Web改ざん対策ツール・サービスの選び方|必要な理由も解説
Web改ざんの攻撃による被害は、ECサイトの停止による販売機会の損失だけでなく、情報漏えいや会社の信用失墜につながります。これにより、ブランドイメージを大きく落としてしまいかねません。
Web改ざん対策にはツールを使うのが効果的ですが、近年はサービスが増加しており、どのように選べばよいか悩む担当者も多いのではないでしょうか。
そこで本コラムでは、Web改ざん対策ツールの基礎知識について解説した上で、Web改ざん対策ツールを選ぶ際のチェックポイントを10個ご紹介します。また、併せてツール以外のWeb改ざん対策についても解説します。
目次
Web改ざん対策ツールとは?なぜ必要?
Web改ざん対策ツールは、個人で使用する機会があまりないため、そもそもどのようなツールか知らない方もいるのではないでしょうか。
そこで本章では、Web改ざん対策ツールの概要について解説します。
Web改ざん対策ツールとは
Web改ざん対策ツールとは、監視対象となるWebサイトが改ざんされていないかを監視し、改ざんを検知した場合には管理者に通知したり、自動で改ざん箇所を復旧させたりするツールのことです。
サイバー攻撃は、異変に早く気づき対処することが重要ですが、主に以下2つの理由から目視による改ざん状況の監視が難しくなっています。
- ECサイトや自社サイトは日々情報が更新され、監視対象となるコンテンツの量が増えていく
- 手口が巧妙化している(ページ上の見た目は変わらないが、リンクに不正なスクリプトが仕込まれているなど)
そのため、自動でWebサイトを監視するWeb改ざん対策ツールが利用されています。
Web改ざん対策ツールが必要とされる背景
被害件数
Web改ざん対策ツールが必要とされる背景には、人間の目視による改ざん監視が難しいことのほか、Web改ざんの被害件数にもあります。
2019年と2022年の被害件数を比較するとその件数は約2.3倍に上昇しています。
Webサイト改ざん攻撃の被害推移
2019年 | 2020年 | 2021年 | 2022年 | 2023年 |
---|---|---|---|---|
1,013件 | 1,261件 | 2,018件 | 2,382件 | 869件 |
※一般社団法人JPCERTコーディネーションセンター「インシデント報告対応レポート」を基に作成
2023年は869件と減少した一方で、2023年の8月、9月には複数の企業においてある日突然ホームページに「破産手続き開始」などと表示される改ざん被害が発生しています。 また、警察庁においても、2023年の5月、6月に連続でウェブサイトへの攻撃に関する注意喚起を行うなど、報告件数としては減少しているものの油断できない状況が続いています。
(出典:警察庁 サイバー警察局便りVol.6「御社のウェブサイト改ざんされていませんか?」(注意喚起))
(出典:警察庁 サイバー警察局便りVol.7「御社のウェブサイトが狙われています!」(注意喚起))
機会損失
一般的に、Webサイトの改ざん被害発生後は、復旧作業のためにWebサイトを停止させる必要があります。特に、ECサイトを運営してる場合は停止期間中に商品の販売を行うことができないため、大きな機会損失となる可能性があります。
さらに、Webサイトを復旧させるための費用も発生するほか、システムを復旧させたとしてもその後に顧客がなかなか戻ってこないことも課題となっています。
個人情報保護委員会が2022年3月に公表した「EC サイトへの不正アクセスに関する実態調査」によると、改ざん被害に伴う損失金額について、具体的な損失金額は、EC サイト上の取引規模や停止期間によりばらつきがみられるが、1,000 万円以上の
損失が発生したと回答した事業者が4割以上であり、数億円の損失が発生した事業者もみられた。
としており、その損失の大きさがよくわかると思います。
そうした被害を抑えるためにはいかに早く被害を検知できるかどうかが鍵となっており、ツールを活用した改ざん検知が重要になってきます。
(出典:個人情報保護委員会 EC サイトへの不正アクセスに関する実態調査)
Web改ざん対策ツールを選ぶ際のチェックポイント10選
