中小企業にとっても他人事ではないシステム攻撃
今や欠かせない情報源となったウェブサイト。中でも、企業サイトには十分なセキュリティ対策と、安定的につながる環境が求められる。
多くの企業ではウェブサイトを公開していて、そのサイトの構築・運営に、オープンソースのCMS(テキストや画像などのコンテンツを管理、配信するシステム、WordPressなどが有名)を使っている企業も多いのではないだろうか。
オープンソースのCMSが使われる理由は、無料であったり、管理が簡単というメリットがあるからだが、実はそのメリットに隠れるデメリットについてはあまり注目がされていないという実情がある。
こうした状況に警鐘を鳴らすのが、ウェブシステム開発・データセンターサービス・サーバーホスティングサービス(レンタルサーバー)などを提供する株式会社グローバルネットコア(新潟市中央区)Webシステム部の織田真一さんと、インフラサービス部ソリューション企画課係長の鶴皐裕さんだ。
Webシステム部・織田氏はCMSのセキュリティ事情について、「オープンソースのCMSは利用者が多く攻撃を受けやすい。セキュリティ関連の事故としては不正アクセスやページの改ざん、情報漏えいなどがあるが、大企業や人気のあるサイトばかりが狙われるわけではなく、中小企業なども無作為に狙われている」と話す。
実際、セキュリティ関連の事故はどのくらい多いのか? 同社のサーバーホスティングサービスを利用している約1,000社の状況を見てみると、数ヶ月に1度は改ざん事故が発生しているという。単純な不正アクセスを試行する攻撃だけならもっと多く発生していて、「日常茶飯事で攻撃を受けているというのがサーバーを管理する者としての実感だ」(インフラサービス部・鶴皐氏)と話す。
ソリューション営業部係長の皆川宇智氏、Webシステム部の織田真一氏、インフラサービス部ソリューション企画課係長の鶴皐裕氏
改ざんの内容も手の込んだものになってきているようだ。「一昔前ならハッキングの成功を誇示するため、明らかにわかる改ざんを行うというのが主流だったが、最近は、そうした改ざんはほぼなくなり、見た目が変わらずウィルスやマルウェア(悪意のあるソフトウェア)がこっそりと埋め込まれているケースが増えている」(Webシステム部・織田氏)と解説する。
こうした場合、被害に遭っても気がつかず、そのサイトからウィルスやマルウェアがばら撒かれる。被害に遭った人から「貴社のウェブサイトでウィルスに感染しました」という連絡をもらって初めて気がつくケースが多いそうだ。
「当社サーバーホスティングサービスをご利用のお客様で、損害賠償などの大きなインシデントへと発展したケースはありませんが、そうしたケースヘ発展する可能性もあり得る」(Webシステム部・織田氏)。また、損害賠償問題にならなくても企業イメージの悪化は避けられそうにないと言える。
システムの脆弱性は、顧客情報の流出など情報漏洩などに繋がりかねないリスクも孕んでいる。織田氏は、「クレジットカードの決済の際、クレジット会社にカード番号などの情報を送りカード会社から認証を受けるが、その情報を違う場所に送信するよう改ざんされ、カードを悪用されてしまうケースもある」と続けて説明した。
同社では、安心・安全なITインフラ環境の提供のために、日夜サーバーの監視を続けているという。上記写真は異常があるとお知らせをしてくれる警告ランプ。
こうしたリスクを防ぐセキュリティ対策には「事前防御」と、「発生した後の対策」の2通りがある。防ぐことを目的とした対策(事前防御)の必要性の認識は浸透している一方で、起きた後の対策については、ほとんど手付かずというのが実態だという。
「事前の防御をしていれば安心と考える人も多いが、100%安全にはならない。改ざんされる事故は起こりうることを前提に、発生した場合、迅速に対応できる対策を検討しておくことが重要だ」(インフラサービス部・鶴皐氏)。
だが、多くのサーバーホスティングサービスでは、こうした発生後の対策には対応していない。「サーバーホスティングサービスには非常に安価なもの(1〜3,000円程度/月額)があり多くの企業で利用されているが、仮にホームページの改ざん被害に遭った時、有効な対策などについてサポートセンターに電話しても相談には乗ってもらえない場合がほとんど。依頼をしてもログの調査すらしてもらえないでしょう」(同)。
