スキップしてメイン コンテンツに移動

ホームページのセキュリティ対策と負荷対策について「誰にでも分かりやすく」まとめました。

イメージ
投稿者:

弊社サーバー簡易構成図

今はホームページなどを作成できる個人事業主や会社が乱立し、その弊害としてセキュリティ対策が不十分なWebサイトが多数存在します。

特にホームページを簡単に制作できるWordpressは、Wordpress自体がセキュリティが高くないので、度々標的にされニュースになっています。

セキュリティと負荷対策を混ぜた話となってしまいますが、負荷対策も実はセキュリティと関係しています。
サーバーに負荷をかけ、エラーを吐かせて攻撃する手法も存在するからです。

以下から主なセキュリティ対策と負荷対策、今後のWebの進化など、現時点でまとめたものを、なるべく誰にでもわかりやすく書きました
不明な点があったり、調べてほしい!などありましたら、お気軽にお問い合わせください。

また、弊社では、クラウドサーバー構築からホームページの制作・管理までお請けする事ができます。
是非弊社にお任せ頂ければ幸いです。



1.HTTPS
ホームページとの通信を暗号化し、その通信の過程で情報を傍受、もしくは書き換えできないようにする技術です。
http:// で始まるアドレスは暗号化されていませんので、途中で書き換え、入れ替え、傍受など、やり放題です。
暗号化されている通信は、https:// のみです。
https:// のみアクセスするようにする事で、安全性が保たれますし、企業のホームページに至っては、信用を担保できます。

ブラウザ最大のシェアを誇るGoogleChromeでは、バージョン94より、

HTTPにアクセスする際は警告する」オプションが追加されています。
現在はデフォルトではOFFですが、これがデフォルトでONになる予定です。
Chromeだけでなく、他のブラウザでもデフォルトでHTTPを警告するようになっていく流れは一緒です。
※恐らく最終的には有害サイト同等の評価となると思います。現に、Google検索ではhttpの評価ランクは下げられています。

現在HTTPで作成されているものは、常時HTTPSへの対応が必要になります

余談:2021年2月の段階では、Googleなどを含む利用率の高い上位1000サイト中のHTTPS普及率は91%となっていて、HTTPを利用したWebサイトはもはや時代遅れです。
調査対象のWeb全体としては69.6%と低くなっている事から、セキュリティ意識の低い制作者の多さがうかがえます。



2.SSL/TLS
常時HTTPS通信を行ってるサイトでも、安全とされているのは僅か52.1%

HTTPSのような暗号化通信をSSL/TLSと言います。

HTTPS時の暗号化で推奨されているのがTLS1.2以上(最新1.3)です。
他にSSL1~3、TLS1.0~1.1がありますが、いずれも脆弱性が見つかっているため、使用してはいけません。

ですので、HTTPSだから安全というわけではなく、HTTPS/TLS1.2以上 が、現在のセキュアな通信であり、それ以外ではセキュリティは担保されませんのでご注意ください。

弊社サーバーで管理しているWebサイトはすべて HTTPS/TLS1.2以上 になっていますのでご安心ください。

余談:常時HTTPS通信を行ってるアクセストップ15万サイトの統計でも、2022年1月5日時点では安全とされているのは僅か52.1%にとどまります。ようするに、常時HTTPS通信を行っているサイトでも半分はあまり意味を成していない事になります。



3.DNSSEC
HTTPSアクセスも重要ですが、DNSSECも重要になってきます。
DNSSECとは、ドメインサーバーから送られて来るIPアドレスが正しいかどうか検証できる仕組みです。
HTTPSアクセスは、Webサーバー間の通信の安全性のみですので、IPアドレスが偽造されると、その通信するサーバー自体が入れ替わる可能性があります。
そうした問題を解決するのがDNSSECです。

弊社で管理しているWebサイトはすべて DNSSEC に対応しております。

余談:.jpドメインのDNSSEC普及率は2022年4月1日時点で、22.17%にとどまっています。日本のDNSSECに対する意識、認識の低さが表れています。



4.VPC
VPCとは、インターネットに直接接続しない空間の事を指します。
弊社では、インターネットに直接接続しているのは、ロードバランサー、ストレージサーバー、メールサーバーのみで、内部のデータベースや、Webサーバーは直接インターネットに接続されていない為、セキュリティが高い状態と言えます。



5.オートスケーリング
オートスケーリングとは、Webサーバーなどに多くの負荷がかかった時に、自動的に別サーバーを立ち上げて負荷を分散し、正常性を担保する技術の事です。(ストレージ容量の事も指します)
以前はロードバランサーがそのような仕事をしていました。
※ロードバランサーとは、ロードバランサーの下にいくつものWebサーバーを用意して、負荷を分散させるものです。しかし、ロードバランサー自体が高負荷になった時や、用意しているサーバー以上の負荷に耐える事ができませんでした。

