地方自治体・公共団体様向けホームページセキュリティサービス > Webサイトセキュリティとは

Webサイトセキュリティとは セキュリティ対策は、担当者のセキュリティ意識向上から
個人情報漏洩やサイト改ざんなどの事故を未然に防止しましょう

Webサイトセキュリティとは
情報セキュリティ対策の必要性について
原因別被害事例
ウイルス感染・不正アクセス・人的ミスなど
サイトセキュリティQ&A
セキュリティについての疑問を解決

Webサイトセキュリティとは

自治体担当者

ホームページ担当に任命された、入庁3年目の市役所職員。セキュリティについての知識は全くなし。

自治体責任者

ミハルの上司。ホームページ改ざんやサイバー攻撃のニュースを目にして、現在の情報セキュリティ対策に危機感を持っている。

外部コンサルタント

斎藤部長が探してきた、凄腕の情報セキュリティコンサルタント。

自治体担当者

部長、早速ですけど、ホームページはどこから更新すればいいですか?

自治体責任者

実はコンテンツの更新だけなく、ユーザーが安心して閲覧できるようセキュリティを強化してほしいんだよ。

自治体担当者

私、セキュリティなんて分からないんですけど…。

自治体責任者

大丈夫だよ。詳しい人を呼んであるから!

外部コンサルタント

はじめまして。情報セキュリティコンサルタントの関谷です。
分かりやすく説明するから、安心してね。
Webサイトを運営するうえで、今はコンピューターウイルスやサーバーへの不正アクセスなど、外的リスクがとても増えているの。ウイルスに感染したり、不正アクセスを受けたりすると、サーバーやシステムが停止したり、ホームページが改ざんされたり、重要情報が盗みとられたりという大きな被害をうけることが多いわ。

自治体担当者

そういう犯罪で狙われるのってもっと有名なホームページなんじゃないんですか?

外部コンサルタント

そういう油断が犯人の狙い目よ。これらの犯罪はコンピューターの脆弱(ぜいじゃく)性を利用したものが多いんだけど、Webサーバーの場合はホームページ上で個人情報のやり取りをしていなくても、ページを勝手に書き換えられたりする改ざんとか、他のコンピューターを攻撃するための踏み台にされたり、ウイルスの発信源になってしまったりするなど、攻撃者に悪用されてしまう可能性があるから、注意が必要ね!
ユーザーが安心して利用できるWebサイトを運用していくには、運営側の情報セキュリティ対策が必須なの。それには、まずは情報セキュリティポリシーを策定し、それに基づいて運営していく必要があるわね。詳しくは、総務省策定の「地方公共団体における情報セキュリティポリシーに関わるガイドライン」を見てみて。

自治体担当者

なるほど、実施手順に基づいて具体的な仕様を策定するべきなんですね。

自治体責任者

我々の提供する行政サービスは代えが効かないし、しっかり情報セキュリティ対策を講じて、保有する情報を守って、業務を継続する必要あるってことだな。

外部コンサルタント

では、ここでWebからの脅威についておさらいしておきましょう。

ウイルスとは

ウイルスによる危険のイメージ図  ウイルスは、電子メールやホームページ閲覧などによってコンピュータに侵入する特殊なプログラムです。最近では、マルウェア(“Malicious Software”「悪意のあるソフトウェア」の略称)という呼び方もされています。
 数年前までは記憶媒体を介して感染するタイプのウイルスがほとんどでしたが、最近はインターネットの普及に伴い、電子メールをプレビューしただけで感染するものや、ホームページを閲覧しただけで感染するものが増えてきています。また、利用者の増加や常時接続回線が普及したことで、ウイルスの増殖する速度が速くなっています。
 ウイルスの中には、何らかのメッセージや画像を表示するだけのものもありますが、危険度が高いものの中には、ハードディスクに保管されているファイルを消去したり、コンピューターが起動できないようにしたり、パスワードなどのデータを外部に自動的に送信したりするタイプのウイルスもあります。
 そして、何よりも大きな特徴としては、「ウイルス」という名前からも分かるように、多くのウイルスは増殖するための仕組みを持っています。たとえば、コンピューター内のファイルに自動的に感染したり、ネットワークに接続している他のコンピューターのファイルに自動的に感染したりするなどの方法で自己増殖します。最近はコンピューターに登録されている電子メールのアドレス帳や過去の電子メールの送受信の履歴を利用して、自動的にウイルス付きの電子メールを送信するものや、ホームページを見ただけで感染するものも多く、世界中にウイルスが蔓延する大きな原因となっています。
 ウイルスに感染しないようにするためには、ウイルス対策ソフトを導入する必要があります。また、常に最新のウイルスに対応できるように、インターネットなどでウイルス検知用データを更新しておかなければなりません。

