考えるフェーズ
セキュリティ設計 「守る」ではなく「壊れにくくする」設計思想
Webサイトのセキュリティは、一度対策すれば終わりというものではありません。
- CMSの更新
- サーバー環境の変化
- 機能追加や運用の継続
こうした日常的な変化の中で、どう安全性を保ち続けるかが重要になります。
FHWでは、セキュリティを“特殊な対策”ではなく、Webサイト設計の前提条件として整理します。
脆弱性は存在するものとして考える セキュリティは「前提条件」
完璧に安全なWebサイトは存在しません。
そのためFHWでは、
- 脆弱性はゼロにできない
- 侵入される可能性は常にある
という前提に立ちます。
重要なのは、問題が起きにくい構造にすること、そして、起きた場合に被害を広げないことです。
特別なことをしないことが重要 Webサイトにおける基本的なセキュリティ設計
FHWが重視しているのは、奇抜なセキュリティ対策ではありません。
- 不要な機能を持たせない
- 権限を必要以上に広げない
- 情報の持ち方を整理する
- 表に出さなくてよいものは出さない
といった、基本を積み重ねる設計です。
どこで何を守るかを明確にする CMS・サーバー・インフラの役割分担
セキュリティは、ひとつの技術で完結しません。
- CMS側で管理すべきこと
- サーバー・インフラ側で担保すること
- アプリケーション(スクラッチ)で制御すること
それぞれの役割を整理し、無理な責務集中を避ける設計を行います。 この考え方は、表示速度設計やスクラッチ開発・機能開発とも密接につながります。
「触れなくなる」状態をつくらない 更新・運用を前提にした安全性
セキュリティ事故の多くは、更新が止まった環境で発生します。
そのためFHWでは、
- 更新しやすい構成か
- 運用担当が触れる範囲はどこか
- 更新による影響範囲を把握できるか
といった点を整理します。
安全に更新できることも、セキュリティ設計の一部です。
入口と出口を意識する フォーム・個人情報との関係
問い合わせフォームや会員機能は、個人情報を扱う入口になります。
- 必要以上の情報を取らない
- 保存・連携の範囲を明確にする
- 外部サービスとの接続を整理する
技術だけに依存しない 組織としての安心感
セキュリティは、技術だけで成立するものではありません。
FHWでは、
- プライバシーマーク(Pマーク)取得済み
- 個人情報取り扱いに関する社内教育
- 監視カメラ・オートロック錠などの環境整備
といった、組織・運用面での対策も行っています。
これは、品質と継続性を支える体制とも深く関係する要素です。
つくるフェーズへのつながり
セキュリティ設計の考え方は、以下の「つくるフェーズ」で具体化されます。
設計段階で整理することで、後から場当たり的な対策を増やさずに済みます。
このページで伝えたいこと
セキュリティは、強い対策を積むことではありません。
- 更新し続けられること
- 壊れにくい構造であること
- 問題が起きても被害を広げないこと
その前提を設計することが、FHWのセキュリティ設計です。