サイバー攻撃による脅威に対して、各企業でもWebサイト（ホームページ）のセキュリティ対策強化に取り組まれているかと思います。

一方で、基幹システムなどと異なり、Webサイトのセキュリティ対策に関しては多くの予算とリソースをつぎ込みにくいのが、各企業の実情ではないでしょうか。
また、Webサイトのセキュリティ対策に関する情報が多い割には、何をどの程度実施すべきかについて整理されている情報は少ない気もします。

そこで、この記事では、「Webサイトのセキュリティ対策ってどんな種類があるの？」「現実的なWebサイトのセキュリティ対策ってどの程度すればよいの？」といった疑問について解説します。

１．Webサイトのセキュリティ対策の種類とは？

Webサイトのセキュリティ対策における実務では、次の３つの方法を適切に組み合わせて、予算とリソースの最適化を図っています。

第１の方法は、サイバー攻撃をリアルタイムかつ機械的に見つけて、不正なアクセスを弾くという方法です。
Webサイトに脆弱性があるかどうかとは関係なく、Webサイトへの攻撃自体を見つけて弾くWeb Application Firewall（WAF）を選定し、適切に設定することが主な対策となります。

第２の方法は、Webサイトの脆弱性（セキュリティホール）を見つけて潰す方法です。
脆弱性は対策方法で分けた場合、コーディングした部分で発生する脆弱性と、使用したソフトウェア(CMS、ライブラリ、フレームワーク、ミドルウェア、OS)由来の脆弱性に分かれます。前者ではコーディング箇所の修正、後者ではソフトウェアのバージョンアップを行うことで脆弱性を無くしていきます。

第３の方法は、攻撃を受けた場合を想定した体制を整備して影響を少なくする方法です。 万全のセキュリティ対策を施すことは理想ですが、万が一の場合を潰すために多大なリソースをかけることもできない為、通常は攻撃を通してしまった場合の復旧体制（バックアップ等）を整えていくことになります。

２． Webサイトのセキュリティ対策に関する現実的な手法

あくまで最近の傾向の話になりますが、ある程度の規模の企業でも、Webサイトのセキュリティ対策コストについては、最適化を検討・実施する企業が増加していると感じています。

まず、Webサーバー内部に可能な限り秘密情報や個人情報が残らない体制を構築し、かつバックアップ体制を整備することで、万が一の場合でも被害を拡大させず、迅速に復旧できる体制を構築します。

どうしても統合基幹システムなどと連動せざるを得ないようなケースでは、そういうWebサイトだけにリソースを傾斜配分できるように、他のWebサイトを切り分けて整理します。

次に、Webサイト、CMS、プラグイン、ライブラリ、フレームワーク、ミドルウェア、OSの脆弱性を定期的に診断して、各ソフトウェアをアップデートしていきます。 脆弱性の診断については、当サイトにてチェックツールを公開しておりますので、是非試してみてください（JavaScriptライブラリの脆弱性については、Googleが公開しているPageSpeed Insightsでチェックできます）。

このアップデート作業をすることで、そもそも攻撃の数が減少するという効果もあるため、非常に重要な対策となります。

この為、バージョンアップ毎に挙動をテストし、問題があれば解決していく作業が発生しますので、緊急ではない場合は脆弱性が見つかったら即対応という形ではなく、１ヶ月に１回とか3ヶ月に１回等の期間ごとに定期的に対策を実施していくケースが多くなります。

前述のように、脆弱性を定期的にチェックし潰していくという対策には、いくばくかのタイムロスが発生します。
また、ゼロディ攻撃と言われる、まだアップデートが対応していない攻撃もあります。
そこで、WAFを適切に設定することで、攻撃自体の発見と遮断をする防御網を構築しておきます。
このWAFは万能ではありませんが、昨今のWAFは年々進化しており、対象範囲、精度共に高性能化していっています。
なお、Webアプリケーションに関するファイヤーウォールだけでなく、ネットワーク自体を守るファイヤーウォール等は、サーバー側で設定することになります。

以上の対策を、企業IT部門とWeb保守会社が役割分担をしながら実施していくことになります。