近年ITやネットワーク環境が著しく発展する一方で、中小企業のホームページをターゲットとしたサイバー攻撃のリスクが深刻化しています。
サイバー攻撃の被害にあうと、顧客や取引先企業からの信用を失ったり、売上が大幅に減少し、最悪の場合は倒産する可能性も0ではありません。企業が運営を継続し、業績を伸ばすためにも、ホームページのセキュリティを整えることは必須の施策といっていいでしょう。
この記事ではホームページのセキュリティ対策を怠った場合に受ける被害や、セキュリティ対策の方法を紹介しています。これからホームページを作成する方はもちろん、既にホームページを管理・運営している方もぜひ参考にしてください。
この記事を読んだらわかること
・中小企業のホームページが狙われる理由
・脆弱性チェックに使える2つのサイト
・セキュリティ対策でやるべきこと
ホームページは、制作して終わりではなく、公開後の集客が必要になります。
我々はSEOに強いサイト設計とコンテンツ作りを強みに、公開後も検索エンジンから集客し続けるホームページをご提案できますので、集客にお困りの方はお気軽にご相談ください!
ホームページのセキュリティ対策を怠った場合、受ける被害
まず、セキュリティ対策を怠ると、どのような被害を受けるか理解しておきましょう。昨今のサイバー犯罪で実際に起きている被害は主に以下の3つに分けられます。
- ホームページの改ざん、消去
- ホームページダウン
- 情報漏洩
それぞれ詳しくみていきましょう。
ホームページの改ざん、消去
ホームページをハッキングされると、本来権限を持つ管理者しかできないような編集をホームページにされてしまいます。
編集される部分は様々で、単にホームページの掲載情報を変更するだけで終わるケースもあれば、Webページ内に管理者の意図しないリンクを貼りつけて別ページに飛ばしたり、悪意のあるプログラムが勝手にダウンロードされるボタンを仕込むケースもあります。
こういった一部分だけの改ざんは目立たないよう細工されている場合が多く、発覚までに時間がかかりやすいので、被害者が増えやすく、とてもやっかいです。
しかしやはり最悪なのは、一部分ではなく、サーバー内のホームページのデータをまるごと消去されてしまうケースでしょう。復旧まで時間もコストもかかるため、被害は甚大です。
ホームページダウン
ホームページダウンとは、サーバーの機能が停止し、ホームページがアクセス不可に陥る状況です。主にサーバーに過剰な負荷をかけるサイバー攻撃によって起こります。
ホームページダウンで甚大な被害を受けるのは、収益の大部分をECサイトの販売利益やアフィリエイトの広告報酬に頼っている企業です。
たとえ一時間~二時間程度でも、ネットを主戦場とする企業のホームページダウンは発生するだけで売り上げに大きな影響を与えます。ユーザーはアクセスできなければ他サイトに移ってしまいますし、サイトが閉鎖されたと思ってもう二度と訪問しなくなるかもしれません。
情報漏洩
ユーザーの個人情報(氏名、住所、電話番号、カード番号など)や持ち出し厳禁の機密情報など。企業がもっているさまざまな情報はサイバー犯罪者からしたら宝の山です。
情報漏洩は一度起こってしまうとユーザーだけでなく、取引のある企業からの信用も失墜します。失った信用を取り戻すには相当な時間がかかりますし、最悪、情報漏洩が倒産のきっかけになることも…。
近年は中小企業のホームページが被害に遭う事案が多発しているので、ホームページの規模や取り扱う情報に関わらず、ホームページを運営するなら必ず情報漏洩対策を講じるべきといっていいでしょう。
もしホームページの運用を外部に委託している場合は、必ずバックアップの頻度も確認をするようにしましょう。
ZERO式ホームページ制作はこちら
中小企業のホームページは狙われている?
