セキュリティ対策

セキュリティ面でも万全の対策を打ち、
安心できるWebサイトを制作します。

会員情報を扱うようなWebサイトでない限り、セキュリティがクリティカルな問題となることはそれほどありません。とはいえ、フォームの入力画面や、CMSの管理画面の入口など、セキュリティに配慮すべきポイントは存在します。私たちは、以下のような項目についてチェックや予防策を実施することで、Webサイトの安全対策を行っています。

SSL化

個人情報を扱う入力フォームやログイン画面のみならず、WebサイトのすべてのページをSSL化し、暗号化することを推奨しています。リニューアルのタイミングでSSL化を行う場合には、リダイレクト処理なども実施します。なお、近年ではGoogleのアルゴリズムにSSL化されているかどうかが組み込まれており、SEOにも影響を与えるといわれています。

クロスサイト・スクリプティング

ページ内に悪意のあるスクリプトを埋め込み、cookieの情報を抜き取ったり、強制的に別サイトへリダイレクトしたりする攻撃のことを指します。掲示板やコメントのような、ユーザが投稿できるような機能があるとこのリスクが生じます。フォームに入力された特殊文字は置換するなど、悪意あるスクリプトが実行されないように対策することで防ぐことができます。

SQLインジェクション

不正なSQL文を実行させてDBを操作する攻撃のことを指します。CMSを導入する場合、その管理画面などがターゲットとなるリスクがありますが、多くのCMSでは基本機能でSQLインジェクション対策が施されているため、改めて追加対応するケースは稀です。その他、自前で管理システムなどDBと連携するシステムを構築する場合などには、この対策を施します。

クロスサイト・リクエスト・フォージェリ

不正に送信するスクリプトがページに仕込まれ、意図しない書き込みや、購入を実行してしまうような攻撃です。クロスサイト・スクリプティングと同様に、投稿機能など、ユーザが書き込みをする機能が存在する場合、このリスクが高まります。同様に、悪意あるスクリプトが実行されないように対策を打つことで、未然に防ぐことができます。

ディレクトリ・トラサーバル

攻撃者によって意図しないファイルが実行され、設定ファイルや重要な情報が漏えいしてしまう攻撃です。CMSの管理画面が攻撃対象にされるリスクがありますが、推測しにくいユニークなURLを設定し、ベーシック認証やIP認証を併用することで、ほとんどの場合防御できます。

OSコマンド・インジェクション

外部からウェブサーバのOSコマンドを不正に実行されてしまう攻撃です。特に1行で複数のプログラムを起動するシェル機能を悪用するケースが多いです。やはり、入力フォームや投稿機能など、ユーザが書き込みをする機能が入り口となりえます。対策は同じく、悪意あるスクリプトが投稿・実行されないようにすることで、攻撃を未然に防ぐことができます。

HTTPヘッダ・インジェクション

HTTPのレスポンスを改ざんするようなプログラムによって、パラメータを操作して不正な情報を挿入し、悪意を持ってWebサイトを操作するような攻撃です。リクエストボディの値をリクエストヘッダへ設定しない、リクエストボディ内の改行コードをエスケープするなどで、対策できます。

セッションハイジャック

ログイン機能のある会員サイトやECサイトなど、セッションIDによる利用者識別を行っているWebサイトにおいて、セッションを不正に取得して利用者になりすまし、操作されてしまう攻撃です。ログイン機能がないWebサイトでは、基本的にリスクは発生しません。URLにIDを含めない、SSLによる暗号化を行うことで防ぐことができます。またCMSに関しては、ベーシック認証をかけ、管理画面以下にIP制限をかけることで回避できます。

認可制御の不備・欠落

本来非公開であるべき情報が閲覧できてしまうことを指します。CMSで投稿された承認待ちの情報が公開されてしまったり、開発中のWebサイトが公開されたりする事態などが想定されます。CMSはステージング環境と本番環境の二重構造にする、ステージング環境や開発環境にはベーシック認証やIP制限を加えるなどで、対策が可能です。

ベイジではセキュリティにもこだわり、できる限りの安全性を追求しています。セキュリティ面でご不明な点がある場合には、プロジェクト内でお気軽にご相談ください。

制作・開発メニュー Service Menu of Development

セキュリティ対策

CMSやフォームを実装したWebサイトでは、万全なセキュリティ対策も不可欠です。セキュリティ専門会社も重視する9つのチェック項目に対して適切な対策を打ち、安全性の高いWebサイトを実現します。

ご相談・お問い合わせはこちら
ご相談・お問い合わせ