皆さん、セキュリティ対策してますか?弊社GoFのようなホームページ制作を業務としていると、様々なお客様とお話しする機会があるのですが、かなりの割合のお客様がホームページを作った後のことを考えていない。様に感じることが多々あります。
ホームページの本来の役割を考えれば、制作会社から納品されたモノは所詮ブランド力を蓄えるための器にすぎません。この器に様々なコンテンツを拡充し続けることによって本来の役割を果たすことができるようになるのです。が、作って出来上がったことに安心してしまって、放っておいても何かいいことあるんじゃないかと思ってるような節があり、なんとも勿体ないことだなあと悲しい思いをすることもしばしば。
そんな風に放っておいても何も起きていないならまだいいんですが、世の中には不思議な人たちもいるもので、そんなどうしようもないホームページでもサイバー攻撃を仕掛けられたりして、サイト自体破壊されたり、乗っ取られたりしちゃったりなんかして。でも何もやってないもんだからそんなことになってることにも気づかず。ある日突然お客様なんかに「オタクのホームページ変なことになってるけど大丈夫?」なんて心配されたりするわけです。
セキュリティ対策とは、一言でいえば「大切なものを、悪いことから守るための準備と習慣」のことです。これは専門的な技術の話だけではなく、もっと身近な「家の戸締り」レベルの話も含まれます。
例えば、自分の家(=PCやシステム)に頑丈な鍵をかけ、高い塀を設けることを想像してみてください。これが、パスワードの設定やファイアウォールといった基本的な防御方法です。また、家の壁に穴が開いていたらすぐに塞ぐように、ソフトウェアの弱点(脆弱性)が見つかったらすぐにアップデートすることも、泥棒に入られないための重要な備えです。
さらに、いくら鍵が頑丈でも、住んでいる人が不用心では意味がありません。「知らない人に安易に合鍵を渡さない」「怪しい訪問者が来てもドアを開けない」といった日々の注意も必要です。「フィッシング詐欺に注意する」「不審なメールやファイルを開かない」といった、当たり前に思えるような行動も立派なセキュリティ対策の一つです。
他にも、万が一上記の対策を潜り抜けて泥棒に入られてしまったとしても、大切なもの代用品を用意しておいたり、保険に入っておいたりすると、被害を最小限に抑えることが可能です。これが、データのバックアップや、問題が起きた際の復旧手順を決めておくといった対策にあたります。
セキュリティ対策を怠ることは、「家の鍵をかけずに毎日外出する」ようなものです。最初は何も起きないかもしれませんが、一度「悪いこと」が起きると、取り返しのつかない事態に発展することもありえます。ちなみに筆者は学生時代、一度も家に鍵を掛けなかったおかげで、2回違う泥棒さんとご対面したことがあります。
最も深刻なデメリットは、顧客情報や社内の機密情報といった「データ」が外部に流出することです。これは、家に置いてあった日記や住所録を盗まれ、インターネット上に公開されるようなものです。一度失ったお客様からの信頼を取り戻すのは非常に困難であり、ビジネスの基盤そのものを揺るがします。
ウイルス感染やサイバー攻撃によって、ウェブサイトや社内システムが使えなくなることがあります。これは、泥棒に家を荒らされた挙句、しばらく自分の家に入れなくなるような状態です。オンラインショップであればその間の売上はゼロになり、社内業務も完全にストップしてしまうかもしれません。その間得られたはずの利益や、進められたはずの仕事、その全てが「機会損失」となります。
セキュリティインシデント(事故)が一度起きると、想像以上の費用が発生します。原因調査やシステムの復旧を専門家に依頼する費用、情報が漏えいした顧客への見舞金、場合によっては損害賠償や罰金など、直接的な金銭被害を遥かに超える「後始末のコスト」に苦しめられることもありえるのです。
「あの会社は、顧客の情報を流出させた会社だ」というネガティブな評判は、瞬く間に広がります。一度貼られたレッテルを剥がすのは難しく、長期にわたって採用活動や新規取引に悪影響を及ぼします。積み上げてきたブランドイメージが、たった一度の油断で崩壊する危険性があるのです。
これらのデメリットは、単独で起きるのではなく、連鎖的に発生しうるものです。セキュリティ対策とは、こうした最悪の事態を未然に防ぎ、事業という「家」とその中にある「大切なもの」を守るための、必要不可欠な投資なのです。
と、前段でさんざん脅しをかけてみましたが、「セキュリティ対策」という技術体系は広く深いもので、本格的に専門家を雇って対策をしようと考えると、並みの企業の利益ではとても賄えないほどのコストがかかりうるものです。
弊社GoFもそうですが、吹けば飛ぶような中小企業の身ではとてもとても大企業の体制と張り合えるものではありません。が、かといって放っておいてよいモノでもないので、そんなに費用を掛けずとも、今からでも始められる最低限レベルのおススメセキュリティ対策をご紹介します。
・WordPressサイトを構成する土台となる、「ドメイン」「サーバー」、そしてサイトの管理画面にログインするための「ログインページ」、この三箇所がもっとも狙われやすい重要な場所ですが、ここにアクセスするのに必要になる「ログインページURL」「アカウントID」「パスワード」の3つに「必要な人間以外アクセスできないようにする」事を心掛けてください。「PCに付箋で貼っておく」などもってのほかです。