前項で軽く触れましたが、中小企業のホームページは大企業のホームページよりも狙われやすいです。なぜなら中小企業は大企業よりも対策が甘く、セキュリティを突破しやすいからです。
大企業は不正アクセス被害に遭った場合の被害総額が莫大になるので、どこもセキュリティ対策に余念がありません。具体的にはセキュリティ対策のために十分な予算を充て、セキュリティのプロを雇うか外注し、設備投資も行います。
一方、中小企業はセキュリティ対策に予算を充てるほどの余裕がなく、専門知識を持つ人材も不足している企業が多いため、セキュリティが甘くなってしまう傾向にあります。
また中小企業を狙うサイバー犯罪は先に紹介したサイト改ざんや情報窃取だけが目的ではありません。大企業にサイバー攻撃を仕掛けるため、中小企業のホームページへのシステムを踏み台にすることもあります。
無料でできるホームページ脆弱性チェックサイト
ホームページの脆弱性はホームページを見ただけではわからないものです。自社のホームページに脆弱性がないかチェックしたい場合は専用の脆弱性チェックサイトを利用しましょう。
おすすめは以下の2つのサイトです。
- VirusTotal
- gred
どちらもURLを入力するだけで、ウィルスやワームなどが仕込まれてないかをチェックしてくれます。特にVirusTotalは70社以上のスキャンエンジンを搭載している優れものなので、VirusTotalで問題が検出されなければ安心です。
試しに当サイトの脆弱性について診断してみましょう。
VirusTotalでの診断結果はこちら。
問題がなければ「No engines detected this URL」と表示されます。
ちなみにVirusTotalはURLだけでなく、ファイルをアップロードして脆弱性をチェックできます。しかし、絶対に社外に漏れると困るようなファイルはアップロードしないでください。情報漏洩のきっかけを自ら作ってしまいます。
続いて、gredの結果です。
「このサイトは安全です」と表示されました。
gredは入力したURLだけでなく、リンク先のページも同時にチェック可能です。また不審なプログラムを検知した場合は、プログラムの解析結果をメールアドレスに送信してくれるサービスもついています。
どちらもとても便利なサイトなので、ぜひ活用してみてください。
ホームページを守るセキュリティ対策
ここからはセキュリティ対策の具体的な方法について説明していきます。少し難しい言葉も出てきますが、最後までしっかり読み進めていってください。
ホームページの運営・管理に関するセキュリティ対策
まず、ホームページの運営・管理でできるセキュリティ対策は以下の2つです。
- パスワードの管理
- 共有設定を見直す
特にパスワードの管理は重要ポイントです。パスワードの管理ミスで起きる不正アクセス被害は少なくありません。
パスワードの管理
ホームページのFTPパスワード、レンタルサーバーのID/パスワードなど、ホームページ運営で使用する全てのパスワードは厳重な管理が必要です。
連番や企業の名前など、推測されやすいパスワードは避ける。他で使ったパスワードを使い回さない。パスワードを書いた紙をパソコン横に貼り付けない等々。サイバー攻撃だけでなく、社員のミスによるパスワード漏洩の危険性も考慮して管理方法を考えましょう。
社内全体でパスワードの管理方法を統一したい場合は、パスワード管理ガイドラインを策定しておくと便利です。
共有設定を見直す
クラウド型のWeb制作ツールなど共有サービスを使用している場合は、社員が退職する際に共有設定の権限の見直しを行いましょう。
これは退社する社員からの不正アクセス・情報漏洩を防ぐのが第一目的ですが、不正アクセス被害に遭った時に元社員にいらぬ嫌疑をかけないためでもあります。
またホームページのコンテンツ制作を外注しているのであれば、社員だけでなく、外注先との共有設定にも気をつけてください。
Webアプリケーションのセキュリティ対策
Webアプリケーションとは、TwitterやLINEなどのSNS、Gmail、WordPressなど、インターネットに接続して利用するサービスです。
ホームページ制作に関連するものだけでなく、社内のパソコン・スマホで利用するWebアプリケーションはすべて以下の対策をとるようにしましょう。
