セキュリティ対策

セキュリティ対策の必要性

昨今、約70%のWebサイトがハッキング、マルウェア等の脅威に晒されていると言われています。Webサーバー上のコンテンツが不正に改ざんされ、改ざんされたコンテンツを閲覧した利用者がマルウェア感染等の二次的な被害を受けるケースが継続的に発生しています。しかしながら、Webシステム開発の現場では、セキュリティに関する認識の甘い開発業者や、予算・納期の関係でセキュリティ対策を後回しにしている開発業者も多く見受けられます。攻撃の多くは、SQLインジェクションと、クロスサイトスクリプティングと言われる手法によるもので、適切な対策さえ行なわれていれば、被害に遭うことがないような事象が多くあります。

こちらでは、ご要望の多い、WordPressに特化したセキュリティ対策と、ECサイトのセキュリティ対策についてご説明します。

WordPressセキュリティ対策

現在世界トップシェアを誇るオープンソースのCMS「WordPress」は、普及率の高さからユーザーや開発者の間で関連する多くの情報が手に入り易いというメリットがありますが、その一方で脆弱性を狙った悪質な攻撃のターゲットとなりやすいといった側面もあります。WordPressならではの脆弱性を熟知した弊社では、下記のセキュリティ対策サービスをご用意しています。

1. セキュリティ診断

まずは、サイト内のどの箇所のセキュリティが弱いのか、確認しましょう。Webサイトのセキュリティ診断と防御策のご提案を実施いたします。——$300

2. サイトのハッキング予防

お客様のニーズに合わせたパッケージもご用意がございますのでご検討ください。

セキュリティサービス

※1. テーマによっては動作で不具合が生じる場合がございます。不具合が発生した場合、提供元と連携しながらの不具合の対処になるため、基本料金以外に、別途時間ベース($95/h)による作業となります。
※2. プラグイン3点まで。4点以上からは1点につき$100となります。また、プラグインによっては、動作で不具合が生じる場合がございます。不具合が発生した場合、提供元と連携しながらの不具合の対処になるため、基本料金以外に、別途時間ベース($95/h)による作業となります。
※3. セキュリティ対策の実施時に1度だけバックアップを行います。
定期的なバックアップサービスのご用意もございますので、ご興味のある方はお問合せください。

まずはご自分でWordPressのセキュリティについて勉強されたいという方には——–>>>>>>
あなたのwordpressサイト セキュリティ対策はしていますか?セキュリティ対策完全版遂に登場!

実際多くの企業様はWebサイト完成後のセキュリティ対策やメンテナンスまでは予算が回らないというのが現状です。こうした状況を踏まえ、弊社ではこの度WordPressのセキュリティ対策マニュアルを執筆致しました。
『WORDPRESS セキュリティ対策 基本マニュアル』/Lotus Web Studios 著

    • 難易度と重要度表記で何から取り組むべきかが一目瞭然。
    • 最低限行っていただきたいWordPressサイトのセキュリティ対策法を初心者の方にも分かりやすく解説。
    • 本書専用Q&Aサイトで困った時も安心のサポート体制。
3. サイトがハッキングされたら

まずは、ホスティングサービスを提供している会社にご連絡ください。多くの場合、技術的に困難な作業のほとんどは業者が対応致します。
-マスター・バックアップ——$500(サイトの全てをCD-ROMとして作成保存)
-サイトの復旧——$800(バックアップが必要です)
-エラー修正——$100/hr
-Virus Scan——$250
-Malware Removal——$500

E-Commerceサイトセキュリティ対策

クレジットカード情報を含む膨大な量の顧客個人情報を取り扱うE-Commerceサイト(オンラインショッピングサイト)。一旦ハッキング被害に遭い、情報漏えいといった問題が起これば、企業としての社会的信用を失いかねません。弊社では、適切なセキュリティ対策を施す事で、不正な行為をする攻撃者からE-Commerceサイトの情報や個人情報を守るサポートをしております。Webサイトのスキャンを行い、セキュリテイの脆弱性を検出し対策案を提案、実装させて頂いております。また、万が一の情報漏洩に備えてのデータの暗号化、そしてシステム障害に備えてのバックアップとデータリカバリープランを提供させて頂いております。

E-Commerceサイトセキュリティ対策

主なハッキング被害事例
2011年8月
企業:株式会社ゲームポット
状況:運営するコミュニティサイト「Alteil.Net」に不正アクセスがあり、顧客情報流出。
件数:20万3731件

2011年7月
対象:約9万件のWebサイト
状況:eコマースシステム「osCommerce」を使用しているWebサイトが改ざんされ、そのサイトを訪問したユーザーが不正サイトへ誘導、最終的に偽セキュリティソフトなどへの感染を通じユーザーのクレジットカード番号などのアカウント情報を詐取することを目的とした攻撃が行われていた。


主な攻撃手法
主に次の6つの手法が挙げられますが、セキュリティ対策の中でも、最低限施しておく必要があるのが、SQLインジェクション対策とクロスサイトスクリプティング対策です。何故なら、これらの攻撃による被害が最も多く、これらの対策が適切に行われていないことにより、悪意を持ったユーザーがメールフォームなどから不正なプログラム文章を打ち込み、サーバーをダウンさせたり、個人情報を抜き取ることができるためです。

  • SQLインジェクション
    Webサーバーが使用しているデータベースを外部から不正に操作し、データベースからデータを盗みだす手法です。
  • クロスサイトスクリプティング(XSS)
    Webサイトのキーワード入力欄にスクリプトを含んだタグを打ち込むと、そのサーバの脆弱性の度合いによって、cookieを吐き出したり、読み出されたcookieデータが第三者のサーバに転送される可能性があります。
  • パストラバーサル(ディレクトリトラバーサル)
    非公開のディレクトリやファイルにアクセスされ、個人情報が不正に入手されたり、悪意あるコードが書き込まれます。
  • セッションハイジャック
    セッションIDやセッション・クッキーを盗むことにより、悪意ある者が別のユーザーになりすまし、そのユーザーが使用するマシンとは別のコンピューターからインターネットにアクセスするという不正アクセスの手法です。
  • コマンドインジェクション
    OSコマンドとは、コンピュータの基本ソフトウエア(OS)を操作するための命令(コマンド)のことで、外部からサーバー上の任意のOSコマンドを実行することで、サーバーの基本ソフトを不正に操作されてしまう可能性があります。
  • DoSアタック
    大量のデータや不正パケットを送りつけて、サービスを提供できないようにしたり、システムそのものをダウンさせたりする手法です。

過去の実績

  • 某政府機関サイトの書類申請システムへのセキュリティ対策実施(Cross Site Scripting等ハッキング可能性の検出とコードレベルでの対応)
  • 某医療関連の顧客管理システムへのセキュリティ対策実施(ファイヤーウォールを用いたIPアドレスレベルでの認証、ログイン履歴の管理と不正アクセスのモニタリング)
  • 某ブランドのECサイト(データの暗号化。商圏外からのアクセス拒否を国別IPレベルで実装し安全性を確保)