・パスワード自体を複雑なモノにする事も大事です。単純なパスワードは、扉に鍵をかけていないのと同じです。大文字、小文字、数字、記号を組み合わせた、長く複雑なパスワードを設定しましょう。
・「二段階認証」を導入するのも有効な手段です。特定の人間のスマートフォンと連携させないと確認コードが発行されないなど、第二の鍵を要求する仕組みです。これにより、「ヒューマンエラー」と「総当たり」以外の、侵入をほぼ防げます。
・ログインページURLをデフォルトのモノから変更する。WordPressの管理画面ログインURLは、初期設定のままでは「example.com/wp-admin/ 」または「 example.com/wp-login.php」に設定されています。この場所を変更するだけで、外部からの攻撃の大部分は空振りに終わります。
WordPress本体や、機能拡張を担う「プラグイン」、デザインを変更に使用される「テーマ」、そしてWordPress自体を動かすプログラミング言語である「PHP」、こういったソフトウェアの中に「脆弱性」が存在していることがあります。
「脆弱性」が発見されると、各々の開発者たちから「補修パッチ(アップデート)」が提供されます。これを常に最新の状態に保つことが、ソフトウェアを外敵から守る上で最も重要なことです。アップデートをすることによってデザインが崩れるなどの不具合が出る時は、素直に新しいバージョンの仕様に合わせてサイトを改修しましょう。
また、使っていないプラグインやテーマが存在するのならば、こまめに削除してください。管理が行き届かず、いつの間にか侵入経路になる危険性があったり、無駄なサーバーリソースの浪費になったりで良いことは無いので、「不要なものは削除」も習慣化しましょう。
WordPressには優秀なサードパーティがたくさんいるので、無料のプラグインだけでもなかなか馬鹿にできないセキュリティ環境を構築することができます。選択肢も無数にあるとは思いますが、ここでは弊社GoFが日常的に利用させてもらっているセキュリティ周りプラグインをご紹介します。
Googleが提供する認証システム「reCAPTCHA」を、ウェブサイトに導入するためのプラグインです。WordPressサイト内の様々な「入り口(ログインページ、コメント投稿フォーム、パスワードリセット、新規ユーザー登録フォームなどなど)」にreCAPTCHAを適用でき、プログラムによる自動化されたスパムコメントや不正ログインといった迷惑行為を阻止し、サイトを保護することができます。
WordPressの開発元であるAutomattic社が提供する、スパム対策の代表的なプラグインです。サイトのコメント欄や問い合わせフォームに投稿される内容を、世界中の数百万サイトから集められた膨大なスパムデータベースと照合し、極めて高い精度でスパムかどうかを判定します。このデータベースは常に更新され、学習し続けるため、新しい手口のスパムにも迅速に対応できます。
軽量かつ高速に動作することを目指して開発された、Webアプリケーションファイアウォール(WAF)です。悪意のあるURLパターンを持つリクエストを検知し、WordPress本体が処理を始める前の段階でブロックすることで、サイトを様々な脅威から保護することが可能です。
Webサイトを多角的に保護するための、総合的なセキュリティ対策機能を提供する拡張機能です。単一の機能に特化するのではなく、不正アクセスのブロックから、サイト内部のファイルスキャンまで、複数の防御層を一つのプラグインで実現します。外部からの攻撃を防ぐ機能と、内部の異常を検知する機能を兼ね備えた、オールインワンのセキュリティパッケージといえるでしょう。
WordPressの基本的な設定を強化し、セキュリティレベルを総合的に向上させることを目的とした、多機能なセキュリティ対策用の拡張機能です。特に、不正ログイン対策に重点を置いています。
ここまでに紹介した対策をすべて実施しても、100%の安全というものはありえません。万が一の時にでも、ホームページを通常状態に巻き戻せるように、バックアップを定期的に取っておきましょう。
適切なバックアップさえあれば、ものの数分もあればバックアップ取得時点のホームページを再現できるようになります。そこまで更新頻度の高いサイトでなければ月に一度か、何かしらの更新を施した際にでもバックアップを取得しておきましょう。外敵からの攻撃への根治療法にはなりませんが対症療法としては最善です。
これに加え、日に一度だけでも自身のホームページの様子を確認する習慣をつけておけば、有事の際にもいち早く対処が可能になるので、より質の高いセキュリティ環境を手に入れることができます。
セキュリティ対策とは、頑丈な「壁」と、用心深い「習慣」、そして万が一の「備え」を組み合わせた、「総合的な防御システム≒体制」です。ここに挙げた対策を全部行ったからと言って、完璧な安全を保証するものではありませんが、悪いことが起きる可能性を限りなく低くし、もし悪いことが起きても被害を最小限にとどめることがあなたの「ブランド」という資産を守ることに繋がります。
本来ホームページを制作したのは「自社の良いところをアピールして集客する」のが目的だったはずなのに、逆に「自社の管理体制の杜撰さを露呈する」ことになる。なんて笑えない状態にならないよう、ある程度の自衛はしておきましょうよ、というお話でした。
ノーガードで戦うあなたのホームページを守りたいならGoFにお任せください。
