを防御します。Web向け攻撃に特化していることから、通常のFirewallより強固にWebサイトを防御出来ます。
H3. 改ざん通知
最後はWebサイトの改ざん通知機能です。万が一Webサイトにマルウェアの埋め込みをされた場合でも、改ざん履歴を管理者に通知、不正な改ざんが発生したことを即時検知できるサービスです。

また不正改ざんが見つかった際には自動的にメンテナンスモードに切り替え機能停止を図ることで、被害を最小限に抑える機能もあります。

まとめ:日々高度化するサイバー攻撃に対する対策を!

いかがでしたか? Webサイトへの攻撃は年々増加の一途をたどっています。その要因は金になる情報を搾取する目的であり、Webサイトは多くの情報とリンクしていることから狙われやすいと言えます。

企業のIT担当者の皆様は、この記事をもとに是非一度自社サイト対策見直し、および対策強化を図られてはいかがでしょうか?

Webサイト におけるセキュリティのことなら、私達にご相談ください。

私たちは、Webサイトに必要な クラウド・CMS・セキュリティ対策 を提供するWordPressプラットフォーム「SiteCloud」を提供しています。
豊富な知見を活かし、企業が管理・運営するコーポレートサイト をはじめとしたWebサイトの安全な環境をご提案します。
Webサイト管理・環境におけるセキュリティでお悩みの企業の方は、お気軽にご相談ください。

関連する解決策

最新記事

詳しい資料をご覧いただけます

SiteCloudのサービス内容を記載した資料をダウンロードできます。
SiteCloudの機能や事例が分かる
無料資料ダウンロード