止まらないホームページの改ざん
こんにちは、ピーシー・ブレインの高山です。
今年の梅雨明けはずいぶん早かったのですが、その後も激しい雨が降る日もあってちょっと妙な感じです。以前だったら異常気象と言われていたのでしょうが最近聞かないのは、もはや異常ではなくてこれが普通なのでしょうかね。
さて、今月もホームページの活用方法を中心とした「WEBマーケティングのヒント」というタイトルで情報をお届けいたします。
Contents
止まらないホームページの改ざん
先月号でもお知らせしましたが、ホームページが改ざんされる被害が止まりません。減るどころか、増える一方で警察庁や情報処理推進機構(IPA)も7月に入ってから注意喚起情報を出す異例の事態となっています。
この時期は、夏期休業など長期休暇となるところも少なくなく、セキュリティ対策には注意の必要なタイミングでもあるので、改めてご注意ください!
ホームページの改ざんが目立つようになったのは、「ガンブラー」と呼ばれるウイルス感染が流行した2009年頃からです。JR東日本をはじめ大手企業のホームページが改ざんされ、ニュースとして一般紙などでも取り上げられていました。
最近また目立つようになってきた改ざんの手口も実は大きく変わった訳ではありません。
ガンブラーでは、ホームページの更新で利用されるFTPのパスワードを盗まれて、侵入できるようになったホームページを改ざんしてウイルスを仕込み、そこにアクセスした人がまた感染して・・・という連鎖でした。
このパスワードを盗み取る仕組みに加えて、最近ではサーバーやサーバーに導入されたCMSなどの脆弱性を利用して侵入する、比較的単純なパスワードが設定されている場合は解読して侵入するというような手口が追加されてきています。
くれぐれも、パスワードの管理には気をつけましょう!
「 止まらないウェブ改ざん! 」~ ウェブサイトの管理の再検討を! ~
http://www.ipa.go.jp/security/txt/2013/07outline.html
簡単ではないサーバーの運用
ホームページやメールシステムを安心・安全にそしてトラブルなく安定して運用してゆくためにはいくつもの管理や作業が必要です。「サーバー運用」は単に「運用」と称されほとんど表に出ることはありませんが、とても重要な業務です。主なものについてご紹介します。
■機器の保守
サーバー機本体や周辺機器、またインターネット回線と接続する通信機器のハードウェアの保守です。メーカーと契約していて直ちに修理・交換できるよういしているケースがほとんどです。ハードディディスクや電源などは意外と故障箇所の多い部品で、何百台もあるような場所では日々で交換が行われています。
■システムソフトの更新
サーバーOSやサーバーソフトの最新システムの更新です。セキュリティ対策のために欠かせません。緊急リリースされることも多いので速やかに適用できる体制が必要です。
■監視
機器が正常に動作しているか、高負荷になっていないか、またディスクなど容量に余裕があるか、そして、不正アクセスが無いかを継続的にチェックします。もし問題が見つかれば指定された連絡先に通知します。また、この際に必要に応じて一時処置を行う場合もありますが、事前の準備・取り決めが必要です。
■アカウント管理
WEB用のアカウント(FTP)の発行や、メールアドレスの発行、メールの転送設定などを行います。忘れがちですが、利用しなくなった場合には、速やかに削除するなどの措置が必要です。これを放っておくとセキュリティホールとなるので注意が必要です。
■復旧
監視などで問題が検出された場合やトラブルが発生した場合に、問題の解消と復旧を行います。ただし、トラブルの原因や内容によってはデータの修復ができない場合もあるので、留意しておきましょう。
■データの保全
復旧作業の際に必要なデータを定期的にバックアップとして保全します。ただ多くの場合、基本サービスの復旧を目的としたもので、コンテンツの保全を想定したものではありません。また、誤操作によるデータ紛失などには対応していないケースがほとんどなので、最低限のバックアップと認識した方が良いです。
■契約手続き
ドメインやSSLサーバー証明書などは、別の団体で管理されていますので、その契約手続き更新手続きの代行・取り次ぎなどがあります。また、SSL証明書などは、発行・更新後には、サーバーへの導入・設定が必要ですが、このような作業もあります。
