WEBシステム開発会社が考える、優先度の高い「個人情報漏えい対策」

あなたのサイトは大丈夫?ポータルサイトSEOでありがちな7つの勘違い
再現性の高いポータルサイトSEOのノウハウを公開!

\ 資料請求・ご相談は無料 /

こんにちは。代表の中山です。

先日コーヒーチェーン店の個人情報漏えいがニュースになりましたが、今回は「なぜ個人情報漏えいが起きるのか」をサーバー管理者側の視点で解説し、どう対策すれば良いのかについてお話します。

セルバでは現在100以上のサイトを運営しており、サーバー管理を日々行っています。
サーバー管理をすると分かるのですが、ネットにサーバーを公開するとどのサーバーも攻撃を受けます。
長年多くのサーバーを管理していると、どういった攻撃を受けるのか、その手口にも詳しくなります。

サイト運営者の方や、WEBサイトの発注を考えている方は、ぜひ最後まで読んでセキュリティ対策に役立ててください!

目次

個人情報漏洩の原因数ランキング

個人情報漏えいの原因数ランキングが東京商工リサーチから発表されています。

1位:ウイルス感染・不正アクセス
2位:誤表示・誤送信
3位:不正持ち出し・盗難
4位:紛失・誤廃棄

引用元:東京商工リサーチ

本記事では1位のウイルス感染・不正アクセスの原因について触れていきます。

2位から4位の原因はサーバーというより、人の問題ですね。
人なのでミスは付き物ですが「個人のPCに個人情報のデータを入れない」は意識した方がよいです。

セルバ中山

僕もPCに個人情報のデータは入れていません。
データを加工するためにPCにデータをダウンロードすることはありますが、加工し終わったらすぐにサーバーにアップして、PCからは削除しています。

ウイルス感染・不正アクセスの原因

ウイルス感染・不正アクセスが起こる原因として、主なものは下記となります。

  • パスワードの漏えい
  • ソフトウェアの脆弱性

原因その1 パスワードの漏えい

ウイルス感染・不正アクセスと聞くと「ソフトの脆弱性を突かれたのが原因」と思われることが多いですが、実際はもっと単純で、大半の原因はパスワードの漏えいです。

ランサムウェア(身代金要求型)もファイル改ざんも、多くはパスワード漏れでサーバーにログインされるのが原因です。

推測されるような単純なパスワードや、既に漏れたパスワードと同じものを利用していることによってID・パスワードを入力されて不正ログインされます。

パスワード総当たり攻撃(ブルートフォース)

パスワード総当たり攻撃とは、文字通り全通りのパスワードを試してログインしようとする攻撃です。
これの亜種としてユーザーの名前や誕生日など、パスワードで使われがちな文字列を推測する「辞書攻撃」というものもあります。

この記事書くにあたって、管理しているサーバーのログを改めて確認すると1日平均1万件以上攻撃されていました。
これは弊社のサイトが特別多く攻撃されているわけではなく、他のサーバーも同様に攻撃されています。

以下はNordPass社が発表した2024年によく使われているパスワードです。
これらのパスワードを使っていると簡単にログインされてしまいます。

1位:123456
2位:admin
3位:12345678
4位:123456789
5位:2134
6位:12345
7位:password
8位:123
9位:Aa123456
10位:1234567890

引用元:NordPass社

パスワードリスト攻撃

どこかのサイトからユーザーデータとパスワードが漏れて、それを他のサイトのログインでも利用されるケースです。
最近はハッシュ化されて保存が標準になっていますが、10年以上前に作られたシステムではそうなっていないものも珍しくありません。
Facebookでも、数年前まではパスワードが平文のシステムが動いていたようです。

Googleでも同様に、平文で保存している機能が数年前まであったようです。

パスワード漏えいの対策

では、ウイルス感染・不正アクセスの原因の一つである「パスワード漏えい」の対策はどうすれば良いのか。
具体的には4つの方法があります。

パスワード漏えいの対策4つ
  • パスワードを複雑なものにする
  • ログイン試行回数を制限する
  • アクセス可能なIPアドレスを制限する
  • 秘密鍵を使ったログイン

パスワードを複雑なものにする

シンプルな話で、誰もが思いつくような簡単なパスワードだと簡単に不正ログインされます。
単純なパスワードは登録しない(できない)ように設定しましょう。

「大文字、小文字、数字を組み合わせた8文字以上」でなおかつ、Aa123456みたいな推測される文字列も許可しないようにするのが望ましいです。
パスワードの強度をチェックするライブラリを入れてチェックすることをおすすめします。

