ウェブセキュリティの基本
CIAの3要素と最低限の防御策
2025.12.15
ウェブセキュリティの基本は、「誰から」「何を」守るのかを整理すると非常に分かりやすくなります。専門用語が多くなりがちですが、本質は「情報の安全を守るための3つの柱(CIA)」を維持することに尽きます。以下にその基本概念と、具体的に何を防ぐべきかを解説します。
1. セキュリティのゴール :情報の3要素(CIA)
セキュリティ対策とは、以下の3つの状態を維持するための取り組みです。この3つが崩れると「セキュリティ事故」となります。
機密性 (Confidentiality) : 漏らさない
- 許可された人だけがアクセスできる状態。
- 失敗例 : 顧客リストの流出、パスワードの盗難。
完全性 (Integrity) : 壊されない
- 情報が正確で、改ざんされていない状態。
- 失敗例 : Webサイトの書き換え(改ざん)、データの破壊。
可用性 (Availability) : 止めない
- 必要な時にいつでもシステムが使える状態。
- 失敗例 : サーバダウンでWebサイトが見られない。
2.敵を知る:主な攻撃手法
WebサイトやWebサービスを狙う攻撃は、大きく分けて「システムの隙(脆弱性)」を狙うものと、「人の油断」を狙うものがあります。
| 攻撃の種類 |
具体的な手口 |
狙い |
| 脆弱性攻撃 |
SQLインジェクション |
データベースを不正操作し、情報を盗む。 |
| 練認証突破 |
ブルートフォース攻撃 |
パスワードを総当たりで試してログインする。 |
| 練認証突破 |
リスト型攻撃 |
他社で漏れたID/パスワードを使ってログインを試みる。 |
| 妨害攻撃 |
DDoS攻撃 |
大量のアクセスを送りつけ、サーバをダウンさせる。 |
3.基本的な防御策(まずはこれだけ)
すべてを完璧にするのは難しいため、効果が高く、かつ必須とされる対策から実施します。
- 通信の暗号化 (常時SSL/TLS化)
WebサイトのURLを http ではなく https から始まるようにします。通信経路での「盗聴」や「改ざん」を防ぎます。今やGoogleの検索順位にも影響する標準マナーです。
- WAF (Web Application Firewall) の導入
Webサイトへの通信を監視し、攻撃と思われる通信(SQLインジェクションなど)を自動で遮断する「防波堤」です。多くのレンタルサーバで簡単にONにできます。
- ソフトウェアの更新 (CMS・プラグイン)
WordPressなどのCMS(コンテンツ管理システム)や、そのプラグインを常に最新版に保ちます。古いバージョンには「泥棒が入れる鍵穴(脆弱性)」が放置されていることが多いためです。
- 認証の強化
複雑なパスワード: 推測されにくいものを設定し、使い回さない。
- 多要素認証 (MFA) : パスワードに加え、スマホへの通知などで二重にチェックする仕組みを入れる。
まとめ:優先順位チェックリスト
ウェブセキュリティとは、「CIA(機密性・完全性・可用性)を脅かす攻撃から、技術とルールで資産を守ること」です。
まずは自社のWebサイトで「SSL(鍵マーク)がついているか」「WordPress等の更新が溜まっていないか」の2点を確認するだけでも、第一歩として有効です。
情報セキュリティ統括責任者 竹内勇人
