メニュー
文字サイズの変更
標準
背景色の変更
標準
音声読上げ版

Web制作におけるセキュリティ対応

ホームページ作成において最も重要な課題としてセキュリティの問題があります。
これは、パソコン利用におけるウィルス対策と同様にインターネットの環境変化や技術革新に伴い常に新しい対策が必要となるため完全ということはありません。セキュリティの課題は、現在、考え得るセキュリティ問題を把握しているか、また、その対応を可能な限り、万全に対策を講じているかという点になります。

ホームページ作成におけるセキュリティについては、以下の4つの点について確認・検討することが必要です。

  1. インターネット通信における通信暗号化に関するセキュリティ対策
  2. ホームページ作成におけるプログラム作成やアプリケーションに関するセキュリティ対策
  3. サーバーの設置環境におけるセキュリティ対策
  4. ホームページの運営・管理に関するセキュリティ対策

ホームページ作成においてセキュリティ対策を怠ると、どのような問題が起こるか?

セキュリティ対策がとられていないと、ホームページデータの喪失、ホームページデータの書換え、通信記録の傍受、サーバーデータの漏洩等問題が発生する原因となります。
特にデータの通信記録の傍受や漏洩等の問題では、ID/パスワード、個人情報や企業機密情報が事業者外に出ることになり、事業運営に致命的な大問題を引き起こす可能性が高まります。
ホームページ作成上のセキュリティ問題は、作成する業者に起因するものばかりでなく、運営者自身に起因する問題もありますので注意が必要です。 弊社では、納品時においてID/パスワードの管理や、管理体制の指導も行っています。


インターネット通信における通信暗号化に関するセキュリティ対策

インターネット通信における通信暗号化に関するセキュリティ対策とは、ホームページの入力フォーム等に入力されたデータの送受信におけるセキュリティ対策です。インターネットにおける通信は、無数の中継地点を経由して送受信されため、成りすましや盗み見をされる場合があります。
そのためSSL( Secure Sockets Layer )という暗号化送信技術が利用されます。
SSLには、公開鍵証明書による通信相手の認証と、共通鍵暗号(秘密鍵暗号)による通信の暗号化、改竄検知などの機能があります。ホームページアクセスに使われるHTTPと組み合わせ、ホームページで認証情報や個人情報、決済情報などの送受信を安全に行う手段として広く普及しているセキュリティの仕組みです。

弊社では、以下のSSLサーバー証明書を取り扱っております。

〇JPRS SSLサーバー証明書

JPRSサーバー証明書は、「.jp」のレジストラとしてドメイン名の登録・管理を行っている JPRS が認証局となってサーバー証明書を発行しているものです。

【 JPRS SSLサーバー証明書の取得・設定にかかる費用 】

@WEB ご利用のお客様限定 取得代行及びサーバー設定費(年間) 無料
コモンネーム1つ(月) 500円 (税別、年間一括払い)
ワイルドカード(月) 2,000円 (税別、年間一括払い)
専用サーバーご利用の方 取得代行及びサーバー設定費(年間) 10,000円(税別)
コモンネーム1つ(月) 750円 (税別、年間一括払い)
ワイルドカード(月) 2,500円 (税別、年間一括払い)

〇シマンテック(旧ベリサイン)SSLサーバー証明書

シマンテック(旧ベリサイン)SSLサーバー証明書は、企業・組織の実在性を、人手を介した厳格な複数の方法で確認するため、認証強度が強く高い信頼性を実現しています。 40 ビット以上、最大 256 ビットの暗号化でオンライントランザクションを保護し、ノートンセキュアドシールとシマンテックのシールインサーチによって、検索から表示や購入まで、お客様を保護できます。

シマンテック(旧ベリサイン)SSLサーバー証明書を利用する場合は、シマンテック セキュア・サーバ IDを取得しなければいけません。取得には別途実費が必要です。

【 シマンテックセキュア・サーバ IDの取得・設定にかかる費用 】

取得代行及びサーバー設定費(年間) 32,000円 (税別)
シマンテックセキュア・サーバーID(年間) 81,000円 (税別)

