新しいウェブサイトを立ち上げた後に安全を保つためにすべき 11 のこと
公開: 2024-07-02おめでとうございます。ついにそれが完了しました! ウェブサイトの構築に数週間、場合によっては数か月を費やした後、現在は稼働しています。 さて、大きな質問ですが、次は何でしょうか? やるべきことはたくさんありますが、すべてを要約する一言はセキュリティです。
Web サイトはマルウェア攻撃の最も一般的なベクトルであり、悪意のある攻撃者による脅威にさらされることがよくあります。 そのため、データ侵害、風評被害、経済的損失を防ぐためにセキュリティ対策を確実に講じる必要があります。
そうは言っても、継続的な安全を確保するために、Web サイトを公開した後に実行する必要がある 11 のステップを以下に示します。
1. サーバーを保護する
Techopedia によって Ilijia Miljkovac が公開したウイルス対策統計では、サーバーのセキュリティと Web サイトのセキュリティの間に正の相関関係があることが示されています。 これが意味するのは、サーバーのウイルス対策プログラムや侵入検知プログラムなどのツールを採用してサーバーを保護することで、Web サイトの安全性が直接向上するということです。 以下のサーバー セキュリティのベスト プラクティスを確認してください。
- サーバーのオペレーティング システムおよびその他のサーバー側ソフトウェアが最新のセキュリティ パッチで更新されていることを確認してください。
- 潜在的な攻撃を避けるために、サーバー上で実行されている不要なサービスをオフにします。
- サーバーアクセスと管理アカウントには強力なパスワードを使用してください。 セキュリティを強化するには、SSH キーベースの認証も使用する必要があります。
- 資格のあるセキュリティ専門家を雇用して、サーバー環境の定期的なセキュリティ監査を実施してください。
2. 堅牢なパスワード作成を強制する
Web サイトを保護する 1 つの方法は、ユーザーが堅牢なパスワードを作成できるようにすることです。 堅牢なパスワードは少なくとも 8 文字で、大文字、小文字、数字、記号、特殊文字の組み合わせが含まれている必要があります。 また、異なるプラットフォーム間でパスワードを再利用しないようにする必要があります。
やりがいがある場合は、Bitwarden、RoboForm、1Password、Dashlane などのパスワード マネージャー ツールを使用して、強力なパスワードの作成と保存を支援してください。 これにより、パスワードを覚えようとする必要がなくなります。
もう 1 つのオプションは、すべてのユーザー アカウントに多要素認証を必須にすることです。 この場合、ユーザーはアカウントにアクセスする前に、追加のセキュリティ層として携帯電話でコードまたは通知を受信する必要があります。
さらに、パスワードの脆弱性の可能性を最小限に抑えるために、定期的なパスワード変更 (たとえば 3 ~ 6 か月ごと) のポリシーを適用する計画を立ててください。 最後に、ユーザーが一定期間非アクティブになった後に自動的にログアウトするようにサイトを構成して、ユーザーが別のコンピューターにログインした場合の不正アクセスを防ぐことができます。
3. SSL (Secure Sockets Layer) 証明書を取得する
SSL 証明書は、Web サイトとその訪問者間の通信を暗号化するのに役立ちます。 これは、ログイン認証情報やクレジット カード情報などの機密情報を保護することによって実現されます。 SSL 証明書のその他の利点は次のとおりです。
- 転送中のデータをスクランブルして、傍受しようとする人が読み取れないようにすること。
- サイトのアドレス バーに南京錠のアイコンと「https://」プレフィックスが表示され、訪問者の信頼を得るのに役立ちます。
- SSL 証明書の追加は、Web サイトを保護し、ランキングと可視性を向上させるため、SEO の必須事項と考えられています。
4. ソフトウェアを更新する
サイトで古いプラグイン、テーマ、その他のコンポーネントを使用すると、サイトがセキュリティ上の脆弱性にさらされます。 これを回避するには、コンテンツ管理システム (CMS) およびその他の関連ソフトウェアを、セキュリティ パッチが利用可能になったときに自動的にインストールするように設定します。
自動更新のオプションがないソフトウェアの場合は、定期的なチェックをスケジュールして、すぐに手動でインストールできるようにします。 さらに、サポート終了 (EOL) 段階に近づいているソフトウェア コンポーネントに注意して、継続的なセキュリティ アップデートを適用して脆弱性の低いコンポーネントに移行できるようにします。
5. ウェブサイトをバックアップする
安全な Web サイトであっても、ハードウェアの故障、自然災害、サイバー攻撃などの不測の事態に対して脆弱になる可能性があります。 Web サイトを定期的にバックアップすると、予期せぬ問題が発生した場合に、最後にバックアップした状態に復元できます。