- 常に最新の状態にする
- 公開すべきでないファイル・不要なWebサイトは削除
常に最新の状態にする
アプリケーションが公開されたら、サイバー犯罪者は攻撃を仕掛けるためにアプリケーションの脆弱性を探します。一方、アプリケーション開発者をその攻撃を防ぐため、脆弱性を見つけたら、修正プログラムを作ってアップデート版として公開します。
このようにアプリケーションのセキュリティとサイバー犯罪はいたちごっこのようなもので、終わりはありません。しかし、基本的にアプリケーションの最新版は脆弱性が見つかるまで相当な時間がかかるものなので、常に最新の状態を保てばサイバー犯罪のリスクが下がります。
ただオープンソースのアプリケーションは最新版だから安心とまではいえません。オープンソースのアプリケーションはユーザー側が自己責任でセキュリティ面を管理しなければならない部分が多いため、管理者の理解が浅いと、攻撃者につけこまれるような脆弱性を放置してしまうことになるからです。
公開すべきでないファイルや不要なWebサイトは削除
個人情報ファイルや設定ファイルなど、攻撃者に見つかると悪用されるような情報が入ったファイルはオフラインで管理するべきです。オンラインで誤って公開してしまったら、キャッシュも含めて全て削除しておきましょう。
また不要なコンテンツやWebサイトも削除の対象と考えてください。不要なコンテンツやWebサイトは管理が行き届かなくなり、脆弱性が放置され、攻撃の対象にされかねないからです。
Webサーバーのセキュリティ対策
Webサーバーのセキュリティ対策は以下の3つです。
- 常に最新の状態にする
- 不要なアカウントやサービスアプリケーションは削除
- セキュリティの高いレンタルサーバーを使用する
少し難しい言葉が出てきますが、そういうものがあるんだと理解する程度に読み進めていただいても問題ありません。
常に最新の状態にする
WebサーバーもWebアプリケーションと同様に、常に最新の状態に保っておいた方がサイバー攻撃のリスクを下げることができます。
自前のサーバーをご利用の場合は、サーバ自体のOSとサーバソフトウェアのバージョンをチェックして、最新版をインストールしてください。
レンタルサーバーはサーバーのスペックを確認できる業者とそうでない業者があります。基本的にはどの業者でも最新状態に保たれていると考えていいと思いますが、不都合がなければ、エックスサーバーやさくらインターネットのようなスペック確認ができるサーバーの利用をオススメします。
不要なアカウントやサービスアプリケーションは削除
管理が行き届かないアカウントやサービスアプリケーションは攻撃の対象になりやすいので、不要だと判断したら即座に削除しましょう。
ちなみにどんなサービスでもサーバーにある程度負荷をかけているので、停止して削除すれば、サーバーの処理速度は向上します。
セキュリティの高いレンタルサーバーを使用する
サーバーに実装されている主なセキュリティ機能は以下のとおりです。
- SSL(データ暗号化)
- WAF(Webアプリケーションファイアウォール)
- Web改ざん検知
- IPS・IDS(不正侵入検知・防止システム)
業者や契約内容によって、使用できるセキュリティ機能が異なるので、レンタルサーバーを選ぶ際はセキュリティ機能も比較ポイントに入れましょう。
また、なかには有料のセキュリティ機能もありますが、当然導入すればセキュリティレベルは上がります。
(※各セキュリティ機能については後述する「その他のセキュリティ対策」で一部説明します。)
ネットワークのセキュリティ対策
インターネットに接続する環境まわりの対策は以下の2つです。
- ルーターを利用する
- ファイアウォールを利用する
ネットワークが汚染されると社内全体のパソコンに被害がおよぶので、特に気をつけて対策を講じなければならないポイントです。
ルーターを利用する
セキュリティの観点からみれば、ルーターはネットワークとデバイスの間に立つ「門番」のようなもので、基本的にサイバー犯罪者はルーターを制圧しないとハッキングはできません。
またルーターがあれば自社のネットワークに接続する全デバイスの確認と特定ができるので、信頼できないデバイスの発見とブロックに役立ちます。
