オンラインで何らかの情報を公開するとき、最も重視すべきことの 1 つがセキュリティです。サイトがハッキングされると、オンラインでの評判に悪影響を及ぼすだけでなく、重要な非公開データを失うおそれもあります。Google の把握しているところでは、ハッキングされたサイトの数は過去 1 年間で 1.8 倍に増加しています。Google としてもこの増加傾向を食い止めようとさまざまな対策を講じていますが、サイト運営者ご自身の手でウェブ コンテンツをハッキングの被害から守る方法もご紹介できたらと思っています。
Google では、本日からおよそ 1 か月間、
#NoHacked キャンペーン を再び実施します。キャンペーン期間中、不正なハッキングからサイトを保護する方法に焦点を当て、それぞれの方法がどのように機能するかについて理解を深めていただきたいと思っています。#NoHacked キャンペーンについては、
Twitter や
Google+ でもフォローできます。また、
セキュリティをテーマとした Google ハングアウト(英語)も予定しています。セキュリティの専門家に質問できる貴重な機会です。ぜひご参加ください。
では早速、キャンペーンのスタートに、ウェブ上のサイトを保護するための基本的な方法をいくつかご紹介します。
アカウントのセキュリティを強化する
パスワードの推測や解読を難しくすることは、サイトを保護する上で不可欠です。たとえば、文字、数字、記号を組み合わせる方法や、字数を増やしてパスフレーズにする方法があります。パスワードの長さは重要です。長くすればするほど推測が難しくなります。パスワードの強度をテストできるサイトも数多くありますが、実際のパスワードを他のサイトに入力しないよう注意してください。実際のパスワードの強度は、似たようなパスワードをテストすることで、ある程度把握できます。
また、複数のサービスで同じパスワードを使い回さないようにすることも重要です。ハッカーは多くの場合、漏えいしたパスワードの一覧やハッキングしたサービスからユーザー名とパスワードを手に入れ、それらを使ってできるだけ多くのアカウントに不正アクセスしようとします。
サービスに
2 段階認証(リンク先は英語。参考:Google アカウントでの
2 段階認証紹介ページ)が用意されている場合は有効にすることも重要です。これによりアカウントのセキュリティが大幅に向上し、さまざまなタイプの攻撃からアカウントを保護できるようになります。2 段階認証のメリットについては、別の日に詳しくご紹介します。
サイトのソフトウェアを常に最新にする
ハッカーがサイトに不正アクセスする際に最も利用されるのが、サイト上の安全性の低いソフトウェアを経由する方法です。サイトに古いソフトウェアがないか確認してください。特に、セキュリティ ホールを塞ぐためのアップデートは定期的に確認しましょう。Apache、nginx などの商用ウェブ サーバー ソフトウェアを使用している場合は、提供されているパッチを必ず適用してください。
コンテンツ管理システム(CMS)を使用している場合や、サイトにプラグインやアドオンを追加している場合は、必ずそれらを常に最新のバージョンに更新するようにしてください。また、使用しているウェブ サーバー ソフトウェアや CMS にセキュリティ関連の情報をメールなどで受け取れるサービスがあれば登録します。さらに、ウェブサイトに不要になったアドオンやソフトウェアがあれば削除を検討してください。無用なリスクを避けられるだけでなく、サイトの動作速度が改善する可能性もあります。
ホスティング プロバイダのセキュリティ問題への対応を調べる
ホスティング プロバイダを選ぶ際には、そのプロバイダがセキュリティに関する方針やハッキングされたサイトへの対応ポリシーをきちんと有しているかを考慮に入れることも重要です。ホスティング プロバイダを利用している場合は、サイト上で問題が発生した際に問い合わせられるサポートがあるかどうかを確認してください。また、オンラインでの評判を調べて、ユーザーのサイトからハッキングされたコンテンツを除去する作業を支援した実績があるかどうかも確認しましょう。
サーバーを自前で運用する場合や仮想専用サーバー(VPS)サービスを利用する場合は、発生するすべてのセキュリティ問題にご自身で対処する必要があります。サーバーの管理は非常に複雑です。サーバー管理者の重要な業務の 1 つが、ウェブ サーバーやコンテンツ管理システムのソフトウェアを最新にし、すべてのパッチが適用されている状態に維持することです。やむを得ない理由がない限り、自前でサーバーを管理するのではなく、サーバー管理サービスを提供するホスティング プロバイダを利用することをおすすめします。
Google のツールを使用してサイトのコンテンツがハッキングされた形跡がないか監視する
問題が発生する前からサイトを監視し、問題に対処するためのツールを備えておくことは重要です。不正アクセスの発見が早ければ、早い段階から問題の解決に着手できます。
Search Console をまだご利用いただいていない場合はご利用されることをおすすめします。Google が提供する Search Console は、ハッキングされたコンテンツが見つかった場合も含め、サイト上に発生した問題をウェブマスターに知らせるツールです。また、サイトに
Google アラートを設定して、問題の形跡がある場合に通知を受け取ることもできます。たとえば、ペット用品の販売サイト www.example.com を運営している場合に、[site:example.com 格安ソフトウェア] というアラートを設定しておくと、サイトがハッキングされて格安ソフトウェアに関するコンテンツが表示されるようになると通知が届きます。複数のアラートを設定できますので、ハッキングを含むスパム行為でよく使われる言葉を設定しておくとよいでしょう。スパム行為でどのような言葉がよく使われるか不明な場合は、Google で「
スパムワード リスト」と検索してみてください。
今回紹介した方法がサイトの保護に役立つことを願っています。ソーシャル メディアで #NoHacked キャンペーンをフォローし、また、サイトを保護するための皆さん自身のアイデアやコツをハッシュタグ #NoHacked でぜひ共有してください。
ご不明な点がありましたら、
ウェブマスター ヘルプ フォーラム でお知らせください。
Posted by: Eric Kuan, Webmaster Relations Specialist and Yuan Niu, Webspam Analyst
Original version: #NoHacked: How to avoid being the target of hackers