WEBサイトセキュティ【基礎対策】
ウェブサイトが悪意のある攻撃にあってしまうと、
情報の流出や改ざん、マルウェア感染により社会的信用を失うことになりかねません。 😨
今回は、そのような問題を未然に防ぎ、
ウェブサイトを保守するために不可欠な「セキュリティ対策」についてご紹介します。
目 次
SSL(Secure Socket Layer)
SSLは、通信情報を暗号化するセキュリティ対策です。
SSL化されたサイトのフォームから送信された情報は暗号化されるため、
もし通信途中で情報が盗まれても簡単に内容を読み取ることができなくなります。 🫥
SSL証明書
常時SSL化するためには「SSL証明書」が必要です。
「SSL証明書」には、
認証局(CA)がサーバーやドメインの実在性を証明する内容や、
通信情報を暗号化・解読するためのキー情報が入っています。 🔑
「SSL証明書」は専門の会社に依頼して取得することもできますが、
私的には「レンタルサーバー」に付いている「SSL」の利用をオススメしています。
設定がスムーズで、サーバーによっては無料で導入することが可能です。
※ 「SSL」設定サービスがない「レンタルサーバー」もあります
SSL証明書の認証レベル
SSL証明書は信頼性により認証レベルが分けられています
- ドメイン認証(DV) 【信頼性 ★】
- 組織認証(OV) 【信頼性 ★★】
- EV認証(EV) 【信頼性 ★★★】
常時SSL化されたサイトの確認方法
閲覧しているページが「常時SSL」対応か未対応かは、
「Google Chrome」や「Safari」など、
ウェブブラウザのアドレスバーで確認することができます。 🧐
「常時SSL化」されていれば、
- アドレス(URL)が「https://」から始まる
- アドレス欄に「鍵マーク」が付いている
となります。
逆に未対応の場合は「http://」で始まり「鍵マーク」が付いていません。
また、「https://」で始まっていても「鍵マーク」が付いていない場合は、
ソースコードの中に「http」で始まる記述(mixed-contents)が含まれている可能性があります。
さらに、「SSL証明書」の「認証レベル」によっても表示が変化します。
Google reCAPTCHA
「reCAPTCHA」は、Googleが提供している入力フォームのセキュリティ対策サービスです。
導入することで入力フォームを利用したスパムメールの送信を防ぐことができます。
2022年時点で「エンタープライズ」「v3」「v2」の3バージョンが提供されています。
送信するために「私はロボットではありません」にチェックをしたり、
指定のアイテムが写っている写真を選択した経験のある方は多いかと思います。
これらも「reCAPTCHA」の機能になります。
WAF(Web Application Firewall)
「WAF」は、システムの脆弱性を狙った攻撃を防御するセキュリティ対策です。
仕組みとしては、
過去に発生した攻撃や予測される攻撃が、
「シグネチャ」と呼ばれる攻撃パターンリストに蓄積されます。
攻撃を受けた時点で、
その攻撃が「シグネチャ」に含まれていれば「WAF」が判断して通信を遮断します。
「WAF」も「SSL」同様、多くのレンタルサーバーに付随しているサービスです。
HTTPセキュリティヘッダ
「HTTPセキュリティヘッダ」の設定は、
「クロスサイトスクリプティング」や「クリックジャッキング」などの攻撃から守るためのセキュリティ対策です。
セキュリティ用の設定項目が複数あるため、
設定後、下記のサイトで正しく設定されているか確認してみてください。
Security Headers
まとめ
今回は「SSL」「reCAPTCHA」「WAF」「HTTPセキュリティヘッダ」について紹介させていただきました。
また、今回紹介できなかった「WordPress」のセキュリティ設定なども今後紹介できたらと思っています。