現在はクラウドサーバーが発達し、ロードバランサー自体のオートスケーリングだけでなく、Webサーバー、データベースなどのオートスケーリングが可能となっています。

また、オートスケールは、負荷だけなく、ストレージ容量の事もさします。
ストレージ容量もオートスケールすることにより、容量オーバーにならずに運用する事が可能です。

弊社ではどのレイヤーでもオートスケールするように設定されていますので、高負荷・大容量による状態に耐える事ができる環境を構築しています。



6.FTPは使ってはいけない SSHを使おう
ホームページのWebサーバーに、ホームページのデータをアップする際に使う通信にFTPというものがあります。
FTPは、HTTP同様、暗号化されていませんので、簡単に傍受できます。
通信を傍受されるということは、FTPパスワードなどを抜かれる可能性があるという事です。
FTPのIDとパスワードがわかれば、ホームページは書き換え放題です。

ですが、未だにFTPを使っているところが多数存在します。
非常に危険ですので今すぐ止めましょう。

通常は通信が暗号化される、SSHというものを利用します。
弊社ではFTPのポート自体開けておらず、すべてSSH通信で運用しておりますのでご安心ください。



7.バージョンは最新にしよう
OS、ブラウザ、Webサーバー、データベース、フレームワーク、プログラム、などなど、すべてのシステムにはバージョンというものがあります。
バージョンを常に最新に保つ事で、セキュリティ対策になります。

メジャーバージョンアップ時は、現在のシステムと整合性がとれているか検証する必要があり、慎重にならなければなりませんが、できるならした方が良いというのには変わりありません。
※メジャーバージョンアップとは、Windowsでいうと、Windows10からWindows11にアップデート(アップグレード)するなど大きな変更がある時にするバージョンアップの事を指します。

なぜかというと、最新のバージョンではなくなってしまった物(型落ち品)は、セキュリティ的にサポートされる年月に限りがあるからです。
その日付以降はセキュリティが担保されませんので、危険と言う事になります。

これはWindowsだけの話ではなく、すべてのシステムで言える事ですので、システムを使っている以上、常にバージョンを最新に保つ作業が必要になります。



8.簡単セルフチェック
  • Webサーバーヘッダー情報が適切かチェック
 Security Headers https://securityheaders.com/
上記サイトにアクセスし、チェックしたいサイトのURLを入力すると結果が出ます。

最高ランクはA+
A以上で合格なので、B以下はセキュアではありません。

2022年4月8日現在の鹿角市のホームページはFランク(最低ランク)



  • Webサーバーとの通信がセキュアかチェック
SSL Labs / SSL Server Test https://www.ssllabs.com/ssltest/
上記サイトにアクセスし、チェックしたいサイトのURLを入力すると結果が出ます。
(チェック履歴がなかったり、最終チェック日時から時間が経っていると、チェックに数分かかります)
弊社サーバーは1サイトに対して複数あるので、このドメインでは4台のチェックが行われています。
最高ランクはA+
A-以上で合格なので、B以下はセキュアではありません。


2022年4月8日現在の鹿角市のホームページはBランク



  • DNSSECが実装されているかチェック
上記サイトにアクセスし、チェックしたいサイトのURLを入力すると結果が出ます。
全ての線が、DNSKEYとDSで末端まで繋がっていれば、
DNSSECに対応している事になります。

2022年4月8日現在の鹿角市のホームページは未対応



9.最後に
実際には問題はもっと多く、システム管理者としてやらなければならない事は多岐にわたります。
今回は、「利用者側に関係のある重大なところ」のみに触れましたので、技術者からすると「それは仕方ない」「それはちょっと違うんじゃない?」という声が聞こえてきそうですが、今回は技術者向けではなく「なるべく多くの人に分かりやすく」を前提に書いていますので、細かいところまでは触れていません。

一番最初に載せている画像の図は、弊社のサーバー構成を簡単な図にしたものです。
厳密に描くと違う部分もございますが、だいたいこんなものだという感覚的になるべくわかりやすくした図になります。

セキュリティをしっかりしていないと、会社の信用を失ったり、ウイルスの踏み台にされたりと、大変な事になりかねません。

是非、自社のセキュリティを今一度ご確認してみてはいかがでしょうか。

※PAT_blogは、Googleのシステム(blogger)により作成・管理されていますので、弊社Webサーバーで管理しているものではございません。
Labels:

