脆弱性診断
マルウェア診断・駆除
不正改ざん対策
Webセキュリティ管理
プラットフォーム診断を利用すれば、お客さまのサーバー上にインストールされているWordPress(ワードプレス)を診断して、悪意ある第三者に狙われやすい脆弱性の有無を調べられます。また、既知の脆弱性が判明しているソフトウェア・バージョンの有無もお調べいたします。脆弱性のあるバージョンのWordPressを使い続けると、サイトの乗っ取り、不正改ざん、攻撃性の高いマルウェアを勝手にサーバー上に置かれるなど、サイトオーナーにとって不利益なリスクが高まります。定期的にWordPressの診断を行い、リスク軽減を図るためにも安全な環境維持を心がけましょう。
XSS(クロスサイトスクリプティング)とは、脆弱性のあるWebサイトを踏み台(中継地)として、悪意のあるプログラムをそのサイトの訪問者に送り込む攻撃(ハッキング)手法です。SiteLockはお客さまのWebサイトを対象に定期的な診断を実施し、セキュリティの脅威となるXSS脆弱性の有無を判定いたします。
SQL インジェクションは、アプリの脆弱性を意図的に利用し、アプリが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃(ハッキング)方法を指します。SiteLockはお客さまのWebサイトを定期的に診断し、SQLインジェクションの脆弱性の有無を判定いたします。
SiteLockはお客さまのWebサイトを診断して、第三者によって一方的に仕込まれた悪意あるマルウェアを見つけ出します。それは、危険な外部サイトへのリダイレクト、隠しリンク、暗号化されたJavaScript、マルウェアサイトへのリンクといった訪問者に害をもたらす脅威であるがゆえ、被害が広がる前に迅速かつ適切に対処する必要があります。こういった巧妙に仕込まれた罠は目視による検知が非常に困難なことから、お客さまのWebサイトに存在するマルウェアの検知は、SiteLockにすべてお任せください。シグネチャベースのスキャンによって、マルウェアを特定します。
※ SMART診断を利用するには、SiteLockの診断サーバーからのFTP/SFTP接続を許可する必要があります。
SiteLockの強みのひとつは、マルウェアを検出するだけでなく、駆除・除去する機能を備えている点です。マルウェアの存在を確認できても、対処法がなく、お困りのお客さまには最適です。SiteLockによる診断を行い、マルウェアが検出された場合は、二通りの方法でマルウェアを駆除・除去できます。あらかじめ「自動除去」と設定した場合は、診断結果に応じて自動的に駆除・除去いたします。または、お客さまにて確認後、駆除・除去する場合は、コントロールパネル上で手動で指定のボタンを押すだけ。極めてシンプルです。
※ SMART診断を利用するには、SiteLockの診断サーバーからのFTP/SFTP接続を許可する必要があります。
SMART診断を利用して、お客さまのWebサイトが第三者によって不正に改ざんされた形跡の有無を調べられます。方法はシンプル。お客さまのディレクトリ内のデータを定期的に取得して、SiteLockの特設サーバー上で全データに対する診断を行います。マルウェアや不正なリンク、ディレクトリ内のソースファイルに存在する疑わしい、または悪意のあるコード等を探します。これにより、お客さまのWebサイトに加えられた予期せぬ、承認されていない変更(書き換え)を特定できます。また、悪意のあるコードを検知した場合、問題のあるページを正常な状態へ戻したページと差し替えることも可能です。
※ SMART診断を利用するには、SiteLockの診断サーバーからのFTP/SFTP接続を許可する必要があります。
悪意のある第三者がメールサーバーを勝手に使い、大量の迷惑メール(スパムメール)を配信する踏み台として悪用する事件が日常的に起きています。スパム配信元のドメインとして、各機関のブラックリストに一旦登録されてしまえば、主要なメールサービス宛てにメールを送信できなくなってしまいます。SiteLockのスパム診断を使えば、お客さまのドメインがスパム発信元として主だったブラックリストに掲載されていないか監視します。
悪意のあるマルウェアや不正なリンクを埋め込まれたWebサイトを放っておくと、サイト訪問者に害をもたらす危険なサイトとして各機関のブラックリストに登録され、その結果、主要な検索エンジンやセキュリティソフトによってアクセスしないように警告を受けるようになります。Webサイトへのアクセス大幅減は、インターネットビジネスを営む事業者にとって深刻なリスクです。
SiteLockでは、お客さまのWebサイトの健全性を確認する手法として、SMART診断の一部機能として、ブラックリスト監視を用意しています。Webサイトのページやサイト上のリンクが、主要な検索エンジン、その他のプロバイダーによって管理されているブラックリストに掲載されていないかチェックします。また、SiteLockによって管理されている7,000を超える既知のマルウェアサイト情報が格納された内部データベースにも照会して確認を徹底しています。
