会員サイト構築のセキュリティ|セキュリティ対策を網羅的に解説
会員サイトを構築するにあたって、セキュリティ対策の重要性はわかっていても、具体的にどのような点に気をつければいいのか悩まれている方も多いのではないでしょうか。
この記事では、会員サイトで気をつけるべきセキュリティリスクの内容や、主な対策などについて詳しく解説します。
セキュリティ対策が万全な会員サイトを作成するなら、クライゼルの会員サイト作成機能をご利用ください。
目次[非表示]
- 1.過激化・過熱化するサイバー攻撃
- 2.サイトへの攻撃の手口
- 2.1.SQLインジェクション
- 2.2.OSコマンド・インジェクション
- 2.3.ディレクトリ・トラバーサル
- 2.4.クロスサイト・スクリプティング
- 2.5.クロスサイト・リクエスト・フォージェリ
- 2.6.HTTPヘッダ・インジェクション
- 2.7.メールヘッダ・インジェクション
- 2.8.クリックジャッキング
- 2.9.バッファオーバーフロー
- 3.会員サイトへの主なセキュリティ面の脅威・被害例
- 3.1.会員サイトへの不正新規登録の被害
- 3.2.個人情報の流出の危険性
- 3.3.サイト情報の書き換えへの復旧コスト
- 4.WordPressでの構築にはセキュリティリスクがつきまとう
- 5.会員サイトだから気をつけたいユーザー登録の罠
- 5.1.IDやパスワードが漏えいするリスク
- 5.2.セッションハイジャックを受けるリスク
- 6.サイトのシステム内外の脅威に備えたセキュリティの主対策
- 6.1.アカウントロック機能
- 6.2.SSL/TLSによる通信の暗号化
- 6.3.ファイアウォール設置
- 6.4.ウイルス検知・対処
- 6.5.障害監視・死活管理
- 6.6.DBデータのバックアップ
- 7.高セキュリティASPサービスでの構築で安全なサイト運用
- 8.会員サイトをカンタンに作成するならクライゼル
過激化・過熱化するサイバー攻撃
ビジネスシーンや消費活動においてWebサイトが必要不可欠なものとなる一方で、Webサイトの脆弱性を狙ったサイバー攻撃が年々増加しています。
独立行政法人情報処理推進機構(IPA)による調査でも、2020年のWebサイトに関する脆弱性の届け出は755件にのぼっており、2018年の3倍以上に増えています。
さらに、その標的となるのは大企業だけではありません。
セキュリティ対策が手薄な取引先企業や関連企業が狙われるサプライチェーン攻撃も増加しており、中小企業であっても十分なセキュリティ対策が求められます。
サイトへの攻撃の手口
ここで、さまざまな手口で狙われていることをご理解いただくために、サイトへの主な攻撃の手口をご紹介しましょう。
SQLインジェクション
SQL(データベースへの命令文)インジェクションの脆弱性を狙った攻撃。入力フォームなどのプログラムに対し、不正な文字列を入力することで、データベースの改ざんや消去などの不正利用を引き起こします。
OSコマンド・インジェクション
入力フォームなど、外部からの入力を受け付けるプログラムを通じて、OSへの命令文を紛れ込ませる攻撃。情報漏洩やシステムの不正操作、ウイルス感染などを発生させます。
ディレクトリ・トラバーサル
公開ファイルのディレクトリから、非公開ファイルのディレクトリ階層に移動して不正にファイルを閲覧する攻撃。サーバー上の非公開ファイルを参照されることで、機密情報の漏洩などを起こします。
クロスサイト・スクリプティング
クロスサイト・スクリプティング(XSS)は、インターネット掲示板などの入力フォームに勢弱性のあるサイトへのリンクを設置し、そのサイトに誘導することで不正なスクリプトを実行してマルウェア感染や情報搾取を行う攻撃です。
クロスサイト・リクエスト・フォージェリ
セッション管理に脆弱性があるサイトにログインしているユーザーを狙い、攻撃用のURLをクリックさせることで、脆弱性のあるサイトへの改ざんや強制書き込み、不正操作を行います。
HTTPヘッダ・インジェクション
Webブラウザが送信するHTTPリクエストに不正な文字列を紛れ込ませる攻撃。これにより、偽ページの表示やユーザーアカウントの乗っ取りなどが発生します。
メールヘッダ・インジェクション
注文やアンケートなど、フォームに送信した内容が管理者ではない第三者宛に送信される手口。これにより、迷惑メールの送信に悪用されます。
クリックジャッキング
Webサイト上に偽装・隠蔽したリンクやボタンを設置し、意図しない操作をさせる攻撃。マルウェア感染や意図しない商品の購入、パソコンの乗っ取りなどの被害を発生させます。
バッファオーバーフロー
サーバーやパソコンに処理能力を超える不正データを送り、誤操作をさせる攻撃。意図しないコードを実行させることで、ウイルスの感染や情報漏洩を引き起こします。
WebフォームやWebサイトを狙ったサイバー攻撃については、下記の記事でも詳しく紹介しています。
会員サイトへの主なセキュリティ面の脅威・被害例
続いては会員サイトを運用する際に気をつけたい、セキュリティ上の問題について見ていきましょう。
会員サイトへの不正新規登録の被害
