WEBサイトやアプリとセキュリティ。出来る事とコストとバランス。

こんにちは。やっぱり2月、寒いですね。
さて本日は最近の学びという事で、セキュリティ周りのお話をざっと書かせていただこうと思います。
※私はセキュリティの専門家ではありません。このため内容に関しては保証致しかねます。

そもそもWEBアプリやサイトのセキュリティとは？

今や企業、個人問わずWEBサイトを持つ事は当たり前になっていると思います。インターネットの世界は繋がっていますし、開いているので家にはちゃんと鍵をかけましょう。といった話です。

ただ、家の鍵やセキュリティといっても
・鍵のタイプ
・オートロック
・監視カメラ
・警報と共に管理会社に連絡が行く
・そもそも3F以上に住む
など様々です。

同じように、WEBアプリやサイトにおいても本当に様々な方法やレベル、コストがかかる。などのパターンがあります。

では何を基準にどこまでを検討するのか？

これはもう、どれだけ重要な情報があるか？次第だと思います。

例えばですが、
・ECサイトでお客様の住所やクレジットカード番号を保持している
などのケースでは、考えうる限りハードに守りたいですよね。

逆に、
・個人的なブログで、バックアップもある
といったケースでは、ある程度は検討したいですが物凄いコストをかけて守るということはまず無いかと思います。

企業か個人か？

企業か個人か？の差も大きいと思います。
同じブログでも、ページが書き換えられてしまうと企業の場合、イメージなど含めて大きく困りますが、個人の場合で実名でも無い。といった場合はそこまで大きな話にはならないと思います。
※もちろん折角書き溜めた記事が消された。などはとても痛いですが。。。

具体的にはどんなセキュリティ方法があるの？

WEBサイトやアプリは全て、基本的にはサーバーに置かれています。
※サーバーとは？＝普段お使いのユーザー向けコンピューターとは違い、データや情報などのコンテンツを提供するコンピューターです。レンタルだったり、クラウドだったりと色々あります。

サーバーに置かれているもの自体を色々な方法で守っていくという事になります。

抜け漏れなくというよりも少し雑に記載させていただきます。

セキュア・プログラミング

アプリやサイトを作るさいには、多くの場合プログラミングが利用されます。このプログラミングを考える時（設計）や書く時に、先に一定の注意するべきポイントを検討、対処しておくという方法です。

IP制限

サイトに接続するさいには、必ず自分のIPというものがあります。
・動的IP
・固定IP
の二つがありますが、大企業さんはほぼ固定IPを利用されているケースが多いです。固定IPの取得はプロバイダーの兼ね合いなどで自宅で固定IPの方などはかなり少ないと思います。
このIPを使って、管理画面へのアクセスは許可されたIPからのみ閲覧可能などの手法を取る事が多くあります。

サーバーOS、ソフトウェアのアップデート

こちらは普段お使いのWindowsやMacでのイメージ通りとなります。ただ、何らかの不具合が起きたりするのが嫌みたいなイメージもありますよね。同じく、サーバーOSやソフトウェアのアップデートで不具合が起きるとサイトやアプリの表示に問題が起きるため、安全面を考慮し、エンジニアが他の環境で検証したりと少しハードな作業になりやすく、そこまで気楽に行えない事が多いのも確かです。

セキュリティソフトの導入

こちらも普段お使いのPCへセキュリティソフトを導入するイメージです。ただし、ソフトの設定次第となるため該当するスキルを持ったエンジニアが必要になりやすいです。

WAFの導入

攻撃を検知し、遮断する。というものです。
※こちらは導入コストが上がりやすく、適切な設定が必要。というものなので、概要のみです。

パスワードポリシーの設定

銀行やクレジットカードのサイトで、一定期間経つと新しいパスワードを設定するように促される事があると思います。
パスワードの使い回しを防ぐ、少し複雑なものを設定する、1ヶ月経過したら新しいパスワードを設定するように促すなどで、なるべく不正ログインなどの可能性を減らす方法です。

脆弱性診断

その名の通り、脆弱性が無いか？を診断する方法です。
・専門ソフトウェアを使って、URLを指定して自動で診断
・専門ソフトウェアを使って、専門人材が手動で診断
などのパターンがあります。
専門人材が手動のパターンは当然コストが高いです。セキュリティの脆弱性を突く手法もどんどんとアップデートされていくため、年次毎に実施すると結果が変わるなど、とても大切だなと最近の学びです。

CMSの場合、アップデートする

CMS（コンテンツ・マネジメント・システム）では、圧倒的に有名で利用が多いWordPressの場合、構築した後にアップデート版がリリースされます。アップデートが来たら、随時アップデートする。という事ですね。
他のCMSを利用していても同じですね。
ただ、こちらもサイトが表示されなくなるリスクや、サーバー内のソフト（ミドルウェア等）のアップデートも必要になったりと勢いよく実行すると危険なので専門性は必要になってきます。

利用しやすい金額のサービスを少しご紹介

もちろんプランによりますし、全てのセキュリティ対策になるわけではありませんが、個人的に月1万円以下くらいだと導入ハードルは下がると思っています。
他にも様々なサービスがありますが、折角ここまで読んでいただいた方向けに2つほどサービスをご紹介出来ればと思います。
※オススメしても私に何か特典があるわけではありません。。。

Webセキュリティ診断｜脆弱性診断サービス｜法人のお客さま｜NTT東日本

脆弱性診断＆マルウェア駆除 SiteLock（サイトロック）｜GMOクラウドのSaaS

最後に

私も自社もセキュリティの専門家ではありません。また完璧なセキュリティというものも無く、どこまで実施していくかだと考えています。
サイトやアプリを構築し、保守や運用、ご相談を受け、実務の中で蓄積した知識を記載していますが、なるべくわかりやすくをモットーに書いているため、抜け漏れや専門家の方からすると甘いなどのご指摘もあるかもしれませんが暖かく見守っていただけると幸いです！

ここまで読んでいただきありがとうございます！
それでは今日のnoteも誰かに何か参考になったりすれば幸いです。

お問い合わせは以下よりお気軽に。Twitter DMなどでも受付ております。
https://go.lord-inc.com/l/1011101/2023-02-13/4g583r

#最近の学び