コメント

コメントを投稿

人気の投稿

ライブイベント撮影と編集について

投稿者:
  MITプラザの 20周年記念ライブの映像を例に、 撮影と映像編集について技術的な部分を中心に書こうと思います。 まずは、 MITプラザ開館20周年となりました! 今後も 気軽にご利用頂ける施設として運営させて頂きたいと思います。 今回は20周年という 節目のイベントを 記録目的として、 出演者様達のご協力を得て ライブ 撮影を 行わせて頂きました。 今回ブログでは 【公開した映像】と【無加工版】 との比較を交えて、 今回の編集で行ったことや付随する技術情報 を 少し(とは言えない膨大な情報量ですが)説明したいと思います。 まずは一般公開した映像です。(画像クリックで別ウィンドウが開きます) こちらが収録ままの映像も音声も無調整の映像です。(このブログ限定公開) 上記一般公開版と編集点は全く同じです。 (音声は各バンド前後でブツ切り状態)
コメントを投稿
Read more »

小型モニタースピーカー比較試聴テスト2022(比較サンプル動画あり)

投稿者:
はじめ(経緯) 今回作業場で利用するスタジオモニタースピーカー導入のため、 急遽数台を同時デモ試聴させて頂きました。 このご時世、店頭で聞ける機会も少ないと思いますので比較レビューを残したいと思います。 この記事では個人的に勝手な批評や採点を行っております。 配置など様々試しておりましたが環境ノイズ等もありベストではない状況下での比較となります。 この記事を参考にして頂ければ 嬉しいと思いますがあくまで極個人の意見です。 ここで書くことを過信や一辺倒に信じずに、 得られる多くの情報の中の一つの意見や感じ方の一つだと認識して頂きたいです。 最終的に気になった機種に関しては、一度ご自身で試聴することをお勧めします。 今回比較レビューを書く私はスタジオ業務音響マニアです。 楽曲の録音・編集編集や整音、配信リリース作品にも携わってきた音響エンジニアでもあります。 工業製品デザイン、モーショングラフィック、平面デザイン等と同等に経験と実績があります。 数年前にはプロアマ参加の世界ミックスコンテストに参加してみまして、 日本人唯一のファイナリスト24名にも選ばれたりと多方面で評価も頂いております。 ちなみにこのコンテストでは歴史的な名盤を手がけるプロデューサー&ミックスエンジニアが審査員で、 Beck、Radioheadなどでグラミー賞の常連である Darrell Thorp 、 PrinceやRed Hot Chilipeppes等を手がけてきた Sylvia Massy 、 Lady Gaga、Ariana Grande等を手掛けている Jon Castelli 等、錚々たる面々でした。(まあ同業の方々なのですが) ボーカル、アコースティック、エレクトリック、ダンス、ロック、民謡、合唱、ボカロ、ライブ録音編集等、 様々なジャンルの編集経験がございます。 何でもお気軽に相談やご依頼等頂けると嬉しいです。 レビューでは少し掘り下げたことも書いておりますが、 初心者にも経験豊富な方々にもご有用であればうれしいです。
コメントを投稿
Read more »

セキュリティソフトで検出されないウイルス「Emotet(エモテット)」対策

投稿者:
マルウェアEmotetの感染再拡大に関する注意喚起 https://www.jpcert.or.jp/at/2022/at220006.html 2022年2月あたりから急増しているEmotet被害。 多くは、マクロ機能を使ったExcelやWordからの感染のようです。 (詳しくは上記jpcentの記事でご確認ください) 弊社の取引先でも感染被害がありました。 このウイルスの症状を簡単に言うと 、 ウイルスを仕込むマクロ機能がついたエクセル等を開く ↓ 感染 ↓ パソコンの中に入ってるメールアドレスすべてに、ウイルスメールを送信 ↓ 二次被害 となります。 このウイルスの巧妙なところは、 メールの内容が迷惑メールっぽくない ところです。 パスワード付ZIP を添付して送信され、後からパスワードが届きます。 パスワード付ZIPはウイルスチェックできませんので、ウイルス検出ソフトで検出できません。 そのZIPファイルを開き、エクセル等ファイルを開いてから、マクロをONにすると感染してしまいます。 しかし、Gmailなどではきちんと迷惑メールに振り分けられたり、メールアドレスの偽造をおこなっていない(送信している会社のメールアドレスではない)など、わかる人には比較的簡単に見分けられますが、通常の事務員レベルだと見分けるのは難しいです。 先にも記載してあるとおり、文面が巧妙なため、普通に取引先からのメールだと思ってしまいます。 心当たりがある方は、 Emotet感染有無確認ツールEmoCheck(配布サイト) https://github.com/JPCERTCC/EmoCheck/releases EmoCheckの使い方(警視庁) https://www.keishicho.metro.tokyo.lg.jp/kurashi/cyber/CS_ad.files/EmoCheck.pdf でチェックしてみてください。
コメントを投稿
Read more »