Web改ざんから守ってくれるWeb改ざん対策ツールですが、世の中には多くの種類があるため、どのような基準で選べばよいかお悩みの方も多いと思います。
そこで本章では、Web改ざん対策ツールを選ぶ際のチェックポイントを10個ご紹介します。
改ざん検知のチェック頻度
サイバー攻撃はいつ行われるかわかりません。そのため、あまりにも改ざん検知のチェック頻度が低いツールを選んでしまうと、攻撃されたことに気づかず被害が拡大してしまいます。
改ざん検知のチェック頻度は製品によって異なりますが、常時監視が可能な製品もあれば、1日〇回と決まっているものもあります。当然チェック頻度が高ければ改ざん攻撃にあってもすぐに検知できるため被害は小さくなりますが、その分価格は高くなる傾向があります。
必要なチェック頻度は、自社で運用するWebサイトの規模や重要度によっても変わってきますので、予算も考慮しながら自社に合った製品を選択しましょう。
自動復旧の有無
Web改ざん対策ツールには改ざんを検知するだけでなく、改ざん箇所を自動で修復する「自動復旧機能」が搭載されたものもあります。
異常を検知すると自動で修復するため、被害の拡大を防止するのはもちろん、担当者による復旧作業の手間を大幅に削減してくれます。
ただし、自動復旧機能の付いたサービスはコストが高くなる傾向にあるため、予算や自社にとって本当に必要なのか考慮して選ぶことをおすすめします。
対応ドメイン数
Web改ざん対策ツールの種類やプランによって、対応可能なドメイン数は異なります。ドメイン数を無制限としている場合もあれば、1ライセンス1ドメインとしているケースもあります。
自社が保有するドメイン数に合ったサービスを選ぶことで、コストを最適化できるでしょう。
対応ページ数
Web改ざん対策ツールは、サービスやプランによって改ざん検知が可能なページ数も異なります。
基本的にはWeb上に公開しているコンテンツを数え、その数がカバーできるようなサービス・プランを選ぶとよいでしょう。
サービスによっては、ベンダー側でページ数を調べてくれるため、自社サイトのページ数がわからない場合は確認してみましょう。
Webサイト更新の方法
Web改ざん対策ツールは意図しない改ざんを検知・復旧するために活用するものですが、Web担当者による意図した更新まで検知・復旧してしまうとWebサイト運用に支障をきたしてしまいます。
Webサイト更新方法は、導入するツールにより異なります。事前に更新方法を確認し、自社で運用可能か検討した上で導入するようにしましょう。トライアルなどを通じて実際の担当者に試してもらうことも大変有効なので検討してみましょう。
サーバーへの負荷
Web改ざん対策ツールの中には、サーバーに監視用のソフトウェアをインストールして利用するものもあります。もしソフトウェアのCPU負荷が大きいものを選んでしまうと、既存環境に負担がかかり、業務に支障が出てしまう恐れがあります。
そのため、Web改ざん対策ツール導入に伴うサーバーへの負荷は確認しておきましょう。ベンダーのWebサイトでわからない場合は、直接問い合わせておくと安心です。
稼働要件
Web改ざん対策ツールはサービスによって稼働要件が大きく異なります。もし自社が稼働要件を満たしていないにもかかわらず導入を急いでしまうと、後に「対応していなかった」となりかねません。
確認しておきたい稼働要件の例は以下のとおりです。
- メモリ
- CPU
- 導入必須ソフトウェア
- 対応OS など
稼働要件を確認し、確実に使えるツールを選びましょう。
初期費用・月額料金
Web改ざん対策ツールは、基本的にWebサイトが存在する限り使い続けることになります。そのため、あまりにも初期費用・月額料金が高すぎると、継続して使い続けることが難しくなります。
自社のサイトを守るために多くの機能を盛り込みたくなる気持ちはわかりますが、継続して自社のサイトを保護していくためにも、予算に合ったものを選択しましょう。
サポートの有無
Web改ざん対策ツールは自動で改ざんを検知もしくは復旧まで行うツールですが、はじめて導入・運用を行う場合はサポートしてほしいと考える担当者も多いと思います。