SSL証明書を正しく、常に利用する上でまめな管理は欠かせません。更新忘れによる失効や設定ミスによるSSL証明書のトラブルは、誰の身にも起き得るアクシデントです。面倒な運用・監視の手間は、SiteLockにお任せください。お客さまのサーバー上にインストールされたSSL証明書をモニターし、下記を監視・検証いたします。また、更新月の前月には、更新間近であることを伝えるメールをお送りいたします。そして、何らかの問題が発生した場合は、お客さま宛てにメールでお知らせいたします。これにより、常に有効なSSL証明書を維持・運用する体制を手に入れられます。
Webサイトの安全性に細心の注意を払うからこそ、お客さまの真摯な姿勢をわかりやすく明示しましょう。SiteLockでは、お客さまのWebサイトの訪問者に対してサイトの安全性を視覚的に伝える安全シールをご用意しています。
掲載方法は簡単、安全シールを表示させたいページにコードを埋め込むだけ。上記に掲載されているのは実際の安全シールです。クリックすれば、最新の診断結果も具体的に表示されます。安全シールが訪問者によってクリックされた数は、コントロールパネル上で確認できます。
なお、Webサイトにセキュリティ上の問題が発生し、72時間以内に問題が解決されない場合は、安全シールの画像は透けて表示されるようになります。
Webサイト改ざんのリスクを予測する機能です。SiteLockが収集・保有する膨大な量の診断データを元にWebサイトのリスクスコア(Risk Score)を決定し、「高」「中」「低」の3つのいずれかに分類されます。Webサイトに関する脆弱性が開示される前に改ざんリスクを判定できることから、Webサイトの危険性をわかりやすく把握できます。英語表示となります。
ご登録のドメインがお客様の資産であることを認証します。
(1)Webサイトにセキュリティコードを埋め込む
診断対象となるWebサイトのTOPページに指定のセキュリティコードを挿入する方法です。セキュリティコードは、コントロールパネル上で発行できます。あとは、セキュリティコードを含んだTOPページをWebサーバーへアップロードするだけです。
(2)HTMLファイルをアップロード
お客さまのWebサーバーに当社指定のHTMLファイルをアップロードする方法です。HTMLファイルは、コントロールパネルからダウンロードできます。ルートディレクトリにアップロードするだけです。
(1)または(2)の作業を行った後、コントロールパネル上で指定の操作を行うだけです。ドメインのオーナーシップが証明されれば、診断を始めることができます。
SiteLockで利用可能な様々な診断や診断結果を管理・閲覧するWebベースのコントロールパネルをご用意しています。直感的に操作できるシンプルなコントロールパネルは、PC、iPhone/iPadなど主要なモバイル端末に対応しています。場所、時間を問わず、いつでもアクセスして利用いただけます。
【ご注意】 当サービスでは、新たに発見された脆弱性に関する情報やセキュリティ勧告など、米国SiteLock社からリアルタイムに最新情報をお届けすることを優先しています。そのため、配信される一部の内容が英語表示となることがあります。その翻訳には、お時間をいただく場合がありますのでご了承ください。また、プラットフォーム診断の診断結果は、英語表示となります。
WebアプリやWebサイトのセキュリティ診断というと、一般的に難しいイメージが普及しています。しかし、専門的なセキュリティ知識を要する技術者でないと、Webサイトの問題を見つけられないといった訳ではありません。SiteLockは、ブロガー、Webデザイナー、マーケティング担当者、広報担当者など、非技術職の方でも容易に使いこなし、診断を実施する中で危機的な問題を特定できるようになっています。
試しにSMART診断によってマルウェアが検知された場合のサンプルレポートを見てみましょう。右側「ステータス」の丸アイコンが緑色だと安全、赤色だと問題が見つかったことを示しています。信号の色ではありませんが、直感的に問題の有無を確認できます。
具体例
11/19の診断で、マルウェアを検知しています。SMART診断の設定において、自動駆除・削除の設定をしておけば、検知後すぐに処理されます。
ただし、今回は、管理者が確認した上で処置を希望していたこともあり、自動駆除・削除の設定はされていません。そのため、検知のみに留まりました。この時点で、マルウェアは健在です。
SiteLockからマルウェア検知を知らせるメールによって管理者が問題に気づき、管理画面にて11/19、11/20の診断結果を確認しました。そして、覚えのないファイルが不正に置かれていると判断したので、管理画面上で当該のマルウェアを削除する手続きを行いました。管理画面上のボタンをクリックするだけで処理は進みます。
結果、問題が解消されたので、翌日以降の診断でマルウェアの検知数は「0」となっています。
ぱっと見、シンプルな診断結果ですが、数字をクリックすることで掘り下げて詳細を確認できます。
今や不正改ざんは発生頻度の極めて低い事故ではなく、誰のWebサイトでも起きてもおかしくありません。それだけ、高度なサイバー攻撃が日常的に行われています。難解な診断レポートに頭を悩ませることなく、SiteLockにおまかせ、またはポチっとボタンを押すことで対処できる効率的な管理・運営体制をお届けいたします。
© 2024 GMO GlobalSign Holdings K.K.