スキップしてメイン コンテンツに移動

投稿

ホームページのセキュリティ対策と負荷対策について「誰にでも分かりやすく」まとめました。

弊社サーバー簡易構成図 今はホームページなどを作成できる個人事業主や会社が乱立し、その弊害としてセキュリティ対策が不十分なWebサイトが多数存在します。 特にホームページを簡単に制作できるWordpressは、Wordpress自体がセキュリティが高くないので、度々標的にされニュースになっています。 セキュリティと負荷対策を混ぜた話となってしまいますが、負荷対策も実はセキュリティと関係しています。 サーバーに負荷をかけ、エラーを吐かせて攻撃する手法も存在するからです。 以下から主なセキュリティ対策と負荷対策、今後のWebの進化など、現時点でまとめたものを、 なるべく誰にでもわかりやすく書きました 。 不明な点があったり、調べてほしい!などありましたら、お気軽にお問い合わせください。 また、弊社では、クラウドサーバー構築からホームページの制作・管理までお請けする事ができます。 是非弊社にお任せ頂ければ幸いです。 1.HTTPS ホームページとの通信を暗号化し、その通信の過程で情報を傍受、もしくは書き換えできないようにする技術です。 http:// で始まるアドレスは暗号化されていません ので、途中で書き換え、入れ替え、傍受など、やり放題です。 暗号化されている通信は、https:// のみです。 https:// のみアクセスするようにする事で、安全性が保たれますし、企業のホームページに至っては、信用を担保できます。 ブラウザ最大のシェアを誇るGoogleChromeでは、バージョン94より、 「 HTTPにアクセスする際は警告する 」オプションが追加されています。 現在はデフォルトではOFFですが、これがデフォルトでONになる予定です。 Chromeだけでなく、他のブラウザでもデフォルトでHTTPを警告するようになっていく流れは一緒です。 ※恐らく最終的には有害サイト同等の評価となると思います。現に、Google検索ではhttpの評価ランクは下げられています。 現在HTTPで作成されているものは、常時HTTPSへの対応が必要になります 。 余談:2021年2月の段階では、Googleなどを含む利用率の高い上位1000サイト中のHTTPS普及率は91%となっていて、HTTPを利用したWebサイトはもはや時代遅れです。 調査対象のWeb全体としては69.6%と低くなって
最近の投稿

セキュリティソフトで検出されないウイルス「Emotet(エモテット)」対策

マルウェアEmotetの感染再拡大に関する注意喚起 https://www.jpcert.or.jp/at/2022/at220006.html 2022年2月あたりから急増しているEmotet被害。 多くは、マクロ機能を使ったExcelやWordからの感染のようです。 (詳しくは上記jpcentの記事でご確認ください) 弊社の取引先でも感染被害がありました。 このウイルスの症状を簡単に言うと 、 ウイルスを仕込むマクロ機能がついたエクセル等を開く ↓ 感染 ↓ パソコンの中に入ってるメールアドレスすべてに、ウイルスメールを送信 ↓ 二次被害 となります。 このウイルスの巧妙なところは、 メールの内容が迷惑メールっぽくない ところです。 パスワード付ZIP を添付して送信され、後からパスワードが届きます。 パスワード付ZIPはウイルスチェックできませんので、ウイルス検出ソフトで検出できません。 そのZIPファイルを開き、エクセル等ファイルを開いてから、マクロをONにすると感染してしまいます。 しかし、Gmailなどではきちんと迷惑メールに振り分けられたり、メールアドレスの偽造をおこなっていない(送信している会社のメールアドレスではない)など、わかる人には比較的簡単に見分けられますが、通常の事務員レベルだと見分けるのは難しいです。 先にも記載してあるとおり、文面が巧妙なため、普通に取引先からのメールだと思ってしまいます。 心当たりがある方は、 Emotet感染有無確認ツールEmoCheck(配布サイト) https://github.com/JPCERTCC/EmoCheck/releases EmoCheckの使い方(警視庁) https://www.keishicho.metro.tokyo.lg.jp/kurashi/cyber/CS_ad.files/EmoCheck.pdf でチェックしてみてください。