インターネットに関わる技術が進歩したことで、今やWordPressなどのツールを使えば誰でもWebサイトを制作できる時代になりつつあります。
Webサイトの運用にはセキュリティ管理が必要不可欠ですが、コンテンツの中身にばかり意識が向いて「よく分からないから…」と放置してしまう会社も多いのではないでしょうか。作るだけ作ってセキュリティ対策を怠った状態になっているようであれば、何らかの改善策が必要です。
「何から始めたらいいか分からない」
「セキュリティ対策はしているつもりだけど、課題点があるかもしれない」
そういった方にはセキュリティ診断をおすすめします。種類はさまざまですが、無料でしっかりとした診断を受けられるものもあります。参考にしたうえで、ぜひ自社に合ったサービスを選んでください。
1.Webサイトのセキュリティ診断(脆弱性診断)とは
セキュリティ診断とは「システムやネットワークのセキュリティ状況を評価する診断」のこと。
サイトだけでなく、アプリや内部システムもセキュリティ診断の対象になります。Webサイトの診断においては、脆弱性を見つけて対策するための診断という意味で「脆弱性診断」とも呼ばれます。
サイバー攻撃に遭う可能性のある脆弱性がないかどうかチェックし、対策を講じるために利用するのが一般的です。
2.セキュリティ診断の種類・価格相場
セキュリティ診断にもさまざまな種類があり、価格の相場は方法によって大きく異なります。
大きく分けて「ツール診断」「マニュアル(手動)診断」に分類されますが、どちらか一方だけでなく両方を併用するようなサービスも多くあります。どの診断を利用するか迷っている場合は、診断方法をチェックしてみましょう。
ツール診断
自動検知ツールなどを使って脆弱性を測る方法。自動ツールを使って診断するため、手動よりも低コストかつ短時間で実施できるのが長所です。
ツール診断は無料~数十万と比較的安価ですが、内部システムに関わる専門的な知識を要する脆弱性の検知など、ツールのみの診断では見落としが発生するリスクがあることには注意した方がよいでしょう。
ツール診断の中でも以下の3種類の方法に分けられます。
クラウド型
インターネットを経由して診断を行います。
ツールをインストールしたり管理したりする手間が省けるため、比較的手軽に利用できるのがメリットです。
ソフトウェア型
自社のパソコン・サーバーにツールを入れて診断するサービス。
オフライン環境でも利用できるのがメリットです。
オープンソース型
インターネット上に公開されているソースコードを利用して診断できるツール。カスタマイズ性が高く無料で利用できるのがメリットですが、使いこなすには専門性が必要なので初心者向けではありません。
マニュアル(手動)診断
セキュリティの専門家に依頼し、人力で細かくセキュリティの穴がないかチェックします。
相場は数万円~数百万と幅広いのが特徴です。ツール診断と組み合わせて診断するサービスであれば数万円、大規模なWebサイトをプロの手で網羅的に診断したい場合は数百万円かかるケースもあります。
多くの場合は有料ですが、WordPressに特化したセキュリティ診断であれば無料で受けられるパターンも存在します。
リモート診断
遠隔地から外部からアクセスできるサーバーなどにアクセスし、脆弱性をチェックします。
サーバーに設置されているファイアウォールが機能しているかなど、外部からの攻撃を想定した脆弱性を見つけることができます。
オンサイト診断
外部に公開されていないサーバーなども診断対象として、内部システムの脆弱性を測ります。
万が一外部から侵入された後に攻撃を防ぐシステムができているか、社内のセキュリティシステムに問題がないかまでチェックすることができるのがメリットです。
3.WordPressセキュリティ診断サービスの主なチェック項目
WordPressで制作したサイトがセキュリティ対策の落とし穴になりやすいのはご存知でしょうか。初心者でも簡単に作れるがゆえに、「表示崩れが怖くてアップデートしていない」など、判別がつきやすい部分で脆弱性が生じているパターンが多いので注意が必要です。