なお、無線LANルーターと有線LANルーターでは、有線の方がセキュリティレベルは上です。
近年は無線LANルーターの脆弱性を狙った不正アクセスが多発しているので、会社には有線LANルーターの導入をオススメします。
ファイアウォールを利用する
ファイアウォールは外部ネットワークから内部ネットワークに侵入する不正アクセスを監視・通知・遮断するシステムです。
WindowsやMacのOSやルーターには最初からファイアウォールが実装されていますが、これだけでも十分セキュリティ対策になりますし、専用ソフトで既存のファイアウォール機能を拡張するなど、さらに強固なセキュリティを敷くこともできます。
ファイアウォールで単純かつ効果的な機能は、特定IPアドレスのアクセスブロックです。ハッキングは海外経由で行われることが多いため、ファイアウォールで海外IPアドレスを全部遮断しておけば、攻撃対象になるリスクを大幅に下げることができます。
その他のセキュリティ対策
最後に以下の3つのセキュリティ対策について紹介します。
- 常時SSL化にする
- クラウド型「WAF」を導入する
- 「IPS」「IDS」を導入する
常時SSL化は今やセキュリティ対策の基本中の基本です。必ず実施してください。
常時SSL化にする
SSL化とはユーザーが使用するブラウザとサーバー間の通信データを暗号化することを指し、通信データの盗聴や改ざんを防止する目的で行います。GoogleはWebサイトの全ページをSSL化する「常時SSL化」を推奨しているので、SEO対策の上でも必須施策です。
常時SSL化の方法は各サーバーのマニュアルでご確認ください。
ちなみにSSL化が完了しているサイトのURLの冒頭は「https」、SSL化していないサイトのURLの冒頭は「http」となっています。またChromeだと非SSLサイトはアドレスバーに「保護されていません」と警告文が出るので、大半のユーザーは即離脱します。
クラウド型「WAF」を導入する
クラウド型WAF(Web Application Firewall)とは、インターネット上で提供されているWebアプリケーション防御システムです。
従来のWAFに比べると、クラウド型WAFは求められる知識は圧倒的に少ないので、セキュリティ初心者でも導入しやすいシステムとなっています。また、専用の機材購入やネットワーク構築も不要なため、初期費用を抑えつつ、短期間で導入できます。
「IPS」「IDS」を導入する
IPS(Instrusion Prevention System)は侵入防止システムのことで、IDS(Intrusion Detection System)は侵入検知システムです。
IPS・IDSはファイアウォールでは防御しきれない、Ddos攻撃やワームなどサーバーやOSに負荷をかけたり停止させるタイプの攻撃を防げるので、ファイアウォールと相補関係にあります。
IPS・IDSを単独で提供するサービスもありますが、サーバーに実装されているものか、クラウド型WAFとセットで提供されているIPS・IDSを利用した方が一括管理しやすいです。
まとめ:セキュリティ対策を行いホームページの安全性を高めよう
「うちは有名な会社じゃないから大丈夫」とセキュリティ対策を怠ってしまうのは経営者・管理者として甘すぎる考え方です。
中小企業のホームページは大企業ほどセキュリティを強固にしていないため、サイバー犯罪者に狙われやすくなっています。
情報漏洩などによって社会の信頼やお客様からの信用を失ってから対策をしていては遅いので、できるかぎりのセキュリティ対策を講じましょう。
この記事のおさらいポイント
・ホームページダウンで売上が落ちる
・中小企業のホームページは狙われやすい
・パスワードの管理方法は社内で統一
・社員が退社したら共有設定の見直し
・アプリやサーバーは常に最新の状態にする
ホームページは、制作して終わりではなく、公開後の集客が必要になります。
我々はSEOに強いサイト設計とコンテンツ作りを強みに、公開後も検索エンジンから集客し続けるホームページをご提案できますので、集客にお困りの方はお気軽にご相談ください!
を作る方法|注意点やツールも紹介-300x200.png)
は?|具体的な数字を公開-300x200.png)