一方、同社のサーバーホスティングサービスの場合、料金は5,000円からと高めだが、改ざん被害にあった時には、概ねの被害状況を把握するための簡易的なログの調査を実施するという。「セキュリティに関する調査は、一般的には高額な調査費用を支払い、セキュリティ専門の会社に依頼をして行いますが、当社のサービスでは追加費用が発生することなく簡単なログの調査を実施する」(同)。少しばかりかさむ金額は、“安価な保険”とも言えるかもしれない。
なお、ログの調査を行うことで被害状況や侵入経路などがわかり、その後の対策に生かすことができるという。「社内に多数いるエンジニアなどの専門スタッフが、調査結果をもとに、今使っているCMSから独自のシステムにすることや、事前のセキュリティ対策の強化などを提案させて頂くこともある」(同)。
同社の「データセンター」には、たくさんのサーバー類が並び、近未来的な雰囲気。
また同社では、改ざんされた時の早期復旧につながる「ウェブ改ざん検知サービス」も提供している。URLを登録するだけですぐに利用開始ができ、万が一、改ざんが検知された場合、即時にメンテナンス画面に切り替わる。
同社のサーバーホスティングサービス利用者は月額2,500円(税別)から、他社サービス利用の場合でも月額5,000円(税別)から導入可能と安価なこともあり、「問い合わせや引き合いは多い」(ソリューション営業部・皆川氏)という。
サイトにアクセスする、自社の顧客に被害を与えかねないウェブ改ざん被害には十分気をつけておきたいところ。
様々なセキュリティサービスをラインアップ
グローバルネットコアでは、このサーバーホスティングサービス以外にも様々なセキュリティサービスを提供している。例えば「システム保守サービス」(月額5,000円(税別)から)だ。
「当社ではシステムを構築させていただいた場合、必ずシステム保守をご提案させていただいている。システムは構築してから時間が経過すると、どうしても脆弱性が発見されたりすることがある。そこをたえず修正プログラム(パッチ当て)を行ったり、保守費用の中から費用を捻出し、新しいシステムを再構築したりして、システムから脅威を取り除いている。当社以外で構築したシステムは、この保守サービスは対象外。構築後の安心安全なシステム運用までサポートしている点は、お客様から高い評価をいただいています」(ソリューション営業部・皆川氏)。
ウェブシステムの脆弱性に起因する情報漏洩、システム障害によるビジネスの停止などの危険性は他人事ではない。
皆川氏は、オープンソースCMSの代表格であるWordPressの例を示しつつ、具体的なパッチ当ての事例を、「WordPressの場合、早いと1ヶ月に1回、脆弱性のアップデートがされていて、それに合わせてプログラムを修正する必要がある。一番大きな事例では、2017年2月にログイン情報を知らない人がページを改ざんできる脆弱性が報告され、実際に全世界約155万のサイトでページ改ざん被害が発生しましたが、早急にパッチ当てを実施したことで当社システム保守サービスをご利用のお客様については、ページの改ざん被害はありませんでした。」と説明した。
このサービスには「問い合わせ窓口」もあり、専門スタッフが操作方法から障害発生時まで迅速に回答するサービスもついている。
また、「マネージドファイアウォールサービス」は、インターネットの出入り口のところに通常のルーターよりセキュリティ性の高い機器を設置し、24時間、ウィルス、マルウェア、Dos攻撃、機器の故障などを監視するサービスとなっている。
同社の「マネージドファイアウォールサービス」のイメージ図。ウイルスやマルウェアなどの脅威から保護してくれる。
この他にもまだ様々なサービスがあり、その概要は同社「N-plus」のウェブサイト()で見ることができる。
3人の他にも社内にはエンジニアなどの多数の専門スタッフがいて、様々なセキュリティ対策強化などを顧客に提案している。
◎株式会社グローバルネットコア 概要
〒950−0916 新潟県新潟市中央区米山1丁目11−11 昴ビル4F
TEL:(025)244−0144(代)
URL:
E-mail:
【関連記事】
Web担当者が知っておくべき、制作会社の違いと選び方〜株式会社グ ローバルネットコア(新潟市中央区)(2021/1/18)
本記事は、株式会社グローバルネットコアの提供による記事広告です。