もしWordPressを使って運用しているサイトのセキュリティに不安があるようなら、WordPressのサイトを専門に診断できるサービスを受けてみましょう。
具体的な診断項目は以下のようになっていることが多いです。
内部システムの脆弱性
- コアファイル
- プラグイン
- テーマ
など、WordPressの内部を構築するファイルに脆弱性がないかチェックします。
バージョンアップせず放置していたり、何年も更新していないプラグインが残っていたりする場合はセキュリティが甘いと判断されます。
ユーザー情報・管理画面
WordPressを運用するユーザーの管理も重要です。具体的には、
- パスワード、IDが推測されやすいもの(生年月日、ドメイン名など)でないか
- 各ユーザーに適切な権限を与えているか
- パスワード画面が適切に保護されているか
などをチェックします。
内部のシステムをしっかり警備していても、管理ユーザーのセキュリティが甘いとサイバー攻撃の標的になりやすいので注意が必要です。
その他
- バックアップの有無
- 通信の暗号化(SSL化)
などもチェック項目に含まれていることが多いです。
バックアップは不具合発生時の復旧に必須なので、セキュリティ対策としては基本中の基本です。診断前にしっかりできているかチェックしておくとよいでしょう。
4.セキュリティ診断を受けるべきサイトの特徴
どんなWebサイトも定期的なセキュリティ診断を受けるのが最良ですが、特に以下の特徴に当てはまる場合は今すぐ一度セキュリティ診断を受けてみることをおすすめします。
しばらくアップデートしていない
どんなツールを使って作ったサイトであれ、アップデートの管理を怠った状態は一番攻撃者につけこまれやすいものだと認識しておきましょう。
特にWordPressなどのオープンソースCMSは脆弱性への対策がアップデートを通じた自己対応に任せられているので、放置した場合の危険性はひときわ高いと言えます。
アップデートを放置しているようなWebサイトには他の問題が生じている可能性もあるので、まずは何が問題なのか診断を通じてチェックしてみるべきでしょう。
担当者が変わってしまった
セキュリティ対策が甘いことに悩みを抱えている方は、当初と担当が変わって設定の情報などが分からなくなっているパターンも多いのではないでしょうか。
担当者の変更が原因で放置してしまっているのであれば、一度セキュリティ診断を行って何が問題なのか可視化してからサイトの改善を行うのが近道です。
セキュリティについて分かる人がいない場合でも、セキュリティ診断を専門家に頼めば適切なアドバイスがもらえます。
セキュリティ保守の予算が下りない
サイト保守をしっかり行うとなると、自社でやるにも外注するにもある程度予算がかかります。
しかし、特に中小企業ではサイバーセキュリティの重要性、情報漏えいなどのリスクが共有されず重要性が看過されがちです。上層部がセキュリティリスクを認識していないため対策に割く予算が下りず、現場で悩みを持つパターンも多いのが現状です。
セキュリティ対策を外部に委託する保守サービスも実はそこまで高額ではありませんが、利益が生じる投資ではないため導入を渋るケースも見られます。「自分は関係ない」という思い込みがサイバー攻撃の被害を生み出すのです。
まずは実際にセキュリティ診断を受けてみて、具体的な課題点やリスクが見えると予算を割く説得材料になります。もしセキュリティ対策にお悩みのようでしたら、一度診断を受けてみましょう。
5.まとめ
セキュリティ診断サービスは多種多様で、サイトの規模や診断の適用範囲によって価格やサービス内容も大きく異なります。
脆弱性情報は日々更新されるため定期的な診断を行うのが一番ですが、課題点を認識するにはまず一度診断を受けてみるのがよいでしょう。
当社では、WordPressのセキュリティ保守サービスの一環として定期的なセキュリティ診断とレポート提出を行っています。「診断されても解決策が分からない…」という場合は、プロがセキュリティ管理まで一括でサポートします。
自社サイトの課題点を認識するために無料セキュリティ診断を受けてみたいという方は、WordPress丸ごとお任せ(保守)サービスのページをご覧ください。
