重要情報を持たないサイトでもセキュリティ対策は必要か？

「攻撃されるほどの情報はないから対策しなくていい」は本当か

Webサイトを運営している方のなかには「このサイトでは攻撃されるほど重要な情報は扱っていないから、セキュリティ対策はしなくても大丈夫」という考えの方もおられるかも知れません。果たしてそれは本当でしょうか。

実際にWebサイトが侵害されたという報道を見ていると、必ずしもそうとも言い切れない、重要な情報を持っていないサーバーだからといって決して油断していてはいけないというのが実情です。

このような背景から、利用者の信頼に応えながら継続的にビジネスを提供するためには、セキュリティへの取り組みが不可欠と言えるのです。

Webサイトを改ざんされユーザーが悪意あるサイトへと誘導される

個人情報や機密情報を取り扱わず、ただの公開情報だけを配信している静的なWebサイトであったとしても、攻撃者によってそのサイトが改ざんされ、サイトを訪問した利用者が悪意あるサイトへと誘導されるといったことは過去にも多数発生しています。

例えば、企業のWebサイトが改ざんされてサイト閲覧者のPCに対してマルウェアが配信されたという事例や、教育機関のWebサイトが改ざんされアダルトサイトに誘導されるようになっていたという事例などが過去には報道されています。このような、閲覧してきた利用者を悪意あるサイトへ誘導するという目的での改ざんでは、自組織を訪問してくれた利用者の信頼を裏切ることになり、たとえサイトからの情報漏えいなどが発生しなくても信用の毀損やブランドイメージの低下につながります。

 

 

 

組織内へ侵入するための踏み台にされる

サイトを訪れた利用者への被害だけではなく、脆弱なWebサイトが踏み台にされ内部ネットワーク上のシステムや取引先のシステムが侵害されることもあり得ます。

Webサイトには重要な情報がなくても、そのWebサーバーが社内システムに通じている場合には、攻撃者は脆弱なWebサーバーを通じてインターネット上には公開されていない組織内部のシステムに侵入します。そこから、さらに社内の他のサーバーや取引先のシステムへも侵入を繰り返し、内部の機密情報の漏えいやランサムウェアの感染など、大きな被害につながる攻撃を行う可能性があります。

 

 

 

まとめ

重要な情報を持たないWebサイトであっても、サイトの改ざんやマルウェアの配信により利用者の信頼を損ねる可能性があります。また、Webサイトを踏み台に社内のシステムや取引先のシステムへと侵入し、ランサムウェアの感染など重大な被害へとつながる可能性もあります。

ですので、重要な情報を持たないWebサイトだからといって油断するのではなく、プラットフォーム診断を実施しサーバーやクラウドシステムの設定ミスがないか確認する、システムで使われているソフトウェアの更新を怠らない、サーバー管理のためのアカウント情報を厳重に管理する、Web Application Firewall(WAF)でWebサーバーを保護するなど、基礎的なセキュリティ対策をきちんと実施する必要があります。

本記事が、皆様のWebアプリケーションの安全な運営の一助になれば幸いです。