自社での対応が必要な運用もあります
実は、レンタルサーバー会社が、運用の全てをカバーしてくれる訳ではありません。それ以外の部分については、自社あるいは別のパートナーなどが対応する必要があります。例えば次のようなものです。
■バックアップと復旧
レンタルサーバー会社が実施するバックアップは、ホームページのコンテンツまでは気にしません。また、バックアップの間隔もまちまちで、誤操作による削除したものを戻すことも対応していません。復元したらずいぶん前の状態になってしまうこともあります。コンテンツについてはいつでも復元しておけるように必要なものを自社で管理した方が良いのです。
■アカウントの管理や契約管理
メールアドレスなどアカウントの管理ツールは提供されていますが、管理や操作は利用者任せとなるため、追加はしても削除しない、在籍しない人の情報が残っているような無管理状態になりがちです。これはセキュリティ的には大変危険な状態です。問題起きる前にしっかりと「管理」しましょう。
転ばぬ先の杖。安心・安全なWEB-KOMONサービス
弊社提供のWEB-KOMONでは、
お客様が安心して利用できるサービスを提供しています。
実績のあるNTTによる運営による、信頼性の高いレンタルサーバーサービスの提供に加えて、独自に次の運用サービスを追加してより安心、快適にご利用いただけるよう工夫しています。
- ホームページの定期的なバックアップ
- 煩雑なメールアドレス、FTPやCMSのアカウントの管理代行
- メールアドレスの発行・削除管理
- ドメインやSSLサーバー証明書の管理・設定の代行
さらに
ホームページのSEO対策のサポートとして、
- 検索結果順位の監視、レポーティング
- 最近ますます重要になってきている内部対策のためのチューニング(調整)
- 自社サイトだけではできない、外部対策としての適正なリンク提供
も行い、使えるホームページとして利用いただけるようサポートしています。
また、ホームページに限らずインターネット、コンピュータを利用する際に遭遇するいろいろな疑問や悩みにお答えするヘルプデスク・サポートデスクサービスも提供しています。
メールの送受信に関するトラブルやPC買い換えた際の設定についてはよく相談いただきますが、ホームページの内容や更新についての相談にも応じています。
レンタルサーバー会社や、他のWEB制作会社にはない便利なサービスとして評価を頂いています。
夏期休業の前後に注意したいこと
冒頭でも書いたように夏期休業などで一斉に事業を中断する場合には、セキュリティについての注意が必要です。
休みの前と休み明けに対応しておきたいポイントについて案内しますので、参考にしてください。
■システム管理者向け
- 最新のセキュリティ更新プログラムが適用されていることを確認する。Web サーバー上で動作する Web アプリケーションの更新も忘れずに行う。
- 重要なデータのバックアップを行う。
- 不要不急な機器については電源を切ってしまう
- 社員、職員が業務で使用している PC やスマートフォンの OS やソフトが更新されていない、適用漏れが無いか、社員、職員向けに再度周知する。
- 休業期間中にサーバーへの不審なアクセスが無いか確認する
■社員、スタッフ向け
- 業務で使用している PC やスマートフォンの OS やソフトなどに最新のセキュリティ更新プログラムが適用されていることを確認する。
- に、Adobe Reader、Flash Player、 Office、Windows、Javaなど)
- パスワードに容易に推測できる文字列 (名前や生年月日、電話番号、アカウントと同一のものなど) や安易な文字列 (12345,abcde, qwert,password etc) を設定していないか確認し、必要に応じて変更する
- 業務で使用している PC やスマートフォンなどを休暇期間中に自宅で使用する場合は、業務で認められた用途以外に使用しない。
- 休み明け出社後には、最初にセキュリティ対策ソフトを最新に更新する
- 溜まっていたメールを処理する際には不審なメールに十分注意する
- 持ち出ししたPCやUSBなどはいきなり接続せず、ウイルスチェックしてから接続する
ここに挙げたもののほかにも、問題が発生した際の連絡体制の整備や確認もしておきましょう。