例えば、ツールの具体的なインストール方法や、異常を検知した場合にどのように復旧させればよいかわからないケースもあるでしょう。そのため、サポートの有無やどこまでサポートいただけるのかを確認しておきましょう。
無料トライアルの有無
Web改ざん対策ツールは、実際に利用してみなければ使い勝手やサーバーへの負荷、費用対効果が得られそうかどうかはわからないものです。そのため、無料トライアルがあるかどうかは必ず確認しましょう。
無料トライアル中であれば自社と相性が悪かった場合にも選び直しができるため、気になるものがあれば積極的に活用し、試してみることをおすすめします。
巧妙化する改ざん攻撃の早期検知・対応は「ALSOK ホームページ改ざん対策」にお任せ
Web改ざん対策ツールをお探しであれば、ALSOKのホームページ改ざん対策ツールをご検討ください。
ALSOKでは、以下の2種類のホームページ改ざん対策ツールをご用意しております。
名称 | 特長 |
---|---|
ALSOK ホームページ改ざん検知・復旧サービス |
|
ALSOK ホームページ改ざん検知サービス |
|
それぞれ特長の異なる2種類を用意しておりますので、自社の用途・予算に合ったものを選択できます。
検知・復旧サービスは無料トライアルも実施しているため、お気軽にお問い合わせください。
Web改ざん対策ツール以外の対策方法
対策ツールを導入することはWeb改ざん対策で非常に重要ですが、セキュリティを強化するのであればほかにも実施できることは複数あります。
そこで本章では、Web改ざん対策ツール以外の対策方法を4つご紹介します。
強いパスワードの作成・厳重な管理
強いパスワードの作成・適切な管理はWeb改ざん対策における基本かつ必須の対策です。
もしパスワードを流用していたり、すぐにわかるような文字列にしてしまっていたりすると、Webサイトが脅威にさらされる危険性が高まってしまいます。
ワンタイムパスワードや多要素認証も活用することでより対策を万全にしましょう。
CMSアップデートなどの脆弱性対応
WordPressなどのCMSはアップデートが頻繁にあり、放置すると脆弱性を突かれてWeb改ざんの被害に合う可能性があります。アップデートの情報を放置せず、見かけた場合にはすぐに対応するようにしましょう。
なお、WordPressの場合はプラグインのアップデートも必須となるため、こちらも忘れずに行いましょう。
ウイルス対策ソフトなどを含めた多層防御の導入
Web改ざん対策ツールは改ざんされた後に対応するツールです。改ざんされる前にはネットワーク内への侵入を許している場合がほとんどであるため、侵入を防ぐためのセキュリティ製品も導入しておくとより安心です。
例えば、ファイアウォールやWAF、ウイルス対策ソフトなど、複数の製品を導入することで多層防御を実現するのが有効です。
また、IPS(侵入防止システム)は侵入を検知しブロックまでしてくれるため、万が一Webサイトに脆弱性が見つかった場合にも、改修までの時間を確保できます。
不要になったWebサイトの停止・削除
使わなくなったWebサイトがそのままサーバー上に残っている場合、そのサイトに関する管理が十分でなく、脆弱性が存在するものがそのままになっている可能性が考えられます。
もし攻撃者に気づかれてしまった場合、脆弱性を突かれて不正利用されてしまうこともあります。不要になったWebサイトは、停止・削除しておくと安心です。
まとめ
最後に、Web改ざん対策ツールを選ぶ際の基準となる10個のポイントを、もう一度おさらいしておきましょう。
- 改ざん検知のチェック頻度
- 自動復旧の有無
- 対応ドメイン数
- 対応ページ数
- Webサイトの更新方法
- サーバーへの負荷
- 稼働要件
- 初期費用・月額料金
- サポートの有無
- 無料トライアルの有無
上記の10点を確認しておくことで、Web改ざん対策ツール選びに失敗する可能性は大きく下げられるはずです。自社に合ったWeb改ざん対策ツールを導入し、改ざんによる被害を予防しましょう。
もし、Web改ざん対策ツール選びでお悩みであれば「ALSOK ホームページ改ざん対策」の利用をご検討ください。
検知・復旧サービスについては無料トライアルも実施しておりますので、まずはお気軽にお問い合わせください。