不正アクセス予防の重要性
本ページでは、不正アクセス(意図しない第三者からのアクセス)を防ぐための3つの基本的な方法をご案内しています。
(総務省から発表されている『情報セキュリティ初心者のための三原則』を元にご紹介しています。)
対策がなぜ必要なのか
安心してインターネットを使ったり、サーバーを運用したりするためには、情報に対するセキュリティ対策が必要です。
(※個人法人関わらず、多くの個人情報(アドレス帳や顧客名簿等)を保持しているため「情報セキュリティ対策」が大切になってきています。)
現在、情報漏えい等での法的な罰則はありません。
しかしながら、特にサーバーを運用している企業に対しては、情報セキュリティ対策を怠った場合、下記のような事態が想定されます。
- 企業イメージの失墜
- 信用の喪失
- 損害賠償請求
不正アクセス予防方法
ソフトウェアの更新
お手元の端末やスマートフォンの「OS」や「アプリケーション」「CMS」は、こまめに最新情報が更新されていないか確認が必要です。
- パソコン・スマートフォンのOS(WindowsやMacOSなど)
- アプリケーション(Google Chrome、FLASH Playerなど)
- サーバーにインストールされたCMS(WordPressやCGI)
- サポート期間が終了している環境
ソフトウェアの頒布元では、脆弱性(不正アクセスなどを引き起こしてしまう可能性がある弱い部分)が発見される度に、脆弱性を塞ぐパッチや脆弱性に対策した新しいバージョンがリリースされます。
基本的に、各種アプリケーションやシステムを最新状態に更新する事で、不正アクセスを受けにくくなる(脆弱性が防げる)可能性があります。
ご利用中のバージョンが常に最新の状態になっているかご確認ください。
また、サポート期間が終了しているソフトウェア等は、脆弱性が見つかっても対策されることはありません。他のソフトウェアの利用をご検討ください。
ウイルス対策ソフトの導入
ご利用のパソコンやスマートフォン端末に、『ウイルス対策ソフトなどセキュリティソフト』を導入することで、セキュリティ対策する事ができます。(※1)
ホームページなどを運営されているサーバー側の対策は、『WAF(Webアプリケーションファイアウォール)』の機能をご利用いただくことで、ウェブコンテンツに対する不正アクセスを防ぐ事ができます。(※1)
さくらのレンタルサーバの場合、設定手順は「Webアプリケーションファイアウォール(WAF)の設定」をご参照ください。
※1 必ずしも防ぐことができるという事ではありませんので、あらかじめご了承ください。
認証情報(IDとパスワード)の管理
認証情報(IDとパスワード)は、本人確認のために利用する『個人情報』です。
第三者に盗まれないように気を付ける必要があります。
複数のインターネットサービスで、同じ認証情報を使い回すことにより、どれか1つのサービスから情報が流出した場合、他のサービスにも不正にアクセスされる可能性があります。
- 認証情報の使い回しや、単純なパスワード(誕生日など)を設定しない。
- フィッシング詐欺やマルウェアなどのID、パスワードを盗み取る犯罪に注意する。
- 認証情報を記録したメモ等は第三者に盗まれないよう大切に保管する。(※最初から紙に印刷しないこともリスク軽減になります。)
パスワードの管理を徹底する事で、多くのサイバー犯罪は防げる可能性があります。
パスワードについては、パスワードの強度をはかるツールなどもありますので、参考にしてください。
また、弊社会員メニューやサーバーコントロールパネルでは、2段階認証機能を設けております。
ID・パスワードの管理のみではご不安な場合は、こちらの利用もご検討ください
お手元の端末(パソコン)のチェック
ホームページの更新作業を行う端末(パソコン)がウイルスに感染している場合、認証情報などが常に第三者に漏えいしている可能性があります。
不正アクセスや改ざんが発生した場合は、ウイルスチェックソフトにてお手元の端末(パソコン)のチェックを推奨いたします。
※定期的に端末(パソコン)のチェックをお願いいたします。
不正アクセス・ウイルスに感染したら
既に不正アクセスの被害を受けている・ウイルスに感染してしまっている場合は、被害拡大を防ぐため早急にご利用の環境とプログラムをご確認ください。
サーバー内部データのリセット
サーバー内のデータ(Webコンテンツ)はすべて削除してください。
お客様のホームページが不正アクセスの被害にあった場合、そのほとんどが「バックドア」という秘密の抜け道のような侵入経路が設けられるため、お客様で作成した覚えがないファイルや記述(ファイルの中身)を削除するだけでは問題が解決しません。
一度、すべてのデータ(Webコンテンツ)を削除する必要があります。
データの再アップロード時の注意
サーバー内部データ削除前に保管していたバックアップや、直前にダウンロードしたデータをアップロードする場合は必ず、お客様で作成されたファイルの記述(ファイルの中身)が改ざんされていないかご確認ください。
※弊社では、改ざんの有無については分かりかねます。あらかじめご了承ください。
- サーバー上にあったHTMLソースと、手元に置いてあるオリジナルのHTMLソースを比較
- HTMLソースをセキュリティソフトでスキャン
改ざんされているデータを再度アップロードすると、すぐにまた不正アクセスの被害を受けてしまいます。
確実な方法といたしまして、アップロードするデータはすべて新規作成することを推奨いたします。
パスワードの変更
すべての確認を完了後、推測されにくいパスワードへ変更してください。
パスワード再設定における注意事項
以下のようなパスワードは推測されやすいため、避けてください。
- ユーザ名とパスワードが同じ文字列
- パスワードが短い、数字のみや英字のみ
- 運営されているドメインと同じ文字列(似ている文字列)
- 初期状態のパスワード(admin等)
- 英文字(大文字、小文字)、数字、記号の内、2種類以上の複合でパスワードを作成する
- 長い文字列のパスワード(最低でも8文字以上)を作成する
- 第三者に推測されにくい文字列を使う(名前、企業名、生年月日など容易に推測される単語を利用しない)
- 単語や意味のある文字列を利用しない
- 複数のシステムで同じパスワードを利用しない
パスワードをより強固にするためには、以下のような作成・管理方法をおすすめします。
ブロックリスト登録解除申請
ご利用のサーバーがスパムメール送信に利用され、サーバーがブロックリストに登録された場合は、該当のブロックリストサービスを使用しているメールサーバーへメールを送信できなくなったり、迷惑メールに振り分けられたりします。
ブロックリストの登録状況調査や登録解除をご希望の場合は、必ず弊社までご依頼ください。