コーポレートサイトにセキュリティ対策はどの程度必要？

「コーポレートサイトにもセキュリティ対策って必要だと思うけど、どのくらいがちょうどいいんだろう？」
「業者からセキュリティの提案を受けても、専門知識が無く良し悪しが判断しづらい」

自社のコーポレートサイト運営を統括しているWebマスターには、上記のような問題に悩まれている方もいらっしゃるはずです。

今回の記事では、コーポレートサイトのセキュリティを検討する上でのポイントや、専門知識が無くても選びやすいクラウドサービスについて解説いたします。

会社の顔であるコーポレートサイトを運営するにあたって、攻撃者からの侵入による改ざんやDDos攻撃によるサーバーダウンなどから身を守り、自社の情報を正しく持続的に発信し続けるために、セキュリティ対策は必要不可欠です。

企業がセキュリティ対策を検討するにあたっては、ほとんどの場合、外部の業者に委託することになるでしょう。しかし、提案される内容が妥当なものなのか判断することは難しいはずです。

日々多様化するサイバー攻撃に対しては複数の防御手段が必要ですが、自社で全てに対応しようとすれば、当然大きなコストがかかります。かといって、「必要最低限のもの」を選ぼうとするなら、明確な基準が必要になりますが、そもそも会社によってセキュリティに対する考え方は異なりますし、個人情報を取り扱わず、電子決済も伴わないコーポレートサイトに上限や下限を設定することに無理があるのかもしれません。

このように、セキュリティに対する判断基準が曖昧なままでは、セキュリティ対策へ投下するコスト予算額の根拠も説明がつきません。自社で取り入れるセキュリティレベルの度合いが、外部の業者に頼りきりの状態になれば、必要以上のセキュリティに過剰な予算を投じてしまったり、逆に、セキュリティ対策が不十分な状態になってしまう可能性もあるでしょう。

昨今、コーポレートサイトを標的としたサイバー攻撃の手段は多岐に渡っています。サーバーに負荷をかけるために大量のデータを送りつけるDDoS攻撃、データベースの不正操作を狙ったSQLインジェクションなどが代表的です。

もし、自社のコーポレートサイトがサイバー攻撃に晒され、情報流出や改ざん被害にあった場合「自社の信用が傷つく」「ステークホルダーに誤った情報が届いてしまう」などの事態に発展しかねません。そのような信用に関する損害は、システム修復・復旧にかかる時間や費用以上に、事業を行なっていく上で致命的な問題と言えるのではないでしょうか。

上記のような事態を防ぐためにも、企業コーポレートサイトでは「WAF（ウェブ・アプリケーション・ファイアーウォール）」「IPS（侵入防止）」などの導入が必要です。サーバ負荷をかける攻撃に対しては「CDN（コンテンツ・デリバリー・ネットワーク）」が有効です。これらを複数導入し多重防御を施すことが理想ですが、前述のコストの問題があり、すべてを自前で用意するのは現実的ではありません。
 

それに加え、コーポレートサイトの構築手段として選択されるケースも多いWordPressなどのオープンソース型CMSは、セキュリティ的に非常に脆弱という問題もあります。オープンソースはソースコードが分析されやすく、サイバー攻撃に晒されやすくなっているため、定期的なアップデートが必要不可欠です。しかし、WordPressdのアップデート内容は、プラグインなどを利用したカスタマイズ状況によって難しくなるため、多くの場合、数年おきのリニューアルの際に一から環境を構築し“引っ越し”を行うことになります。

オープンソース型CMSは、豊富なプラグインの存在や、扱える技術者が多いことなど、企業が求める多種多様な要求にカスタマイズ性で応えられるというメリットがあります。しかし、その反面、そのカスタマイズがメンテナンス性を低下させ、結果的にコストパフォーマンスを悪くしてしまう点も無視できません。

セキュリティ問題をはじめとする、コーポレートサイト運営に係る業務をよりシンプルにしたいと考えた場合、使用するべきCMSはオープンソース型ではなくクラウド型CMSとなります。一般的に、クラウド型のWebサービスはベンダー契約をすればすぐに導入可能なので、自社でいちから環境を構築する必要はありません。

クラウド型CMSでは、最初からサイト構築に必要なサービス・機能がセットになっていて、ハイレベルなサーバセキュリティも自社で用意することなく、ワンセットで利用可能です。保守運用を専門業者に任せるという点では、オープンソース型で外注した場合と同様ですが、必要な仕様について構築する必要がないという点で、大きく異なっています。

「業者から提案されたセキュリティの仕様がよくわからない」
「保守運用のためにどの程度の予算や人材を投下すればいいのかわからない」

自社でセキュリティに必要な環境を構築した場合に生じる上記のような問題も、クラウド型CMSを使用すればスムーズになります。

クラウドはセキュリティ周りに関しても最初からある程度仕様が決まっていて、定価のサービスとして提供されているため、自社の用途や目的とマッチ度の高い商品を選びやすくなっているのです。

クラウド型CMSを採用すれば「専門知識がないため、業者の決めた仕様や投下する資金の根拠について、会社にどのように説明すればいいのかわからない」と、WEBマスターが頭を悩ます必要もなくなります。

以上の通り、企業が自社のコーポレートサイトのセキュリティレベルを保ちつつ、運営をスムーズに行うためには、オープンソース型よりクラウド型のCMSが適しています。ShareWithは、数あるクラウド型CMSサービスの中でも、企業のコーポレートサイト運営にマッチした仕様が実装されているのが特徴です。

ShareWithが提供するのは、ありそうでなかった「インフラパッケージ」です。ハイエンドなサーバインフラをはじめとする各種サービスを、クラウド型CMSだからこその低価格で利用できます。

ShareWithのインフラサービスは、コーポレートサイトにもちょうどいいサーバ・セキュリティです。金融機関にも選ばれる最高品質のフルパッケージ商品のため、自社内の稟議で時間が取られる心配もありません。

前述のように、多様なサイバーリスクから企業の顔であるコーポレートサイトを守るためには、2重3重のセキュリティ対策が求められます。ShareWithは、以下のような多重防御セキュリティを標準で備えています。

• 公開サーバーと管理サーバーの分離
• 隙をなくすためにデータベースを廃した内部設計
• IP接続制限
• データセンターの分散
• アクセス急増時の自動スケール
• 機器故障時の自動復旧
• 自動バックアップ

それに加え、コーポレートサイトにとって最大級の脅威であるDDos攻撃に対応するため、CDN（Contents Delivery Network）を標準装備。自社で構築するには難易度の高い、コーポレートサイトが持つべきインフラ環境が整っています。

不意に起こる障害対応は、ただでさえ複雑な業務をこなすWEBマスターを悩ませる原因のひとつです。ShareWithでは、365日24時間のサーバー管理を行なっており、障害対応から復旧作業まで一貫して実行します。これにより、予期せぬ障害に対し、社内リソースを投下する必要はもうなくなります。

新しいシステムやサービスの導入前審査という、失敗が許されないために自社のIT担当が多くの時間と手間を投下することになるタスクについても、ShareWithが対応します。評価に必要な資料を完備しているため、いつでもスムーズに審査が実施できます。