こんにちは。「クロジカサーバー管理」 IT/テックライターのkait78です。
Webサイトは企業のイメージやユーザーとの信頼関係構築において重要な役割を果たしています。企業イメージのアップやユーザーとの信頼関係を築くためにWebサイトのブランディングは必須です。良いブランディングにより、ユーザーは特定のブランドに対して信頼感を抱き、そのブランドを選ぶ傾向が生まれていきます。
今回は、Webサイトにおける”守りのブランディング”をご紹介します。
Webサイトのブランディング戦略
Webサイトにおけるブランディング戦略では、”攻めのブランディング”と”守りのブランディング”の2種類があります。
攻めのブランディング
攻めのブランディングとは、Webサイトのウェブデザイン・コンテンツ・ユーザーエクスペリエンスにより差別化する手法です。これらは企業のアピールポイントや特徴を強調して魅力を伝えることが重要です。Webサイト制作時にデザイナーや制作会社とすり合わせを行い、納得のできる攻めのブランディングをしましょう。
守りのブランディング
守りのブランディングでは、セキュリティと信頼性を重視します。
たとえば、ユーザーのプライバシーや個人情報保護、データの安全性を確保することで、ユーザーに安心感を与えます。
また、夜になるとアクセス集中によってサイト閲覧がしづらくなる・サーバーダウンでサービスが利用できなくなる事象が発生すると、ユーザーの企業に対する信頼がなくなり、別の競合他社へ移ってしまう可能性があります。
守りのブランディングは、企業や組織の信頼を築くために欠かせない要素です。
次に、守りのブランディングを実行するための基本事項を掘り下げていきましょう。
Webサイトの「守りの基本」
Webサイトを守るためには、以下の基本的なポイントを押さえる必要があります。
脆弱性を理解する
脆弱性とは、OSやミドルウェアアプリケーションなどのソフトウェアに対して、悪意のある攻撃者に悪用される可能性のあるセキュリティ上の弱点です。
また、OSやミドルウェアだけでなく、Webサイトが動いているサーバーやネットワーク自体に脆弱性対応をしていなければWebサイト自体に脆弱性があると見なされ、攻撃対象となってしまいます。エンジニアでない方も、主要な脆弱性やその影響について理解することが重要です。
攻撃手法を理解する
まず、Webサイトの攻撃手法を理解しましょう。
攻撃者にとって、攻撃する基本は、対象Webサイトが利用しているソフトウェアの中で脆弱性のあるものを使っているか見つけることです。脆弱性を利用した攻撃が最も簡単な手法であるため、この手法が使われています。
たとえば、既に世間に知られている脆弱性のあるソフトウェアを利用しているサイトを見つけるだけで、そのサイトにどのような攻撃を仕掛ければサーバーダウンやハッキングができるかが分かってしまいます。
脆弱性のあるソフトウェアを提供していた制作会社は、既に脆弱性対策をしたソフトウェアアップデートのファイルを提供しているのですが、そのことをWeb担当者が知らずにアップデートしていない場合にこのような攻撃被害に遭います。
攻撃者は日々ソフトウェアの脆弱性について研究・調査し、脆弱性を見つけた場合に、そのソフトウェアを利用しているWebサイトを攻撃していきます。
脆弱性発見直後にWebサイトを攻撃された場合はそれを防ぐことは難しくなりますが、脆弱性が判明した場合は制作会社やIPAが直ぐに脆弱性情報を発表します。
そのため、日々発見される脆弱性の情報のキャッチアップが必要です。
また、脆弱性情報の中には、ソフトウェアのバージョン情報や現次点での対策方法が記載されています。
そのため、自社のWebサイトが利用しているソフトウェアの種類や設定の状況によって、脆弱性に該当するか否かの判断も必要となります。
攻撃の種類を理解する
続いて、攻撃の種類も理解しておきましょう。
攻撃種類も複数あります。自社のWebサイトが攻撃されていると判断できる知識を持つ必要があります。たとえば、「Webサイトを見てて、何か違和感を感じるな」程度でもWebサイトが攻撃されている可能性があります。
Webサイトが攻撃された場合の、代表的な挙動は下記のようになります。
ただし、ただ単にユーザーの利用率が高くなっている場合やエンジニアの作業中である場合もあるため、下記事象が発生したら必ず攻撃されているとは限らないので注意しましょう。
- Webサイトが開けない・開くのに時間がかかる
- 検索サイトからURLをクリックすると別ページに自動的に遷移される
- Webページが改変されている・管理画面にログインできない
- ユーザーから、アプリケーション利用後から自身のパソコンやスマホの挙動がおかしくなったなどの申告・問い合わせが急増する
攻撃に遭った場合はこのような事象が発生する可能性があることを理解しておきましょう。
脆弱性対策を怠ると・・・
脆弱性対策を怠ると、上記のような事象やサーバを乗っ取られたりなどの重要なセキュリティインシデントとなる恐れがあります。
セキュリティインシデントが発生した場合、発生後にソフトウェアアップデートで対策をしたことをアナウンスしても、会社として重大な損害を被る場合があります。
インシデントが発生すると、以下のような損害の発生が考えられます。
- 費用損害(事故対応損害)
事故発生から収束までの各種事故対応により被る損害
- 賠償損害
情報漏洩などでの損害賠償請求により被る損害
- 利益損害
サイト、ネットワーク停止などでの事業中断により被る損害
- 金銭損害