※共用サーバー、専用サーバーでご利用可能です。
※費用は予告なく変更する場合がございます。
※個人では取得はできません。
※更新時にも登記簿謄本や印鑑証明が必要です。

〇グローバルサインクイック認証SSL(専用サーバーのみ)

審査のオンライン化により、大幅なコスト削減を実現し、最大256bitの強固な暗号化を実現します。また同一コモンネームであれば、証明書を複製してインストール可能です。
シマンテック(旧ベリサイン)SSLサーバー証明書のように企業実在証明はありませんが、手軽・安価にサイトの通信を暗号化したい場合に有効なソリューションです。

【 グローバルサインクイック認証SSLの取得・設定にかかる費用 】

取得代行及びサーバー設定費(年間) 32,000円 (税別)
グローバルサインクイック認証SSL(年間) 34,800円 (税別)

※専用サーバー・VPSのみ、ご利用可能です。 ※費用は予告なく変更する場合がございます。

〇CPI SSLサーバー証明書(共用サーバーのみ)

共用サーバーの場合、CPI ブランドのサーバー証明書を取得することにより、安価に独自ドメインを使って SSL を使用することができます。

【 CPI SSLサーバー証明書の取得・設定にかかる費用 】

取得代行及びサーバー設定費(年間) 無料
CPI SSLサーバー証明書(年間) 37,000円 (税別)

※共用サーバーのみ、ご利用可能です。
※費用は予告なく変更する場合がございます。


ホームページ作成におけるプログラム作成やアプリケーションに関するセキュリティ対策

 WEB制作自体のセキュリティ対策として、XSS(クロスサイトスクリプティング)対策やCSRF(クロスサイトリクエストフォージェリ)対策、SQLインジェクション対策をはじめとする各種セキュリティ対応、ホームページの改ざんや攻撃に対応するため、システム・アプリケーション・コンテンツに対しては最新のセキュリティ対策を講じています。
 また、必要に応じて、第3者によるセキュリティ監査等にも対応致します。


〇 主なWEB制作に関わるウェブアプリケーションセキュリティについて

  • クロスサイトスクリプティング(XSS)
    標的となるウェブサイトに外部から攻撃用のスクリプトを混入し、被害者のウェブブラウザー上で実行させようとする攻撃手法の一つで、攻撃者が脆弱性のあるフォームなどを通して悪意のあるJavaScriptなどのスクリプトコードを入力し、そのスクリプト内容がそのままHTMLに埋め込まれ、ページを閲覧したコンピュータでスクリプトが実行されてしまうことがあります。

  • クロスサイトリクエストフォージェリ(CSRFまたはXSRF)
    CSRF攻撃とは、ウェブアプリケーションのサーバー側機能を、利用者の意図に反して勝手に実行させる攻撃です。悪意のあるウェブサイト等に用意したコンテンツ上に罠を仕掛けたリンク等を用意し正規のサイトにログインした状態のユーザーを誘導し、そこでリンクを踏ませる、ボタンをクリックさせる等をきっかけとして、ログイン状態で掲示板に意図しない書き込みをさせられたり、オンラインショップで買い物をさせられたりしてしまいます。

  • SQLインジェクション
    SQLインジェクション(英: SQL Injection)とは、アプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法のことで、この脆弱性を悪用してサーバーで改ざんや任意のコマンドを実行したり、ウィルスやトロイの木馬を設置される恐れがあります。

〇 弊社のウェブアプリケーションセキュリティへの対応

 弊社では、IPA(独立行政法人情報処理推進機構)の「安全なウェブサイトの作り方 改訂第6版」(チェックリスト)に基づいて、弊社自身で開発提供するウェブアプリケーション、及び受託制作におけるWEB制作・ウェブアプリケーション開発において以下の項目をチェックし万全を期しています。

