2016/08/26
夕方2時間のWebサイトセキュリティ勉強会
~備えあれば憂いなし!費用対効果を追求した対策とは~
(M2Mテクノロジーズ(現 アットシグナル)共催)
※本稿は、2016年8月26日に開催した「夕方2時間のWebサイトセキュリティ勉強会 ~備えあれば憂いなし!費用対効果を追及した対策とは~」のセミナー講演録です。
Webサイトへの不正アクセスによる個人情報流出やサイト改ざん。記者会見で経営者が頭を下げる光景も毎年数多く報じられています。
新手の攻撃が増える中、“イタチごっこ”の対策から脱却できるのか?
被害を最小限にするための、自社サイトに合ったセキュリティ対策とは一体どんなものか?
本セミナーでは、公開Webサイトの改ざんにスポットを当て、企業の信頼失墜や事業継続の「リスクに強いWebサイトづくり」と「万一有事の際の被害を最小限に抑える方法」の両面から効果のある対策をご紹介しました。
・新鮮な情報も得られ、弊社のお客様からのご相談に対して、提案できるコンテンツが増えたと感じています。
・NORENの優位性が理解できました。Webサイトの改ざん検知についても非常に勉強になりました。
・自社のWebサイトのガバナンス運営を担当しているため、参考にしたいと思いました。
<アンケート回答より>
■オープニング・キーノート
Webサイトをセキュアに運営するための基礎知識
“Webサイトをセキュアに運営するための基礎知識を知り、理解すること”を本セミナーの目標に掲げ、先ずはじめに、M2Mテクノロジーズ(現 アットシグナル)の内山氏より、Webサイトに対する攻撃としてフィッシングサイトやサイト改ざん、マルウェア、DOS / DDOSなどの攻撃が年々増えている実情と、過去1か月に報道された事例を挙げていただきながら、改ざん攻撃の種類を整理してご説明いただきました。
Web担当者だけでなく企業のセキュリティ担当者にも認識しておいていただきたい点は、昨今、標的型攻撃が注目されていますが、その何百倍もの割合でWebサイトへの攻撃の方が多いという事実です。また、目に見える改ざんだけでなく、プログラムやスクリプトの改ざん、ウィルスの埋め込みとなると、発見が遅れる可能性があることも認識しておかなければなりません。
攻撃の多様化に対し、守る対策には限界がきており、リスクを最小限に抑えるためには、“防御から早急な事後対応へシフト”することの重要性を語りました。
「脆弱性診断のベストな選び方」と「セキュリティ対策しやすいサイト構成」については、ご参加いただいたお客様も積極的にメモを取られており、ご参考にしていただけるお話でした。
■第1部
忘れていませんか?Webサイト構築の際に必要なセキュリティのポイント
NORENをご採用いただいているお客様には、関西電力様、中部国際空港(セントレア)様、日立製作所様など、Webサイトの安定性、開示されている情報の正確性が特に求められる、製造業、インフラ系、交通機関・運輸系の企業が多数いらっしゃいます。
セキュリティ対策にお金をかけられそうな大企業ばかりですが、実は、CMSとしてNORENを選択された点にもヒミツがありました。
一般的な最近の傾向としては、“Webサイトの活用 = 売り上げアップに繋がるマーケティング機能”が注目されがちですが、本セッションのタイトルのとおり、CMSを検討する上で忘れられがちな観点として“セキュリティ”が挙げられます。一度の事件で企業の信用失墜・売り上げダウンに直結してしまう重要事項なのに。
Webサイトの攻撃では、CMSが狙われがちですが、具体的にはCMSのどこが狙われるのでしょうか?
冒頭のオープニング・キーノートで内山氏よりお話しいただいたとおり、改ざんされたサイトの多くは動的CMSを利用しており、プラグインの脆弱性、管理画面の認証突破が原因だったと言われています。
弊社八木は、CMS関連で脆弱性の攻撃対象となる部分とその対策方法をそれぞれ解説し、CMSの選び方次第でネットワーク構成も異なり、脆弱性も必要なセキュリティ対策も最小限に抑えられるのだと述べました。
■第2部
サイト構成に合わせた改ざん検知手法の選び方
最後のセッションでは、Webサイトの改ざん検知に更にスポットを当て、改ざん検知手法の分類とサイト構成との相性についてお話しいただきました。
世の中に数あるWebサイトの改ざん検知ソリューションを、監視場所、巡回方法、検知方法の3つの観点で分類し、それぞれのメリット / デメリットを解説いただきました。また、Webサイトも、静的なコンテンツサイト、静的なHTMLファイル生成型のサイト、動的なコンテンツ生成型サイトなどの種類によってサイト構成が異なります。ご参加いただいたお客様には、ご担当されているWebサイトがどのタイプに当てはまるかを照らし合わせてお聞きいただきながら、サイト構成に合わせた対策としてM2Mテクノロジーズ(アットシグナル)様が提供する改ざん検知&自動修復ソリューションをご紹介いただきました。
NORENに関する お申し込み・お問い合わせはこちら
資料請求・デモのご依頼など