現在、企業情報や製品・サービス提供等のあらゆる情報がインターネットを通してウェブサイトで確認できる状況にありますが、そのすべてのウェブサイトがサイバー攻撃の標的となる可能性があり、運用するうえでセキュリティ対策を行うことが求められます。

とは言っても、ウェブサイトを制作・運用する担当者は、作業に追われ手が回らない、予算の問題やそもそもセキュリティの知識が不足しているなど、セキュリティ対策が十分ではないケースがよくあります。

今回はそういった制作・運用担当者に向けて、セキュリティ対策を少しでも効率よく確認・実装するためのひとつの手法として参考となる内容をお伝えします。

安全なウェブサイトの運用を行うには

「攻撃被害にあわず安全にウェブサイトを運用したい！」というのは誰もが願うところですよね。それを実現するヒントとして、IPA（独立行政法人情報処理推進機構）が発信している『安全なウェブサイトの運用管理に向けての20ヶ条』を活用する方法があります。

安全なウェブサイトの運用管理を行うためには、状況に応じた対策が求められます。 そのためには、まず現在の状況を把握することが重要になります。例えば、「自社のウェブサイトのどの対策が不十分か？」「見逃しや気づいていない部分はないか？」 などの視点で確認し、現在の状況を見直しながら把握することが必要です。

その見直すべき視点を、セキュリティ対策のポイントとなる４つのカテゴリ（ウェブアプリケーション・ウェブサーバ・ネットワーク・その他必要なこと）に分けて、効率よく把握するための道標となるのが、前述した『安全なウェブサイトの運用管理に向けての20ヶ条』です。

出典：「安全なウェブサイトの運用管理に向けての20ヶ条」ページ

ここで対応が不十分とわかった箇所に対し、どのような対策が有用かについても解説でわかりやすく確認することができるため、効率よく現状の把握から対策までの流れを知ることができます。また、詳細記事や必要ツールへのリンク遷移も用意されているので、より精度の高いセキュリティ対策の対応を行うことも可能です。

さいごに、今回ご紹介した内容はセキュリティ対策案を効率よく行うための有効な手段のひとつですが、どの対策を選択するにせよ、「これをやったからあとは安全に運用できる」というものはなく、定期的なチェックを継続していくことで、安全な運用に繋がってく。ということも意識していただければと思います。

■IPA 情報処理推進機構　ウェブサイトのセキュリティ対策のチェックポイント20ヶ条 チェックリスト
https://www.ipa.go.jp/files/000044403.xlsx

■IPA 情報処理推進機構　安全なウェブサイトの運用管理に向けての20ヶ条
https://www.ipa.go.jp/security/vuln/websitecheck.html