不正アクセスとは

不正アクセスのイメージ図  不正アクセスとは、本来アクセス権限を持たない者が、サーバーや情報システムの内部へ侵入を行う行為です。その結果、サーバーや情報システムが停止してしまったり、重要情報が漏洩(ろうえい)してしまったりと、企業や組織の業務やブランド・イメージなどに大きな影響を及ぼします。
 インターネットは世界中とつながっているため、不正アクセスは世界中のどこからでも行われる可能性があります。

 攻撃者は、インターネットを通じて企業や組織のサーバーや情報システムに侵入を試みます。手口としては、ツールを用いてアカウント情報を窃取するための総当たり攻撃を行ったり、OSやソフトウェアの脆弱(ぜいじゃく)性、設定の不備などを調べて攻撃することが知られています。
攻撃者は侵入に成功すると、その中にあるホームページの内容を書き換えたり、保存されている顧客情報や機密情報を窃取したり、重要なファイルを消去したりすることもあります。
 ホームページの書き換えは、攻撃者が全く関係のない画像を貼り付けるようなものもありますが、最近はホームページにあるリンクやファイルの参照先を不正に書き換え、接続してきた利用者をウイルスに感染させたり、パソコンから情報を盗み取ったりするものが増えています。ホームページが書き換えの被害を受けるということは、その企業や組織のセキュリティ対策が不十分であることを示すことになり、社会に対するイメージ低下は避けられません。
 また、顧客情報などが漏洩(ろうえい)してしまった場合は、その企業や組織の信用が大きく傷つけられてしまうのは言うまでもないことですが、過去には損害賠償にまで発展した事例もあります。このように、不正アクセスは甚大な被害をもたらすこともあるのです。
 不正アクセスによって侵入されたシステムは、攻撃者がその後いつでもアクセスできるように、バックドアと呼ばれる裏口を作られてしまうことが知られています。攻撃者は、そのシステムを踏み台として、さらに組織の内部に侵入しようとしたり、そのシステムからインターネットを通じて外部の他の組織を攻撃したりすることもあります。
 この場合に多く見られる例は、攻撃者によってボットウイルスを送り込まれ、自分がボットネットの一員となってしまうというものです。ボットネットとは、攻撃者によって制御を奪われたコンピューターの集まりで、数千~数十万というネットワークから構成されていることもあります。攻撃者はボットに一斉に指令を送り、外部の他の組織に対して大規模なDDoS攻撃を行ったり、スパムメールを送信したりすることもあります。
 このように、不正アクセスの被害に遭うと、知らない間に攻撃者の一員として利用されてしまうこともあるのです。

