「基本対策だけでは心配」な方に ちょっと発展的な“プラスセキュリティ”のススメ
意外と忘れがちかも Webサイトのバックアップしていますか?
もう一つ、始めたのは「Webサイトの完全なバックアップ」です。最近は個人でWebサイトを作っている方も多いと思いますが、Webサイトを運営している個人や、組織における“顔”として公式Webサイトを運営する企業は、それらの情報のバックアップを取り、すぐに元に戻せるかどうかについて、運用を確認することをお勧めします。 これまでであれば、脅威の侵入は「電子メール」が主流だったので、いわゆるメールセキュリティ対策を実施していれば、ダウンロードされたファイルを無害化できていました。しかし最近は侵入経路として、VPNをはじめとするネットワーク機器の脆弱(ぜいじゃく)性が悪用されています。こうなると、社内ネットワークに存在する、あらゆるサーバが侵害される可能性があります。 特にWebサーバは改ざんだけでなく、DDoS攻撃を受ける可能性もあります。普段からバックアップを取っていない場合、改ざんされて元のファイルが消失したり、DDoS中でファイルの退避すらできないという自体に陥ります。レンタルサーバにWebサイトがある場合でも、やはりレンタルサーバ事業者そのものが攻撃されるリスクもあり、こちらもバックアップを手元に置くことが望まれるのではないでしょうか。 特に「WordPress」をはじめとするCMSを運営している場合、データベースを含めてバックアップを定期的に取得しておきたいでしょう。筆者もやっとこのバックアップに着手し、今はデータベースを毎日バックアップして自宅のサーバ(Raspberry Pi)に同期させています。これとは別にWebサイトのファイル群は毎日増分バックアップを取得しています。 万が一、大規模な改ざんがあった場合は、増分バックアップの分量が増えるはずなので、検知ができると考えています。個人のWebサイトといえどもDDoS攻撃の標的になることもあり、個人的にも戦々恐々としています。もはや「ウチのWebサイトは攻撃しても意味がないよ」ともいえない状況です。念には念をということで、ぜひ皆さまの組織でもご検討ください。