会員サイトを運営する際は、サイバー攻撃だけでなく、不正な会員登録にも気をつける必要があります。中には不正に入手した個人情報を使って大量の会員登録が行われた例もあります。放っておけば不正注文などにつながる恐れもあります。
個人情報の流出の危険性
会員サイト運営にあたって最も心配されるのが個人情報の流出でしょう。自社が犯罪の一端を担うことになり、企業としての信頼も失います。上記で紹介したようなサイバー攻撃への対策に加え、内部統制強化のための対策も必要です。
サイト情報の書き換えへの復旧コスト
サイトがサイバー攻撃にあったり、脆弱性が見つかったりした場合には、サイト情報の書き換えが必要となり、それまではサービスを停止するなどの対応も求められます。こうしたコストを払うことのないように、構築時からセキュリティ対策は万全に講じておくのが賢明です。
セキュリティ対策バッチリ。
カンタンに会員サイト作成したいならクライゼル
WordPressでの構築にはセキュリティリスクがつきまとう
企業が運用する多くのWebサイトでCMSとして利用されているWordPressですが、会員サイトのような高度なセキュリティ対策が求められるサイトの場合には注意が必要です。
多くのサイトで使われている分、脆弱性が見つかるとサイバー攻撃の標的にされやすい上、サーバー管理やアップデート対応、セキュリティ対策などは自社で講じる必要があります。
高セキュリティなサーバーを使用する、プラグインを使ってセキュリティ強化に努めるなどの対応が必要です。
会員サイトのセキュリティについては下記の記事でも紹介しています。ぜひあわせてご参考ください。
会員サイトだから気をつけたいユーザー登録の罠
次に、会員サイトだからこそ気をつけたいセキュリティリスクを2つご紹介します。
IDやパスワードが漏えいするリスク
1つ目はIDやパスワードが漏洩するリスクです。総当たり攻撃やリスト攻撃などによってログインされ、なりすまし被害などが発生する危険性があります。
セッションハイジャックを受けるリスク
2つ目はセッションハイジャックによる攻撃です。ログイン中のユーザーのセッションIDを不正取得することで、ID・パスワードを知らなくてもアカウントの乗っ取りができ、個人情報の閲覧やアカウントの不正利用される恐れがあります。
サイトのシステム内外の脅威に備えたセキュリティの主対策
ここからは、会員サイトの主なセキュリティ対策について解説します。
アカウントロック機能
アカウントロックは、一定回数ログインに失敗した場合に、一時的にアカウントをロックしてログインできなくする機能です。これにより、総当たり攻撃などを防ぐことができます。
SSL/TLSによる通信の暗号化
SSLとTLSはともにデータ通信を暗号化する仕組みで、第三者による情報の盗聴や改ざんを防ぎます。ログインページやフォームなどだけでなく、Webサイト全体のSSL化を行う常時SSL化の対応が求められます。
ファイアウォール設置
ファイアウォールはネットワークの入り口に設置することで外部からの不正な侵入や内部から外部への不正なアクセスを防ぐ「防火壁」となる機能です。
ウイルス検知・対処
サーバー内のファイルに対して、定期的にウイルス検査を行うものです。ウイルスが見つかった場合には、すぐに除去します。
障害監視・死活管理
サーバーのパフォーマンスをモニタリングし、正常に稼働しているかを継続的に監視するものです。安定稼働のためには、障害の前兆を検知して未然に防ぐことが重要です。
DBデータのバックアップ
万が一の場合でもデータを失うことがないようにデータのバックアップを取っておくことも重要です。すぐにシステムを復旧できるように備えておきましょう。
高セキュリティASPサービスでの構築で安全なサイト運用
会員サイトをセキュアに保って運用する上で役立つのが、高セキュリティなASPサービスを活用する方法です。ASPはインターネットを経由して利用するサービスで、サーバー管理やセキュリティ対策はベンダーが行ってくれる利点があります。多くのベンダーが会員サイト構築用のASPサービスを提供していますので、それぞれのセキュリティ機能をチェックしながら自社のセキュリティ要件に合うサービスを見つけましょう。また、サービス自体のセキュリティに加え、企業としてISMSやPマークなどを取得しているか、過去に事故を起こしていないかなども確認しておくと安心です。セキュリティリスクは事業継続を揺るがしかねない問題ですので、後回しにせず構築時から対策を徹底しましょう。
会員サイトをカンタンに作成するならクライゼル
サイバー攻撃の手口は多様化しており、自社であらゆる対策を講じることは困難を極めます。
高セキュリティなASPサービスを活用するなどして、自社はサービスの向上やマーケティングに注力できる環境を整えておくと良いでしょう。
「クライゼル」は高セキュリティな会員サイト構築用ASPとして評価が高く、官公庁や金融機関にも導入されている実績があります。
ISMSやPマークも取得しており、サービス開始以来、セキュリティ事故0を続けている安心のサービスです。
さらに、会員限定のクーポンやメール配信、動画配信システムとの連携、外部システム連携など機能も充実。セキュアに会員サイトを運用したい方はぜひクライゼルをご活用ください。
カンタン会員サイト作成機能
高セキュリティ・高機能な会員サイトASPといえばクライゼル