重要性の高まるWEBサイトのセキュリティ対応
健康保険組合のホームページを作成するにあたって、考慮する必要がある重要なポイントがWEBサイトのセキュリティ対応です。WEBサイトは常にサイバー攻撃、不正アクセスの脅威にさらされており、安心・安全に運用を継続するにはセキュリティ対応が必須となっています。セキュリティ対応を行わないままWEBサイトの脆弱性を放置すると、サイバー攻撃、不正アクセスによる情報の流出やWEBサイトの乗っ取り・改ざんなどのリスクにさらされてしまいます。
不正アクセスによりWEBサイトを乗っ取られてしまうと、別のWEBサイトなどを攻撃するための踏み台として使用されてしまう可能性があります。被害者だったはずが気が付かないうちに加害者となってしまうのです。
小社が提供する健康保険組合様向けホームページの雛形である標準パッケージでは、サイバー攻撃、不正アクセスからWEBサイトを守る機能を導入し、安心・安全なホームページの作成を支援します。
標準パッケージに搭載されているセキュリティ機能
標準パッケージでは不正アクセスを防ぎ、サイバー攻撃からWEBサイトを守るためのセキュリティ対策として下記の機能を搭載することで、より安全にWEBサイトを運用できるようにしています。
2要素認証
2要素認証とは性質の異なる2つの要素を使って本人確認を行う方法のことです。ID・パスワードに加えて本人を特定する別の要素を用いることで、悪意のある第三者によるなりすましを防ぎます。
認証に用いられる要素には次の3種類があり、「認証の3要素」と呼ばれています。
- 知識要素
ユーザーだけが知っている情報を使った認証を行います。ID・パスワードや暗証番号、秘密の質問と答えなどがあります。 - 所有要素
ユーザーだけが所有しているものを用いて認証を行います。キャッシュカードやマイナンバーカード、スマートフォン、メールアドレスを用いるものがあります。 - 生体認証
ユーザーの体の特徴を利用して認証を行います。指紋認証や顔認証、虹彩認証などがあります。
標準パッケージには「知識要素」と「所有要素」を組み合わせた2要素認証の機能があります。2要素認証機能を使用する場合は、管理画面にログインする際にID・パスワードによる認証に加えて、事前に登録されたスマートフォンの認証アプリに表示される番号の入力が必要となります。認証アプリの番号は一定時間で別のものに変更されるため、以前の番号は使用できません。
スマートフォンを使用しない場合は、管理画面にログインする際に登録したメールアドレスに確認コードを送信し、それを入力してログインする方式も選択できます。
ひらがな画像認証とログイン回数の制限
悪意ある第三者は、考えられる全ての文字列の組み合わせを何度も何度も繰り返して入力し、正しいIDとパスワードを探り当てようとします。このような攻撃を「総当たり攻撃(ブルートフォースアタック)」といいます。総当たり攻撃からWEBサイトを防衛するために、標準パッケージではひらがな画像認証とログイン回数を制限する機能を設けています。
ひらがな画像認証は、管理画面へのログインの際にIDとパスワードの入力に加えて、無作為に自動生成された平仮名の画像を読み取って入力する入力欄を設定する機能です。不正アクセスのほとんどは海外からのものがほとんどですので、日本だけで使われる平仮名を入力させることで海外からの攻撃を防ぐことができます。
またログインの試行回数に制限を設け、IDとパスワードを何度も間違って入力した場合は、一定時間ログインができないようにブロックします。試行回数が制限することにより総当たり攻撃を成立させにくくします。
WAF(Webアプリケーションファイアウォール)
小社よりご提案させていただくサーバーには、脆弱性を狙った不正な通信を自動的に遮断するWAF(Webアプリケーションファイアウォール)が標準装備されています。WAFはWEBサイトにアクセスする通信を常に監視しており、不正な通信・攻撃をまとめた定義ファイルとの照合を自動的に行っています。攻撃と判断される通信を感知した場合には、通信を遮断してWEBサイトを守ります。
不正な通信・攻撃をまとめた定義ファイルは常に最新の情報に更新されており、さまざまな攻撃手法を感知することができます。
定期的な有償アップデートで脆弱性から守ります
サイバー攻撃を行うテロリストは常にWEBサイトの脆弱性を探しています。どのような対策を行っていたとしても、発見された脆弱性を放置したままではサイバー攻撃に対して弱点をさらしてしまうことになります。
標準パッケージは定期的なアップデートにも対応しており、ホームページの公開後も継続してサポートいたします。必要に応じて有償にてセキュリティ対応のアップデートを行い、脆弱性からホームページを守ります。
ホームページの新規開設・リニューアルなどのご相談は、
小社営業部までお問い合わせください