プロセス全体をより簡単かつ安全にするために、次の措置を講じることができます。
- サイトが更新される頻度に基づいて、定期的な間隔 (おそらく毎日または毎週) でバックアップが行われるように自動化します。
- Web サイトのサーバーが侵害された場合でもバックアップにアクセスできるように、Web サイトと同じサーバーの場所にバックアップを保存しないでください。
- バックアップからのテスト復元をスケジュールして、バックアップが適切に機能していることを確認します。 この手順は、バックアップ プロセスにおける潜在的な問題を検出するのにも役立ちます。
6. 脆弱性スキャンの実施
Nessus、OpenVAD、Acunetix などの脆弱性ツールを使用して Web サイトをスキャンし、潜在的な弱点を見つけて解決します。 また、Web サイト上でサイバー攻撃をシミュレートし、攻撃がどのように処理されるかを観察する侵入テスト (ペネトレーション テスト) を実行する必要があります。
Web サイトが機密データを扱う電子商取引プラットフォームやオンライン カジノのような場合は、改善が必要な領域を迅速に特定するために、侵入テストを年または半年に一度スケジュールすることを検討してください。
7. 誰がアクセスできるかを制御する
これはユーザー管理とも呼ばれます。 ほとんどの Web サイトには、顧客、訪問者、チーム メンバーごとに異なるアカウント アクセス構造があります。 ユーザー アクセスを保護する方法は次のとおりです。
- すべてのアカウントに対して強力なパスワードの作成を強制します。
- さまざまなレベルのアクセス許可を持つさまざまなユーザー ロールを作成します。 たとえば、編集者はコンテンツを編集できますが、管理者のみがユーザーを削除できます。
- ユーザー アカウントを確認し、非アクティブなアカウントを削除して、攻撃のリスクを最小限に抑えます。
- 異常な場所からのログイン試行の失敗など、不審な動作がないかユーザー アクティビティを監視します。
8. Web サイトのフォームを保護する
フォームはログイン資格情報、連絡先情報、支払い詳細などのデータを収集するため、通常、フォームは脆弱性を狙ってサイバー犯罪者の標的になります。 Web サイトのフォームを次の方法で保護できます。
- 業界のセキュリティ標準を維持する PCI DSS に準拠した支払いゲートウェイと統合します。
- ログイン フォームや問い合わせフォームを含むすべてのフォームで HTTPS を使用して暗号化と保護を強化します。
- ユーザーが特定の形式でのみデータを送信できるように入力検証を実装します。 これにより、ハッカーがフォームに悪意のあるコードや SQL クエリを入力するのを防ぎます。
9. Web アプリケーション ファイアウォール (WAF) を使用する
Web アプリケーション ファイアウォールは、Web サイトとインターネットの間にセキュリティ層を提供します。 受信トラフィックを監視し、クロスサイト スクリプティング (XSS) の試行や SQL インジェクション攻撃などの悪意のあるアクティビティが Web サイトに到達する前にブロックします。 Web サイトに WAF を実装する方法についてセキュリティ専門家に相談することを検討してください。
10. マルウェアのスキャン
マルウェアが Web サイトに感染し、訪問者を悪意のあるサイトにリダイレクトする可能性があります。 また、サイトを改ざんし、サイバー犯罪者に機密データへのアクセスを与える可能性もあります。
定期的にサイトをスキャンして悪意のあるコードやソフトウェアがないか、この可能性に常に注意してください。 また、マルウェアやその他の潜在的な安全性の問題を常に監視する、信頼できる Web サイト監視サービスに登録することも検討してください。
11. セキュリティ意識とトレーニングを確実に実施する
サイバーセキュリティのベスト プラクティス、パスワードの衛生管理、フィッシング詐欺、ソーシャル エンジニアリング戦術についてチーム メンバーを教育します。 これは、Web サイトを管理する人に特に当てはまります。 セキュリティ ニュースレターやブログを購読して、最新の脆弱性や脅威に関する最新情報を入手することもできます。
結論
上記を組み込んでセキュリティの最前線にいる会社で Web サイトをホスティングすることは、ビジネスにとって非常に重要です。
セキュリティ侵害を防ぐための最善の努力にもかかわらず、インシデントは依然として発生する可能性があります。 そのため、迅速に対応して被害を最小限に抑えるための対応計画を立てておく必要があります。 Web サイトの安全性の問題を、手に負えなくなる前に検出して解決できるように、セキュリティ チームのメンバーが常に警戒しているようにしてください。
改めて、ウェブサイトの開設おめでとうございます。 幸運を祈ります!