マルウェア感染などによるビジネスメール詐欺やインタネットバンキングのなりすましなどにより被る損害
- 行政損害
個人情報保護法において命令違反などにより課される罰金の損害
- 無形損害
風評被害、ブランドイメージ低下、株価下落など金銭の換算が困難な損害
JNSA(日本ネットワークセキュリティ協会)の「インシデント損害額調査レポート 2021年版」によると、被害額は軽微なもので数百万円から、深刻な場合は3億円にも上るという調査結果が発表されています。セキュリティインシデントを起こす前に、脆弱性対応を事前にしておくことが重要です。
守りやすいサーバーを選ぶ
上記では、Webサイトが攻撃される前に、対策をすることが重要だと学びました。Webサイトのセキュリティを強化するためには、守りやすいサーバーを選ぶことが重要です。以下のポイントに注目しましょう。
サーバー管理権限を取得できるか
サーバーの管理権限を持つことで、セキュリティの設定やアップデートなどを自由に行うことができます。適切な管理権限を持つサーバーを選ぶことが重要です。レンタルサーバーなどの場合、複数ユーザーと共用してサーバーを利用することになり、管理権限を持てないサービスがほとんどです。
脆弱性が発見された場合、レンタルサーバーを提供している会社の対応を待つしか方法がなくなってしまいます。
バックアップの取得と復元
Webサイトのバックアップとリストア(復元)が簡単なサーバーを選びましょう。
脆弱性対応のためにソフトウェアのアップデートを実施したが、OSやプログラミング言語のバージョンが合っていないなどの影響で、サイトの動作不良を起こす場合もあるため、元の状態に戻せることは重要です。
アップデートによってWebサイトが利用できなくなったら元も子もありません。ソフトウェアアップデートによってWebサイトの動作不良がなぜ起こるかと言うと、WebサイトのOSやミドルウェア・プラグインなどにはそれぞれに依存関係があるためです。
バックアップから復元し、原因調査・対応後に再度ソフトウェアアップデートをしましょう。
WordPressの場合の依存関係は下記でご紹介しています。
WordPressのセキュリティ対策とは?
ソフトウェアのアップデートができるか
Webサイトのセキュリティを確保するためには、使用しているソフトウェアやプラグインの最新版を常に利用することが必要です。古いバージョンのソフトウェアは脆弱性がある可能性がありますので、アップデートが容易に行えるサーバーを選ぶことが重要です。
上記の管理権限の取得と同様に、レンタルサーバーの場合は提供している会社の対応を待つしか方法がなくなってしまいます。また、アップデートのタイミングは指定できません、さらに実際に対応しているのかも利用者からはブラックボックスとなります。
他にも、ソフトウェアアップデートの注意点として、アップデートのプログラムは、ソフトウェアのサポート期間内しか配布されません。サポート期限が切れてしまっている環境は非常に危険です。
守りやすいサーバーを選定した後は、Webサイトのセキュリティを強化しましょう。
Webサイトのセキュリティを強化する
Webサイトのセキュリティを強化するためには、以下のポイントに注目しましょう。
セキュリティ要件を利用する
セキュリティ要件とは、Webサイトなどのシステムやアプリケーションにおいて、セキュリティの確保のために必要な基準が記載された文書です。
セキュリティ要件は複数あり、インターネット上で公開されています。そのため、サイトの特性により利用するセキュリティ要件を選びましょう。
たとえば、行政・自治体システムのクラウド化を実施する場合のセキュリティ要件に、「次期自治体情報セキュリティクラウド要件」が総務省から公開されています。
本要件は下記のような機能が必要であると定義されています。
重要なセキュリティ対策を優先的に対策する
Webサイトのセキュリティ対策は多岐にわたりますが、時間や予算の制約がある場合は、重要な対策を優先的に実施しましょう。
以下に、簡単にセキュリティ対策の優先度例を挙げます。
まとめ
以上が、Webサイトにおける"守りのブランディング"についての解説でした。
Webサイトの守りのブランディングは、企業の信頼を確立し、ユーザーに安心感を与えるために欠かせない要素です。
セキュリティや信頼性に焦点を当てた対策を行いましょう。セキュリティ意識を持ちながら、常に最新の脅威に対応することで、企業のブランディングを確立することができます。また、セキュリティ対策は一度行ったら終わりではありません。定期的な監視やアップデート、脆弱性のチェックなどを継続的に行うことが重要です。
「クロジカサーバー管理」では、Webサイトのセキュリティ運用やサイトの監視などトータルにサポートするサーバー管理サービスを展開しています。上場企業や自治体、教育機関など、さまざまな業界の企業様にご利用いただいており、サーバー運用のエキスパートが24時間365日、あなたのWebサイトの運用を行います。
サーバー管理でお困りの際は、ぜひ、「クロジカサーバー管理」へご相談ください。
ライター:kait78
元大手通信事業者のインフラエンジニア。ネットワーク・サーバー・AWS領域でIT/テック記事に特化した記事を執筆。Webサーバーにまつわる課題や悩みに対して実務経験を基にした、現場社員目線の課題解決となるアイデアを提供します。
コーポレートサイトをクラウドでセキュアに
無料ではじめるサーバー管理
クロジカガイドブック
- コーポレートサイト構築・運用の課題を解決
- クロジカサーバー管理の主な機能
- 導入事例
- 導入までの流れ
