クリエイティブビジネスフォーラム - BMB×メビック扇町 Web最新事情 ~戦略的サイトの構築と運用のすすめ~その④

Web最新事情 ~戦略的サイトの構築と運用のすすめ~
自分ですべきこと、業者にまかせること、その境界線を知り、Webサイトの有効活用を図る。

 今回のクリエイティブビジネスフォーラムは、Webの最新トレンド、技術動向などを探ろうと、大阪府ビジネスマッチングブログ(BMB)とメビック扇町との協働で開催された。Web制作・運営管理のプロフェッショナル4名が、Web業界の“いま”を語った。

放置サイトが脆弱性を生む、定期的なメンテナスを。

 最後は「オビタスター(株)サブマネージャー前田学氏による「サーバー構築とハッキング対策」。オビタスター社は、創業250年の呉服店としてネット販売に挑戦し、2003年1月に楽天市場で新人賞を獲得した。

オビタスター(株)サブマネージャー前田学氏

 事例紹介の前に、前田氏よりハッキングの現状についての報告・注意喚起があった。作りっぱなしで放置されているサイト、まだ始めたばかりの小規模な サイトは、特にターゲットになりやすいのだということを認識する必要があるのだそうだ。なぜハッキングをするのか?その目的のほとんどは、「このサイトを 利用して〇〇ができますよ」という情報を販売するためだ。

 では、最初の事例、「CMSの脆弱性をついた攻撃」から。CMSの画像・ファイルアップロード機能や自動バージョンアップ機能などのWeb画面から ファイルをアップロードできる機能の脆弱性をついた攻撃が多いという。その対策法は?一番有効なのは、利用しているCMSはいつも最新版にアップデートし ておくこと。便利だという理由でファイルやフォルダにWebからのアップロード権限、変更権限を与えないことも大切。ベーシック認証、IP制限などを利用 し管理画面のアドレスには直接アクセスできないようにするなど。

サーバー構築とハッキング対策

 次は「FTPを盗んでの攻撃」。ハッキングの方法は、主にFTPのIDとパスワードを盗み、プログラムのファイルをアップロードする。プログラムを 使用しランダムに総当たりでログインを試みる。対策としては、FTPを利用しないという方法がベスト。サーバーが提供している場合は、必要のないFTPア カウントは削除しておく。FTPのIDやパスワードを盗まれにくい複雑な組み合わせにする。それらIDやパスワードを定期的に変更すること も。.ftpaccessというファイルが設置できるサーバーでは、IP制限をかけて自分以外のIPではアクセスができないようにする。また、パソコン自 体を乗っ取られないようファイヤーウォールやウィルスソフトを導入し、それらを常に最新版にしておくことも重要だ。

 3番目に「サーバーデフォルト導入ソフトの脆弱性をついたハッキング」。サーバーにデフォルトで導入されているMySQLの管理ソフト phpMyAdminや、Web経由でできるFTPソフト、Webメールソフトなどは、放置しておくとバージョンアップがされず、脆弱性がでる。対策は、 自分たちで変更等できない場合は、常にアップデートしてくれるサーバーを選択すること。自分の公開領域に該当するソフトが置かれている場合は、自分たちで 常に最新版を。利用しないソフト、たとえばインストーラーなどは削除。ベーシック認証やIP制限をかけて、自分たちのみが利用できるようにする。

 最後4番目は「サーバー本体の脆弱性をついた攻撃」。このアタックに関しては、基本ユーザーサイドでできることはない。信頼できる業者のサーバーを 選択することが最良の対処法となるだろう。「Webサイトは作って終わりではなく、そこがスタート。きちんとメンテナンスを行うことがサイトを公開してい る人の義務です。自分のサイトやサーバーが踏み台となり、他の多くの人に迷惑をかけないようにしていくことが重要です」と前田氏は熱い語りで締めくくっ た。

 めまぐるしいテクノロジーの進歩に追い立てられるようなWebの制作・運用管理。その進歩の本質を見極められれば、Webは、真にビジネスをアクセ ラレートするにちがいない。「業者任せにしないおもてなしの心」「RWDできるところから」「CMS導入はサイト改善のための環境づくり」「メンテナンス はサイト公開者の義務」、Webのプロからのメッセージは案外アナログチックでヒューマンなものだった。

 

開催日時:2014年11月5日(水)18:30〜21:30

会場:メビック扇町 ロビー

主催:大阪府産業デザインセンター、(地独)大阪府立産業技術総合研究所、メビック扇町