脆弱(ぜいじゃく)性とは

脆弱性対策をしているPCとしていないPCのイメージ図  脆弱(ぜいじゃく)性とは、コンピューターのOSやソフトウェアにおいて、プログラムの不具合や設計上のミスが原因となって発生した情報セキュリティ上の欠陥のことを言います。脆弱性は、セキュリティホールとも呼ばれます。脆弱性が残された状態でコンピューターを利用していると、不正アクセスに利用されたり、ウイルスに感染したりする危険性があります。
 このような脆弱性が発見されると、多くの場合、ソフトウェアを開発したメーカーが更新プログラムを作成して提供します。しかし、脆弱性は完全に対策を施すことが困難であり、次々と新たな脆弱性が発見されているのが現状です。
 脆弱性には、いくつかの種類があります。脆弱性が放置されていると、外部から攻撃を受けたり、ウイルス(ワーム)の感染に利用されたりする危険性があるため、インターネットに接続しているコンピューターにおける情報セキュリティ上の大きな問題のひとつになっています。
 脆弱性を塞ぐには、OSやソフトウェアのアップデートが必要となります。たとえば、Windowsの場合には、サービスパックやWindows Updateによって、それまでに発見された脆弱性を塞ぐことができます。ただし、一度脆弱性を塞いでも、また新たな脆弱性が発見される可能性があるため、常にOSやソフトウェアの更新情報を収集して、できる限り迅速にアップデートを行わなければなりません。
 なお、近年はゼロデイ攻撃と呼ばれる脅威が増加しています。ゼロデイ攻撃とは、OSやソフトウェアに対する脆弱性が発見されたときに、メーカーが修正プログラムを配布するまでの間に、その脆弱性を利用して行われる攻撃です。脆弱性が公開されてから、メーカーが対応策を検討して修正プログラムを開発することも多いため、完全な対策は困難と言わざるを得ません。そのため、指摘された脆弱性の内容を確認し、危険となる行為を行わないなど、修正プログラムを適用するまでの間は十分な注意が必要です。

出典:総務省「国民のための情報セキュリティサイト」

PAGE TOP

被害事例

外部コンサルタント 実際に被害を受けた自治体や公共団体の事例を原因別に見てみましょう。

ウイルス感染による被害

某市公共施設の場合被害内容:ウイルス感染 → ウイルス拡散

公共施設ホームページのウイルス感染、ウイルス拡散の恐れ
ある市がサイト運営を委託していた公共施設のホームページで、ウイルスの一種である「Gumblar(ガンブラー)」による改ざんが確認された。
閲覧者のコンピューターがウイルスに感染して、動作に不具合が発生する可能性も報告されていた。

外部コンサルタント

「Gumblar(ガンブラー)」による感染被害は日本でも大きく報じられたから、覚えているんじゃないかしら。

某区立小学校の場合被害内容:ウイルス感染 → ウイルス拡散

区立小学校ホームページがマルウェア感染で、アクセス遮断と被害拡大の恐れ
ある区立小学校のホームページで、Googleのクロールによりマルウェア(悪意のあるソフトウェア)感染の疑いがあることが判明し、そのサイトへのアクセスが遮断された。汚染ファイルを除去後、Googleによる再審査で安全性が確認されたため、通常通りのアクセスが可能となった。

外部コンサルタント

このケースでもサイトを閲覧しただけでマルウェア感染の恐れがあったの。児童の自宅だけでなく、保護者の勤務先のコンピューターまで被害が拡大する可能性もあったのよ。

某県教職員向け外郭団体の場合被害内容:ウイルス感染 → サイト改ざん、サーバー停止

県教職員向け外郭団体でウェブサイトがウイルス感染により改ざん
ある県教職員向け外郭団体のウェブサイトでもウイルス感染が確認され、その後の調査により、ウイルス感染による改ざんも発覚した。
ウェブサイト管理者が異変に気づき応急処置を試みたものの、感染拡大を防ぐためにサーバーを停止。サイトの再構築後、閲覧者へウイルスチェックの注意喚起と謝罪を行った。

外部コンサルタント

ウイルス感染や改ざんが見つかった場合、このケースのようにサーバーを停止するなどの対応に追い込まれる場合もあるの。公共性の高いサイトでは利用者に大変な迷惑をかけることになるから、事前の対策がとても大切ね。


自治体責任者

事故が起きている組織に共通の特徴があるわけではなさそうだね。インターネット上に公開しているウェブサイトというだけで、組織の大小などは関係なく攻撃にあう可能性があるんだなあ。

