ホームページのセキュリティ強化を忘れずに。

2021年4月13日

自社のホームページ運営を担当されている方は、セキュリティの情報漏洩などのニュースを耳にした際に「ウチのセキュリティは大丈夫だろうか？」と思われた方も少なくないかと思います。

当社でホームページ制作を承っているお客様は、基本的にワードプレスというホームページ管理ツールをご使用いただいております。

ブログの投稿やページの更新のためにご利用いただいている方が多いかと思いますが、ワードプレスのバージョンアップを定期的に行うことでセキュリティを強化することができます。

ワードプレスのバージョンアップとは

バージョンアップとは、ワードプレスの機能を改善したり、バグや不具合の修正をするための更新作業です。

バージョンの確認方法

ワードプレスの管理画面、左上のダッシュボード欄に更新という項目が表示されています。
ここをクリックすると、あなたが使っているワードプレスの現在の情報を確認することができます。

ワードプレスに限らず、バージョンは数字で表されることが多くあります。

下記の画像の場合、ワードプレスのバージョンは「5.7」であることが分かります。バージョンが上がると「5.8」や「5.7.1」と数字が増えていきます。

セキュリティの強化はIPAも推奨しています

IPAとはInformation-technology Promotion Agency, Japanの略で、経済産業省が管理している独立行政法人です。正式名称は「独立行政法人情報処理推進機構」と呼ばれています。

主な事業内容として

情報セキュリティ対策の実現
IT人材の育成
IT社会の動向調査・分析・基盤構築

など、IT社会の促進と人材の育成に力を入れています。
ITに関連する情報提供も行っており、様々なツール・ソフトのセキュリティ情報を常時発信している政府の組織です。

IPAは2021年3月にウェブサイトのセキュリティに関するガイドと、脆弱性に対する調査報告書を発表しています。
常にセキュリティ対策の強化を推奨しており、多くのIT企業がIPAの情報を参考にしています。

バージョンアップのメリット

セキュリティの強化

ホームページには常に脆弱性が存在します。

脆弱性とは云わば弱点のようなもので、バージョンアップせずにワードプレスを利用していると、時間とともに脆弱性が発見されやすくなります。
すると、悪質なユーザーが弱点を攻撃し、ホームページのデータが悪用されることもあります。

例えば悪質なユーザーが企業のウェブサーバーを攻撃してウェブサイトを改ざんしたり、内部の個人情報を盗み出したり、顧客のクレジットカード情報が盗まれてしまったこともあります。
もしも顧客の情報が盗まれてしまうと、大規模な損害が起こりうるため非常に危険です。

【事例1】脆弱性を悪用したSQLインジェクションによる個人情報流出
脆弱性を悪用したSQLインジェクションにより、サーバー内にアクセスできる状態となり、個人情報が漏えいした。

■求められる対策例
「安全なウェブサイトの作り方」に取り上げられている脆弱性への対策の実施

参考：安全なウェブサイト運営にむけて～企業ウェブサイトのための脆弱性対応ガイド～ 8ページ https://www.ipa.go.jp/files/000089537.pdf

【事例2】グループ会社ウェブサイトの脆弱性を悪用による複数グループ企業サイトの個人情報流出
グループ内企業のホームページから、グループで個人情報を保管していたサーバが不正アクセスを受け、グループ内複数企業の利用者の個人情報が外部に流出した。

■求められる対策例
ネットワーク機器等を利用して、ネットワーク境界及び、データへのアクセス制限見直し、適切な設定実施。および、不正な通信の監視、遮断をする環境の構築。

参考：安全なウェブサイト運営にむけて～企業ウェブサイトのための脆弱性対応ガイド～ 9ページ https://www.ipa.go.jp/files/000089537.pdf