Bizコンパス

「Webサイト改ざん」は他人ごとではない!現場担当者ができる対策とは
2020.02.28

サイバー攻撃に企業はどう準備すべきか第4回

「Webサイト改ざん」は他人ごとではない!現場担当者ができる対策とは

著者 サイバーディフェンス研究所 津野田 茂明

Webサイト改ざんを防ぐための対策とは

 こうしたWebサイト改ざんへの対策は、第一に「常にソフトウェアをセキュアな状態に維持」することである。ベンダーの公式サイトなどが提供しているセキュリティ情報を定期的に収集し、常にソフトウェアを最新の状態かつ推奨されている設定に維持していくことが有効である。

 そのためには、設計段階でアップデートや設定変更による影響を局所化するような見通しを立てておくと良い。

 2つ目の対策としては、パスワードそのものを利用しない「パスワードレス認証への移行」が挙げられる。

 昨今では、暗号化されたパスワードであっても、高いマシンスペックをフル活用したオフライン解析により、現実的な日数で復号化(パスワードを可読状態にすること)に成功するケースがしばしば見受けられる。このことから、「パスワード認証そのものが安全ではない世界が着実に近づきつつあるのでは」と、筆者は危機感を募らせている。

 スマートフォンにおける指紋や顔、虹彩を用いた生体認証も、パスワードレス認証の一種であり、高い利便性から手放せない機能の1つになっている。このようにパスワードレス認証には、複雑なパスワード管理からも解放されるというメリットもあり、今後様々なシステムでの採用が見込まれている。システムの制約によりパスワード認証を用いなくてはならない場合には、強固なパスワード生成ルールを定めた上で使いまわしが発生しない運用をしていくことは当然として、二要素認証を活用することも検討したい。

 また、Webサイト改ざんも含むサイバー攻撃対策全般に言えることだが、1つの対策に依存することなく複数の対策を組み合わせる多層防御の観点も忘れてはならない。有効な緩和策についても表1に例示したので、併せて参考にしていただきたい。

 今回はWebサイト改ざんによる実例から、手口とその対策の一例について駆け足で紹介してきた。ただし、サイバー攻撃の手法は日々進化している。

  中国の兵法書「を実践するために、普段から攻撃手法にとどまらず、自組織に関する情報も含めた正確な情報から、正しい知識の獲得に努めていくことが重要である。

関連キーワード

SHARE

関連記事

NTTのCISOはどうやって経営にセキュリティを織り込むようにしてきたか

2020.03.19

セキュリティ対策に求められる新たな視点第15回

NTTのCISOはどうやって経営にセキュリティを織り込むようにしてきたか

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

2020.03.04

セキュリティ対策に求められる新たな視点第13回

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

セキュリティの専門家が語る「2020の脅威」その傾向と対策

2020.02.14

セキュリティ対策に求められる新たな視点第12回

セキュリティの専門家が語る「2020の脅威」その傾向と対策

マルチクラウドの活用に必要なクラウドマネジメントとは?

2020.01.31

DXを加速させるITシステムの運用改革第19回

マルチクラウドの活用に必要なクラウドマネジメントとは?

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

2020.01.29

デジタルトランスフォーメーションの実現へ向けて第28回

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

2020.01.17

セキュリティ対策に求められる新たな視点第11回

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

2020.01.08

セキュリティ対策に求められる新たな視点第10回

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

セキュリティ対策は「経営責任」とプロが断言する理由

2019.11.29

セキュリティ対策に求められる新たな視点第8回

セキュリティ対策は「経営責任」とプロが断言する理由

自社だけ守っても意味がない!サプライチェーンリスクとの向き合い方

2019.10.28

サプライチェーンのセキュリティは大丈夫か?第3回

自社だけ守っても意味がない!サプライチェーンリスクとの向き合い方

企業のセキュリティ対策は“アウトソース”がカギ

2019.09.20

セキュリティリソースの不足をいかに補うべきか?第3回

企業のセキュリティ対策は“アウトソース”がカギ

終らないアラート対応に終焉を、ServiceNowとTenableが打ち出す脆弱性管理とは

2019.07.31

DXを加速させるITシステムの運用改革第9回

終らないアラート対応に終焉を、ServiceNowとTenableが打ち出す脆弱性管理とは