外部コンサルタント

個人情報を取り扱っていないから、ページ数が少ない小規模サイトだからといって油断は禁物よ。被害にあってしまったら、対応に追われて通常の業務にも支障をきたすことになるわ。

不正アクセスによる被害

某国立大学の場合不正アクセス → 個人情報流出

教員免許更新支援センターのサーバーに不正アクセス、個人情報流出の可能性
ある国立大学では、教員免許状の更新講習を管理するサーバーが不正アクセスを受けた。
すぐにサーバーを停止して、翌日から外部機関による詳細な調査を開始。
調査の結果、2ヶ月以上も不正アクセスを受けていたことが判明し、講習申込者の個人情報が流出した可能性があることを公表した。

外部コンサルタント

不正アクセスに気づいてサーバーを停止しても、流出してしまった個人情報は回収できないわ。事前の対策で大切な情報をきちんと守りましょう。

某市の場合被害内容:不正アクセス → アカウント情報流出

ウェブサイトに不正アクセス、職員のアカウント情報流出の可能性
ある市では、市のホームページが外部から大量の不正アクセスを受けて、断続的に閲覧できなくなったり表示が遅くなるなどの症状が現れた。
30分ほどで復旧して、通常通り閲覧できるようになったものの、調査を進めた結果、職員がサイトを更新する際に利用するIDとパスワードが流出した可能性があることが判明。
この事件後、セキュリティの強化を実施するとともに、定期的にパスワードを変更するなど管理体制を強化した。

外部コンサルタント

ホームページが閲覧できなくなる、表示が極端に遅くなる、などの症状が出た場合、DDoSという大量アクセス攻撃を受けている可能性があるの。すぐに収まったからといって原因を調査しないでいると、実際の被害に気が付かないで被害が拡大する可能性があるわ。

某国立大学の場合被害内容:不正アクセス → 個人情報流出、サイト改ざん

国立大学のサイトが不正アクセスによる改ざんで個人情報が大量に流出
ある国立大学の運営する学術サイトが中国からのサイバー攻撃を受けて改ざんされ、同サイトの登録ユーザーの個人情報1068件が流出した。
同大によると、不正アクセスによるサイバー攻撃を受け、サイトに中国国旗の画像や、中国語の文章が表示されるなどの改ざんが発覚。同大学ではその日のうちにサイトを停止したが、個人情報1068件が流出していたことが数日後に判明し、対象者にメールで報告と謝罪を行った。

外部コンサルタント

このケースのように個人情報の流出の隠れ蓑としてホームページの改ざんが行われる場合もあるわ。悪意のある書き換えは速やかに修正する必要があるし、個人情報流出という形でユーザーにまで被害が及ぶことを考えると、事前の対策の重要性が分かるわね。


自治体担当者

最近はホームページが簡単に更新できるようになったから、余計に個人情報の管理が大事になってきますね。

外部コンサルタント

そうね。これらのケースのように個人情報を扱っている場合、より厳重なセキュリティで大切な情報をきちんと守ることが必要ね。

人的ミスによる被害

某県の場合人的ミス → 個人情報流出

入札サイトへ、誤って個人情報を掲載
土地購入に関する入札について、入札サイトで入札仕様書を公開した際に、誤って土地の所有者の個人情報54名分も合せて掲載していた。外部からの指摘を受けて該当部分が削除されるまで、1ヶ月ほど公開されていた。

外部コンサルタント

不正アクセスに気づいてサーバーを停止しても、流出してしまった個人情報は回収できないわ。事前の対策で大切な情報をきちんと守りましょう。

某市立大学の場合被害内容:人的ミス → 個人情報流出

ある市立大学では、公開講座申し込み者リストが5年以上も公開状態になっていたことが判明。検索エンジンにも登録され、検索も可能な状態だったという。
講座申し込み者による指摘で発覚し、申し込みフォームで自動生成されたリストへのアクセスが制限されていない状態で放置されていた。

外部コンサルタント

メールフォームのようなシンプルなプログラムでも、このケースのような重大な事故につながる場合があるの。業者へ依頼する時もセキュリティを意識して、仕様書を策定する必要があるわ。


自治体担当者

責任重大なことが分かりました…。

外部コンサルタント

個人情報の漏洩はウェブサイトの運用ルールや個人情報管理ルールが確立していないと起こりやすいの。サイバー攻撃や情報セキュリティ事故は、組織の大小に関係なく、いつでも、どこでも起こりえるのよ。

PAGE TOP

Q&A

外部コンサルタント ウェブサイトのセキュリティについて説明してきたけど、最後に何か質問はあるかしら?


