すぐにできるWebサイトのセキュリティ強化策

Webサーバのセキュリティ強化について質問です。
当社は社員数30名程度の製造業です。Webサイトは普通のホスティング会社の共用サーバプランを利用しています。
基本的なセキュリティはホスティング会社の方でやってもらえると思いますが、我々の方では特に何もしなくて大丈夫でしょうか？
御社は何か取組みを行っていますか？

結論から言いますと、サーバの筐体そのものの管理については、ホスティング会社が行ってくれますが、アカウント情報が流出した場合などは、ホスティング会社でも防げないので、社内の取組は必要です。

■ホスティング会社の共用サーバプランの場合、自由度は無い代わりに、サーバの更新プログラムを入れたり、障害対応や海外からの不正アタック対応といった、サーバそのものの管理はホスティング会社の方でしっかりやってもらえます。

ならば、それで全て安心かと言うとそうではありません。

■当社のお客様で実際にあった事例を１つ紹介します。

当社のお客様、Yさんがいつものように事務所で仕事をしていると、取引先の担当者から「いつも電話かける時に、御社のWebサイトの会社概要を見て電話をするんだけど、今見たら、御社のサイト見れないよ」と言われました。
そこで慌てて確認したら、こんな画面が表示されました。
そして慌てて、当社に連絡をくれたのです。

調べてみたら、Webサーバに格納されている全てのHTMLファイルに、本来あるはずの無いJavaScriptの記述が埋め込まれていました。
幸い、当社のテストサーバに制作公開時のHTMLファイルがあったので、すぐに差し替えを行い、FTPパスワードを変更し、外部からのFTPアクセスを拒否する設定にしました。

この会社はニュースリリースなどを社内の担当者が更新していたのですが、恐らくその更新端末にあるFTP情報を抜き取られWebサイトに不正な記述を埋め込まれてしまったようです。

■サーバのセキュリティというのは保険に似ていて、お金をかければいくらでも手厚くできます。
しかし、セキュリティに湯水のようにお金を使いたい会社なんてありません。
会社の規模やWebサイトの内容によって適正というのものがあります。

一般的なWebサイトの場合、当社の方でお客様にオススメしている方法は次の通りです。

• 会社の全ての端末にきちんとセキュリティソフトを入れる。
  （変な添付ファイルは開かないとか、そういうことは社内で徹底する）
• FTPパスワードを複雑なものにする。
  （英数字だけでなく、$&#といった記号を入れるだけでセキュリティ度が高くなります）
• 定期的にFTPパスワードを変更する
• FTPパスワードは必要最低限の人で管理する。
• 会社のネットワークに独自IPを付与し、サーバの方にそのIP以外からのアクセスを拒否する設定にする。
  （独自IPはプロバイダに相談すれば月3千円程度で付与してもらえます。サーバのIP制限設定は.ftpaccessファイルを使えば簡単にできます）
• CMSなどを使っている場合は、必ずバージョンアップやプログラム更新を行う。
  可能なら管理画面にIP制限をかける。

社員数30名程度の製造業であれば、これらをしっかりやれば十分かと思います。

どれもすぐにできるものばかりですので、今一度、見直してみてください。