  1. SQLインジェクション
  2. OSコマンド・インジェクション
  3. パス名パラメータの未チェック/ディレクトリ・トラバーサル
  4. セッション管理の不備
  5. XSS(クロスサイト・スクリプティング)
  6. CSRF(クロスサイト・リクエスト・フォージェリ)
  7. HTTPヘッダ・インジェクション
  8. メールヘッダ・インジェクション
  9. アクセス制御や認可制御の欠落

WEBサーバーの設置環境におけるセキュリティ対策

 お客様のサーバーを収容するデータセンターは、レンタルサーバー・サービスの品質に大きく寄与します。 弊社サービスで利用しているデータセンターは、電力の安定供給、空調・冷却、運用管理における品質向上を追及し、Uptime Institute の Tier レベルでレベル 3(想定される稼働信頼性が 99.98% 以上)に相当します。
自社ビル内に設置されたサーバーとは異なり、地震や火災など災害に対して高いレベルでの安全性が確保されているほか、サービスを継続して提供できる冗長構成をとっています。
快適なレスポンスを実現するため、回線環境にも力を入れ、お客様のサーバーは大容量・高速回線で接続されています。常に回線状況をチェックし、レスポンスを維持するために定期的に増強を行っています。
また、サーバーの運用管理は、24 時間 365 日専任スタッフによる有人監視を行っています。万一の場合にもただちにメンテナンスを行います。

・ 電源設備

 独立した電源二系統から引き込み、さらに停電時には無瞬断で給電

・ 空調設備

 24 時間室内温度を一定に保つ大型空調システムで熱対策

・ 防火設備

 不燃性ガスによる消化装置で、火災による被害を最小限に抑えます

・ 耐震性・復旧性

 電力供給がストップしても稼動する無停電電源装置を設置

・ 入退室セキュリティ

 IC カード、生体認証を利用した強固なセキュリティ


ホームページの運営・管理に関するセキュリティ対策

そもそも、通信上のセキュリティやWEBアプリケーションセキュリティ等において万全な対策をとっても、利用する事業者においてID/パスワードや機密データ等の管理が厳重に行われていなければ意味がありません。
特に最近起こっているデータ漏洩や送金・電子マネー等の問題は、社内管理体制やID/パスワードの管理上の問題が原因となっていることが多いようです。

通常、CMSを利用したホームページ作成の場合、以下の4 つのパスワード管理が発生します。

  1. レンタルサーバーのID/パスワード
    レンタルサーバーのほぼすべてを制御できるもので、サーバーのコントロールパネル(管理画面)のID/パスワードが漏れると基本的に以下の3つのパスワードも漏れることになりますので特に厳重に保管する必要があります。

  2. ホームページのFTPパスワード
    レンタルサーバーには、WWWサーバー機能があり、そのサーバースペースに入るためのパスワードです。 FTPとは、通信を介してホームページデータをサーバーに転送することをいいます。FTP作業を行うためのFTPソフトがあり、そのソフトにFTPパスワードを設定します。
    FTPパスワードが外部に漏れるとWWWサーバー内部のすべてのデータが流失することになります。  

  3. ホームページの運営管理システムのID/パスワード
    弊社の@シリーズのシステムのID/パスワードが該当し、ホームページの作成や更新を行うためのものです。このパスワードは、運営管理システムのプログラムや特殊プログラム、ホームページを構成する全体のデータを制御することはできませんが、パスワードが漏洩すると画像やテキストデータの流失、ホームページの書換えの問題が発生します。

  4. 電子メールのID/パスワード
    通常、電子メールのパスワードは、電子メールを設定すれば、その後にパスワード自体の入力をすることはありませんが事業所内に用紙等に記載して保管しているはずです。このID/パスワードが漏洩すると電子メールの送受信データが流失することになります

弊社から発行する上記に関する書類はすべて重要書類扱いとして丸秘印が押され、ファイル化してマニュアルとともにお渡ししています。 また、ID/パスワードの厳重管理の指導、担当者変更やスタッフの退社時におけるパスワード変更、社内機密保持規定の作成指導、第三者への委託における機密保持契約書の作成指導等を実施しています。