自治体担当者

ホームページをリニューアルすることになったんですが、デザインは変更するにしても、他は前回の入札仕様書の通りでいいですよね?

外部コンサルタント

情報セキュリティに関わる状況はどんどん変化しているから、数年前に使用した情報セキュリティ要件だと最近の状況に対応できないことも多いわね。
まずは、市の情報セキュリティポリシーや実施手順の確認をしてみることからはじめてみましょう。


自治体責任者

市のセキュリティポリシーを確認してみたら、方針はあるけど、具体的な対応策や仕様は書かれていなかったよ。

外部コンサルタント

情報セキュリティポリシーを満たすための具体的な手段としてどんな方法があるか、取引先の業者に情報提供をお願いしてみるのも方法の一つですね。
情報セキュリティ対策は、システムを導入して解決できることと、運用ルールによって解決できることがあるので、二つをいかにバランスよく組み合わせるかがポイントになります。


自治体担当者

被害事例を見て、ホームページ管理者としてサイバー攻撃とかがちょっと怖くなってきたわ。どうしても個人情報を取り扱うことになるし、どう対応していけばいいんでしょう?

外部コンサルタント

ウェブサイトのセキュリティ対策でシステム脆弱性への対策を取って、アクセスログの確認など日常の運用の中で、不審な挙動を監視することが重要よ。
ウェブサイトの情報セキュリティ仕様例を参考に、ウェブ制作会社に相談してみるのと良いと思うわ。


自治体責任者

ウェブサイトのセキュリティ対策は、専用のソフトウェアを利用すれば良いのだろうけど、日常の運用も含めると、何をしないといけないのか分からなくなるなあ。

外部コンサルタント

そこがウェブサイトの情報セキュリティ対策の難しいところなんです。
日常のウェブサイトの更新や企画、収集した情報などの管理は、斎藤部長とミハルさんが中心になって行いますよね。
でも、サイバー攻撃の対象になるサーバーそのものは、お二人が担当するのではなく、情報システム課が管理しています。
情報セキュリティに関しては運用管理がとても重要だけど、その活動には広報担当者、各部局のホームページ担当者、情報システム担当者などに加え、外部委託業者などたくさんの人が関わることになりますね。
多くの担当者がそれぞれの立場でウェブサイトの運用に関わるから、対策を徹底するには綿密な情報セキュリティルールが必要になるし、それぞれの担当者ごとに日常の運用の活動内容や非常時の運用も検討することが重要ですね。


自治体担当者

情報セキュリティ事故とか怖いですよね。
そういう時の事故対応とかって、何をすればいいのか想像がつかないんですけど。

外部コンサルタント

被害事例で見たように、情報セキュリティ事故はどの組織にも起こりうるの。どんなに注意を払っていても、未知の攻撃をされたら、手の打ちようがないわ。
事故が起きることを前提として日常の運用ルールを作って、緊急時の対策ルールを決めておきましょう。
例えば、「想定する事故」とその時の「事故発生時・確認時のエスカレーション」「復旧と処置」や「事故の広報活動」などがそれに当たるわ。


Webサイトをさまざまなリスクから守るセキュリティサービスの
ご紹介はこちらをご覧ください

サービス内容はこちら

サーバーセキュリティサービスはシーイーシーにお任せください!

Webからのお問い合わせはこちら お電話でのお問い合わせはこちら フリーダイヤル:0120-057-232 受付時間:平日9:00~17:45