ログイン試行回数を制限する

試行回数を制限するのは総当たり攻撃に有効です。
たとえば、3回ログインに失敗すると10分間はアクセス出来なくするなど。

アクセス可能なIPアドレスを制限する

管理画面など、アクセスする人が限られているのであれば、IPで制限するのも有効です。

秘密鍵を使ったログイン

SSHを使ったログインなどはパスワード認証を許可せず、秘密鍵を使った認証を行いましょう。
またポート番号は通常の22番から別の番号に変更することを推奨します。

原因その2 ソフトウェアの脆弱性

ソフトウェアの脆弱性を突かれて情報漏えいするケースも多いです。
中でもWordPressは使っている人数が多く、プラグインも多く提供されている分、脆弱性が見つかることが多くあります。

また独自で制作したプログラムだと、SQLインジェクションなどの脆弱性が含まれるケースがあります。

ソフトウェア脆弱性の対策

ウイルス感染・不正アクセスのもう一つの原因「ソフトウェア脆弱性」の対策は、下記の5つです。

ソフトウェア脆弱性の対策5つ
  • WAFを導入する
  • WordPressを使う場合は常に最新バージョンにして余計なプラグインを入れない
  • サーバーに改ざん検知ソフトを入れる
  • 定期的にサイト脆弱性診断ツールで検査
  • Webサーバーでもセキュリティを高める設定を行っておく

WAFを導入する

代表的な対策としては、WAFを導入することです。

WAFとは?

WAF(ワフ)は”Web Application Firewall”の略で、「Webアプリケーションの脆弱性を悪用した攻撃」からWebサイトを保護するセキュリティ対策です。Webサーバーの前段に設置して通信を解析・検査し、攻撃と判断した通信を遮断することで、Webサイトを保護します。

引用元:Canon

有名なのは「攻撃遮断くん」や「SiteGuard」などです。
これを入れることにより、SQL文などの攻撃が目的のデータを塞いでくれます。

WordPressを使う場合は常に最新バージョンにして余計なプラグインを入れない

WordPressを使う場合は、常にバージョンは最新にしておくことをおすすめします。
自動アップデートはONにしておきましょう。

入れるプラグインはできるだけ減らして、同じ機能のプラグインが複数あるなら頻繁にアップデートされているものを選びましょう。

WordPressではWAFの「SiteGuard」のプラグインもあるので、入れておくことをおすすめします。

サーバーに改ざん検知ソフトを入れる

先日コーヒーチェーン店の個人情報漏えいがニュースになりましたが、サーバーに改ざん検知ソフトを入れていれば早期に発見出来た可能性が高いです。

改ざん検知ソフトは有名なものだと「シマンテック」「マカフィー」があります。

定期的にサイト脆弱性診断ツールで検査

代表的なものだと「Zed Attack Proxy」などはSQLインジェクションなどの診断をしてくれます。
旧名は「OWASP ZAP」なので、こちらの名前の方が馴染みがある人が多いかも。

ただ「Zed Attack Proxy」の設定には経験やスキルがいるので、スキルがない人でも使えるものだと以下もおすすめです。
脆弱性のあるソフトウェアを使っていないか診断してくれます。

おすすめのサイト脆弱性診断ツール

Webサーバーでもセキュリティを高める設定を行っておく

Webサーバーでもセキュリティを高める設定を行っておきましょう。
代表的なものだと「Apache」「Nginx」などがあります。

Apacheだと、デフォルトの設定で運用しているとセキュリティ診断ツールで引っかかります。

以下のサイトではApacheの基本的な設定について解説されています。

サーバーのセキュリティチェックシート

セルバではセキュリティチェックシートを作っています。
実際に弊社のエンジニアが使っているものを公開していますので、良ければ参考にしてください。

まとめ

サーバー管理者側の視点で、個人情報漏えいが起きる主な原因とその対策について解説しました。

セキュリティ対策は費用や手間がかかりますが、個人情報漏えいが起きると損害が大きく、場合によっては会社が傾くのでケチらないようにした方がよいです。

知識がないと難しいこともあると思いますので、わからない場合はお気軽にセルバまでご相談ください!

WEB事業でお困りではありませんか?

サイトのアクセスが増えない……集客って何をすればいいの?

システムを作るなら損したくない!

新規事業を立ち上げたい!補助金は使える?

WEB業界・人材業界で創業20年以上、経営支援を行ってきました。
システムの開発のほか、補助金の申請支援や集客代行も承っております。
お気軽にご相談ください。

\ 小さなことでもお気軽に /

会社情報 | 実績 | サービス

  • URLをコピーしました!
  • URLをコピーしました!

中山 健のアバター 中山 健 代表取締役

株式会社セルバ代表取締役。
学生時代にアルバイトでWEB製作会社に入りプログラムを覚える。大学卒業後SIerにて金融システムの開発に携わった後、再びWEB業界へ。

WEB系のプログラム言語とサーバー構築、さらにはCOBOLも出来ます!
最近ではシステム開発だけでなく、SEOやマネタイズなどのグロースハックや企画を担当する事が多いです。

目次