脆弱性やセキュリティホール、もしくは詐欺的手法を介したWeb改ざんが後を絶ちません。企業や組織として信頼を失わないようにするためにも、Web改ざんによる被害やリスクを起こさないようにすべきなのは明白です。
今回はWeb改ざんに関する基礎知識、そしてWeb改ざんに対する具体的な対応策・技術についてお話します。

Web改ざんに関する基礎知識

はじめにWeb改ざんに関する基礎知識について簡単に説明します。

Web改ざんとは

Web改ざんとは、公開しているサーバーにある情報、オンラインサービス、ホームページなどが書き換えられてしまうことを指します。ドメインやサーバーの所有者や運営者の意図しない情報が発信されてしまったり、意図しない機能や使い方をされてしまったりする可能性が高い脅威です。
例えば、公的機関の法的な情報が書き換えられてしまえば、それを信じた一般の人が誤った行動や理解をしてしまうことが考えられます。また、悪質なサイトへの誘導や悪意のあるスクリプトおよびプログラムをインストールさせられてしまうなど、間接的にサイバー攻撃に加担してしまうことも大きなリスクです。

Web改ざんの主な手口

Web改ざんの手口はサーバーやサイトの管理者権限の略取、デバイスの乗っ取り、サーバーの脆弱性の悪用、また権限の誤りによって、サーバー上の情報を書き換えることで、本来とは意図しない挙動をさせるものが挙げられます。
サーバーにある情報は基本的に「閲覧はできても編集はできない状態」です。そのため、権限を持っているか、編集できる状態であれば改ざんできてしまいます。また、ディレクトリ（フォルダ）へのアクセス自体も権限が設定されているため、本来であれば情報漏えいすることはありませんし、データ改ざんもあり得ません。
しかし、それでもWeb改ざんが起きてしまうのは、機械的なサイバー攻撃だけでなく、心理的かつ詐欺的な手法と組み合わせることで、管理者権限やIDおよびパスワードを奪われたり、乗っ取られたりしてしまうためです。

Web改ざんで起こり得る被害やリスク

管理者権限を奪われたり、IDやパスワードが漏洩したりしてしまえば、外部からでも簡単に設定の変更ができてしまいます。データ改ざんどころか情報漏えいに繋がる危険性もあります。また、内部不正という形で、管理者権限を持つ人、IDやパスワードを持つ人が悪意を持って操作すれば、Web改ざん、データ改ざん、情報漏えいが起こることも事実です。
外部ユーザー的には、企業や組織の公式ページだと思ってアクセスし、何らかの情報を入力した場合、それがそのまま悪意のある第三者に送信されてしまう可能性があります。そもそも、アクセスしたページから転送させられてしまえば、フィッシングサイト、マルウェアの仕込まれたサイトによる被害やリスクにも遭遇してしまうでしょう。
その他、金銭的な被害として損害賠償や保証、信頼や社会的立場を失う可能性、従業員や顧客からの信頼の低下など、企業や組織として存続が危ぶまれる可能性もあります。

Web改ざんに対する具体的な対応策・技術について

次にWeb改ざんに対する具体的な対応策・技術について解説します。

CMS・OS・サーバーなどを最新の状態にアップデートする

Web改ざんに対する具体的な対応策の基本として、CMS・OS・サーバーを常に最新かつ安全な状態にしておくということがあります。既知の課題や問題を解決しておくと同時に、新しい脆弱性にも即時対応できるようにしておくべきです。
ただし、「CMSやOS、サーバーに関する技術やノウハウがない」ことで、放置してしまうことも考えられます。そういった場合は技術やノウハウを持つベンダーにアウトソーシングや外部委託することで「技術的リソースを確保すること」を検討してみてください。
また、社内や組織内で利用するデバイス・OS・ソフトウェアのアップデートもしっかりと行っておきましょう。古いOS・ソフトウェア・デバイスですと、脆弱性が残ったままであり、非常に危険です。設備投資＝セキュリティへの投資であることを忘れず、「今のままでも使えるから」と放置しないことをおすすめします。

サーバーの検知やセキュリティに関するサービス、機能、オプションを利用する

外部レンタルサーバーを借りている場合、Web改ざんを検知するサービスや機能、オプションを提供していることがあります。Web改ざんを防ぐ方法として効果的ですので、利用を検討して、導入しておきましょう。
また、検知やセキュリティに関するサービス、機能、オプションに関する「コスト」で導入に踏みきれないことがあるかもしれません。よくよく考えていただきたいのが「何かあった時の被害」よりも、セキュリティに投資するコストの方が安く済むのは確実です。
何かあってからでは遅い、何も起きないようにするためのコストとして、セキュリティへの投資を行いましょう。

監視、制限や制御できる仕組みの導入

管理者権限の奪取や乗っ取りによる被害を防ぐためにも、監視、制限、制御できる仕組みを導入しましょう。監視によって不正な操作が行われていないか、普段とは違う操作がされていないかなど、デバイスやアカウント自体の乗っ取りを監視・検知できるようにするということです。
また、アクセスの制限や制御、適切な権限の割り振りする技術があれば、そもそも許可された人・デバイス・ネットワークからしか操作できない、もしくはアクセスすらできないようにすることもできます。
同時に、監視ができる体制を人的なリソースとして確保しておくことも大切です。セキュリティインシデントが発生しているのに把握できていない、把握はできていても初動対応が遅いなど、人的な理由でセキュリティ性が損なわれることは避けましょう。

外部からのサイバー攻撃と内部不正に関する対策も必須

Web改ざんは、直接的にサーバーを狙われることもありますが、管理者権限やID・パスワードの奪取や略取、そしてデバイス自体の乗っ取りによる可能性も十分に考えられます。そのため、外部からのサイバー攻撃と内部不正の両面からセキュリティ対策を行うことが大切です。
もし、統合的なセキュリティ体制や基盤が構築されていないのであれば、IT資産管理や情報資産管理に強いベンダーのセキュリティ製品の導入をおすすめします。セキュリティ基盤が構築されるだけでなく、多角的かつ多段的なセキュリティ教科が可能になるためです。外部からのサイバー攻撃と内部不正の両面の対策につながるということも覚えておきましょう。

セキュリティ人材の雇用と維持と権限を持つ人のセキュリティリテラシー

セキュリティ人材の雇用と維持、安定的なセキュリティチームの運用も必須と言えます。前述したIT資産管理や情報資産管理の仕組み・技術を持つセキュリティ製品と合わせて、セキュリティを強化していきましょう。
また、権限を持つ人、または個人情報や顧客情報、機密情報を取り扱う人のセキュリティリテラシーの向上も忘れてはいけません。社内や組織内全体でシステム的かつセキュリティ体制によってセキュリティを維持しつつ、社内や組織内で働く経営陣・管理職・従業員各々がセキュリティに対して興味を持ち、具体的に作業や業務に落とし込むことにも注力してみてください。

まとめ：IT資産管理や情報資産管理で一元的なセキュリティ体制を構築しよう！