WEBサイトの安全を確保する、2回目です。

さて、apache strursなどのフレームワークを利用している場合、一番安全なのは「ソフトウェアのバージョンアップ時にフレームワークもアップデートする」です。自社でソフト開発を行っている場合には、フレームワークのアップデートも簡単でしょうが、外注しているソフトを、セキュリティー対策という名目だけで予算が確保できるほど潤沢な予算があるとは思いません。

また、普通はWEBサイトの前にロードバランサーという装置やUTMという装置が入っており「SQLインジェクションアタックなどの攻撃を検知したら接続を切る」という対策がはいっています。それでも情報流出事件が起きたことからわかるとおり、完全ではありません。でも、少しでも危険度を下げていきたいですよね？

どうやったら危険度を少しでも低下させることが出来るでしょうか？

対策方法を簡単に割り出すために、フローチャートを作成してみました。

まず、一番安全にサイト運営できるのはSSLクライアント証明書を利用することです。銀行振込などで利用さている方法で、大手銀行などでは「ワンタイムパスワード」を発行することで安全性を高めております。

WEBサーバとセットで対策が必要になるのでレンタルサーバでは利用できないとおもいます。また利用者を完全に縛ることになりますので「社内のシステムを外部で利用する」「特定の人向けのシステムである」など、システム利用者が限定されている場合にのみ利用できることになります。

こちらの対策はSI会社に相談して

・レンタルサーバで実施できるのか？WEBサーバを構築する必要があるのか？を考える必要がある

 ・WEBサーバ（レンタルサーバ）の管理方法および運用ルールを決める

 ・証明書を取得してWEBサーバを調整する

・クライアント端末（PC・タブレット・スマートフォン）にSSLクライアント証明書をインストールする

・動作確認を行う

・クライアントインストール手順書を作り、利用者に周知する

という作業が必要になります。

これら作業が自社で出来るなら問題はありませんが、ほとんどの会社では「出来ることが分かっても、なかなか踏み切れない」という人がほとんどだと思います。その時には自分のようなITコンサルを頼るとか（駆け出しで宣伝のようになりますが（笑））、SI会社やコピー機の営業さんに軽く相談してみるとかしてみてください。

この方法は「作業報告書をタブレット端末でアップする」など、自社の作業効率のためにWEBシステム化する場合に応用範囲が広く、経費削減になる可能性が多大にあります。接続先が絞れれば、システムクラッキングできる対象者が自動的に絞られるので安心してシステム利用が可能になります。

また自社の業務内容が、海外営業拠点および生産拠点に及んでいる場合でも「国」という単位で地域の絞り込みができますから、特定の国以外からのアクセスを禁止することで、さらに安全性が高まります。

こういった使い方をするとフレームワークにセキュリティー脆弱性があったとしても、とりあえず無視して利用するという方法が利用できます。