.
ハッカーがより速く、より多く、より効果的に成長するにつれて、多くの企業はウェブサイトをサイバー脅威から保護するのに苦労しています。 統計は嘘をつきません。
• 毎日 360,000 を超える新しい悪意のあるファイルが検出されています
• 2017 年にはコンピューターに対する既知の攻撃が 1,188,728,338 件ありました。
• サイバー犯罪による企業への被害は、2021 年までに 6 兆ドルに達すると予想されます
• サイバーセキュリティへの世界的な支出は、2017 年から 2021 年の間に 1 兆ドルを超える可能性があります。
これらの驚異的な数字は、組織が Web サイトのセキュリティを重要な優先事項とする理由を明確に示しています。 さまざまな種類のサイバー攻撃や悪意のあるプログラムが存在します。 すべての IT 部門が次のリスクを理解することが重要です: ウイルスとワーム、トロイの木馬プログラム、不審なパッカー、悪意のあるツール、アドウェア、マルウェア、ランサムウェア、サービス妨害、フィッシング、クロスサイト スクリプティング (SQL インジェクション)、ブルート フォース パスワード攻撃、そしてセッションハイジャック。 こうしたサイバー侵害の試みが成功すると (多くの場合)、次のようなことが起こる可能性があります。
• Web サイトの改ざん – Web サイトに配置された望ましくないコンテンツ
• Web サイトがオフラインになる (サイトがダウンする)
• Web サイト、データベース、金融システムなどからデータが盗まれます。
• データは暗号化され、身代金を要求されます(ランサムウェア攻撃)
• サーバーの悪用 – ウェブメールのスパムを中継し、違法なファイルを提供する
• サーバーの悪用 – 分散型サービス拒否攻撃の一部
• サーバーがビットコインなどのマイニングに悪用される。
一部の攻撃は、Web サイトが遅いなどの軽微な脅威のみをもたらしますが、多くの攻撃は、機密データの大規模な盗難やランサムウェアによる無期限の Web サイト障害などの深刻な影響をもたらします。 それを念頭に置いて、マルウェアやサイバーハッキングから組織を守るために IT 部門が活用すべき 15 のベスト プラクティスを紹介します。
1. ソフトウェアを常に最新の状態に保ちます。
オペレーティング システム、一般的なアプリケーション、マルウェア対策プログラム、および Web サイトのセキュリティ プログラムを最新のパッチと定義で更新し続けることが重要です。 Web サイトがサードパーティによってホストされている場合は、ホストが信頼できるものであり、ソフトウェアも最新の状態に保たれていることを確認してください。
2. クロスサイト スクリプティング (XSS) 攻撃から保護します。
ハッカーは、悪意のある JavaScript をコーディングに導入することにより、ユーザーがオプトインまたは登録するときに認証情報とログイン Cookie を盗む可能性があります。 ファイアウォールをインストールし、ページへのアクティブな JavaScript の挿入に対する保護をインストールします。
3. SQL 攻撃から保護します。
不正なコードをサイトに挿入するハッカーから防御するには、常にパラメーター化されたクエリを使用し、標準の Transact SQL を避ける必要があります。
4. データの二重検証。
ブラウザー側とサーバー側の両方の検証を要求することで、サブスクライバーを保護します。 二重検証プロセスは、データを受け入れるフォーム フィールドを介した悪意のあるスクリプトの挿入をブロックするのに役立ちます。
5. Web サイトへのファイルのアップロードを許可しないでください。
一部の企業では、ユーザーがファイルまたは画像をサーバーにアップロードする必要があります。 ハッカーが Web サイトを侵害する悪意のあるコンテンツをアップロードする可能性があるため、これには重大なセキュリティ リスクが伴います。 ファイルの実行権限を削除し、ユーザーが情報や画像を共有するための別の方法を見つけます。
6. 堅牢なファイアウォールを維持します。
堅牢なファイアウォールを使用し、外部からのアクセスをポート 80 と 443 のみに制限します。
7. 別のデータベース サーバーを維持します。
デジタル資産をより適切に保護するために、データ用と Web サーバー用に別のサーバーを用意します。
8. Secure Sockets Layer (SSL) プロトコルを実装します。
信頼できる環境を維持するための SSL 証明書を必ず購入してください。 SSL 証明書は、Web サイトに安全で暗号化された接続を確立することにより、信頼の基盤を作成します。 これにより、サイトを不正なサーバーから保護できます。
9. パスワードポリシーを確立します。
厳格なパスワード ポリシーを実装し、それが確実に遵守されるようにします。 強力なパスワードの重要性についてすべてのユーザーを教育します。 基本的に、すべてのパスワードが次の基準を満たす必要があります。
• 長さは 8 文字以上です
• 少なくとも 1 つの大文字、1 つの数字、および 1 つの特殊文字
• 辞書に載っている単語は使用しないでください。
• パスワードが長いほど、Web サイトのセキュリティが強化されます。
10. Web サイトのセキュリティ ツールを使用します。
Web サイト セキュリティ ツールは、インターネット セキュリティに不可欠です。 無料と有料の両方で多くのオプションがあります。 ソフトウェアに加えて、包括的な Web サイト セキュリティ ツールを提供する Software-as-a-Service (SaaS) モデルもあります。
11. ハッキング対応計画を作成します。
最善の保護を試みたにもかかわらず、セキュリティ システムが回避されてしまうことがあります。 この問題が発生した場合は、監査ログ、サーバーのバックアップ、IT サポート担当者の連絡先情報を含む対応計画を実装する必要があります。
12. バックエンドアクティビティログシステムをセットアップします。
マルウェア インシデントの侵入ポイントを追跡するには、ログイン試行、ページの更新、コーディングの変更、プラグインの更新とインストールなどの関連データを追跡し、ログに記録していることを確認してください。
13. フェイルセーフのバックアップ計画を維持します。
データは、更新頻度に応じて定期的にバックアップする必要があります。 理想的には、毎日、毎週、毎月のバックアップが利用可能です。 ビジネスの種類と規模に適した災害復旧計画を作成します。 バックアップのコピーをローカルおよびオフサイトに保存してください (多くの優れたクラウドベースのソリューションが利用可能です)。これにより、変更されていないバージョンのデータを迅速に取得できるようになります。
14. 従業員を訓練します。
Web サイトとデータを安全に保ち、サイバー攻撃を防ぐためには、会社が策定したポリシーと手順について全員がトレーニングを受けることが不可欠です。 従業員 1 人が悪意のあるファイルをクリックするだけで、侵害の機会が生まれます。 全員が対応計画を理解し、簡単にアクセスできるコピーを用意してください。
15. パートナーとベンダーが安全であることを確認してください。
あなたのビジネスは、多くのパートナーやベンダーとデータやアクセスを共有する場合があります。 これも侵害の潜在的な原因となります。 Web サイトとデータを保護するために、パートナーやベンダーが Web セキュリティのベスト プラクティスに従っていることを確認してください。 これは、独自の監査プロセスを使用して行うことも、このサービスを提供するソフトウェア セキュリティ会社に加入することもできます。
ハイエンドのコンピュータ システムであっても、悪質なマルウェアによってすぐにダウンしてしまう可能性があります。 上記のセキュリティ戦略の実装を先延ばしにしないでください。 重大な侵害が発生した場合に組織を保護するために、サイバー保険への投資を検討してください。 Web サイトをハッキングやサイバー攻撃から保護することは、Web サイトとビジネスの安全を保つために重要です。
.
