020セキュリティ対策シリーズ② ホームページのセキュリティ対策の基本
本記事は、ITに詳しくない一般の事業者が自社ホームページのセキュリティについての少しだけ詳しい知識を得るためのものなので、可能な限り専門的な内容を排除しています。
コンピュータウイルスにも流行りがあります。感染経路も様々です。そこで、今回は、自社ホームページの基本的なセキュリティ対策についてお話しします。
専門家ではない方が気にしなければいけない、ホームページのセキュリティには、大きく分けて2種類あります。
- 不正アクセスに対するセキュリティ
- ホームページとWEBサーバー※との間で行われる通信に対するセキュリティ
※ホームページが動作するサーバー
すぐに対策できるセキュリティ対策は、2の通信に対するセキュリティです。
自社のホームページのURLが“http://”になっている場合、なるべく早く“https://”にしましょう
少し、詳しく解説します。
暗号化通信技術のSSL(Secure Sockets Layer)を使ってセキュリティをかけるとhttpがhttpsになるということです。
httpsとは、暗号化通信で保護されたホームページのことだと理解してください。
通信が暗号化されていない時の代表的なリスク
- 通信を傍受されると情報が取られる可能性があります。
ECサイト、予約サイト、問い合わせフォーム、採用フォームなどが危険に晒されます。特に、お客様がフリーWiFiなど安全でない方法でアクセスすると、個人情報を抜き取られる可能性が飛躍的に高くなります。
アクセスしたWEBブラウザからCookie情報を抜き取られて成りすましして、ホームページへアクセスされるとお客様マイページが閲覧できたり、自社スタッフなどの場合は、社内情報にアクセスできてしまったり等、かなり厄介なことになります。
お問合せフォームだけにSSLを設定してhttpsにしても守れないので、サイト全体に設定することをお勧めします。
- 検索結果に悪影響がある可能性がある
httpsはGoogleが推奨していて、将来的には、httpのままだと、Googleやyahooの検索結果に反映されないことになるかもしれません。
通信を暗号化して傍受されても、情報漏洩に対する安全性が高くなるだけです。
基本的なセキュリティ対策
SSLの設定は、ホームページが設置されている場所(ホスティング)されている状況(どこのサービスを使っているかなど)により、具体的な方法が変わるので、よく分からない方は、無料相談を行なっていますので、よろしければご利用ください。
httpsの限界(残された問題点)
- ①SSLを設定(httpsに)していても、ハッキング(クラッキング)は防げないので、別の対策が必要になります。
- ②SSLでは、傍受自体は防げません。
TLS(Transport Layer Security)について
SSLではなく、TLSという名称の場合があります。どちらか選ぶ場合は、TLSにしてください。TLSはSSLの新バージョンのことで、現在、SSLを設定すると、ほとんどの場合、SSL/TLS証明書を取得することになりますので、SSLしか選べない場合でも実質TLSが設定されています。
最後に自社ホームページのSSL設定状況のチェックできるサイトをご紹介します。
チェックしたら、図の赤丸で囲われたところを見てください。
これは、当サイトのテスト結果ですが、TLS1.3とTLS1.2がYesになっていれば大丈夫です。
