ホームページに適切なセキュリティ対策が施されていないと、さまざまなリスクを招くことをご存じでしょうか。中小企業こそ、ホームページのセキュリティ対策が必要です。本記事では、サイバー攻撃の被害例や具体的なセキュリティ対策について解説します。

プロが作って、自分で簡単更新!
運用費用ゼロのホームページ作成サービス

初期費用55,000円、月額5,500円で高品質なホームページを作成可能!

お客様に最適な構成やデザインをプロが作成し運用までサポートするので、安心して任せることができます。
ホームページの更新は直感的に操作可能な管理画面からお手軽に更新可能です。

  • お客様に何を伝えたらよいかわからない
  • どんなデザインにしたらよいかわからない
  • 作った後の更新・運用方法がわからない

上記のようなホームページ作成のよくある悩みをsiteflowでカンタンに解決!
まずは無料相談をご利用ください。

ホームページのセキュリティは中小企業こそ大事

大企業はホームページのセキュリティ対策にも力を入れています。そのため、サイバー攻撃を考えているハッカーなどは、セキュリティのしっかりした大企業よりも、つけ入る隙のある中小企業をターゲットとするケースが少なくありません。だからこそ、中小企業は適切な対策を行う必要があります。

中小企業が狙われる理由

さまざまな理由が考えられますが、先述したように中小企業はホームページのセキュリティ対策を、徹底させていないケースが多く見受けられます。リスクを犯して大企業のホームページを攻撃するよりも、対策の甘い中小企業を狙ったほうが犯罪者にとって効率がよいのです。

最終的なターゲットは大企業であるものの、そこへいたるための踏み台として中小企業が狙われるケースも少なくありません。何の接点もない外部からではアプローチできないため、接点のある中小取引企業のホームページを経由し、攻撃するのです。

たとえば、セキュリティの甘い中小企業へサイバー攻撃を仕掛け、メールを不正に利用するケースが考えられます。取引先の担当者であることを装い、偽のメールを送って送金を促す犯罪が実際に起きています。

セキュリティ漏れによる企業ダメージ

ビジネスにおける機会損失が考えられます。たとえば、サイバー攻撃によりホームページが表示できなくなったとしましょう。このケースでは、アクセスしてきた方がホームページを閲覧できないため、商品やサービスを調べたり、購入したりできません。ページから離脱してしまい、セールスのチャンスを失ってしまいます。

企業としての信用を失ってしまうリスクも考えられます。現代ビジネスにおいて、ホームページは欠かせない存在といっても過言ではありません。企業の顔として機能している一面もあるため、閲覧できないとなれば「管理がきちんと行き届いていない会社」と評価されるおそれがあります。

また、ホームページの内容を改ざんされてしまうリスクも考えられます。入金先を改ざんされて悪意ある者へお金が流れてしまう、お客様の入力した個人情報がわたってしまう、といったことも考えられるでしょう。

セキュリティ漏れによる被害例

これまで、実際に攻撃を受けたことがない企業では、セキュリティ漏れによる被害をイメージしにくいかもしれません。実際にどのような被害があるのか、実例をいくつかご紹介しましょう。

情報漏洩

企業がもっとも懸念すべきは、情報漏洩です。不正アクセスや悪意あるプログラムを埋め込まれることにより、お客様の個人情報を流出させてしまうおそれがあります。

個人情報の保護が叫ばれる昨今において、顧客情報を流出させた事実は企業にとって大きなダメージとなるでしょう。これまで積み上げてきた顧客からの信用を一度に失ってしまうことが懸念されます。

取引先とのやり取りに関する情報が流出してしまうケースでは、取引先との関係性悪化が懸念されます。信用できない企業との烙印を押されてしまい、今後取引を継続してもらえないかもしれません。それが事業に大きく関係している企業なら、事業の継続そのものが困難となってしまう可能性さえあります。

ホームページ改ざん・ダウン

これも、サイバー攻撃の被害としてよくあるパターンです。知らず知らずのうちに内容を改ざんされてしまうと、さまざまな被害が生じる可能性があります。訪問者に誤った情報を伝えてしまう、入金先の情報を書き変えられてしまうなど、考えられるリスクがたくさんあるのです。

企業の顔たるホームページに、反社会的な内容や差別的な文章を勝手に追加されていたとしたら、どうでしょうか。あたかも企業がそのような内容をホームページにアップしたかのように受け取られてしまい、訪問者や顧客・取引先の信用を失ってしまうおそれがあります。

また、ホームページがダウンして閲覧できなくなると、機会損失にもつながります。満を持して新商品を発売した当日にダウンさせられた、となると目もあてられません。

マルウェア感染

マルウェアとは、悪意あるプログラムの総称です。コンピューターウイルスとも呼ばれますが、ウイルスもマルウェアの一種です。よく知られるマルウェアには、トロイの木馬やワーム、スパイウェアなどがあります。

近年では、ホームページへマルウェアを仕込むサイバー攻撃が増えているため、注意が必要です。マルウェアに感染してしまったホームページでは、さまざまな不具合が発生します。内容の更新や編集などが一切できなくなるケースもあるため、注意が必要です。

また、ブラウザの情報を書き換えることにより、アクセスしてきた者を別サイトへ誘導するようなものもあります。機会損失が生じるのはもちろん、企業としての信頼を地に落としてしまうため注意しなくてはなりません。

サイバー攻撃について解説

本記事の中でもすでに何度か登場しているサイバー攻撃ですが、そもそもどのようなものなのか理解していない方もいるでしょう。ここでは、サイバー攻撃の基本的な知識から、具体的な攻撃の種類について解説します。

サイバー攻撃とは?

オンラインを介した悪意ある攻撃のことを指します。サイバーテロと呼ばれることもありますが、基本的に意味は同じです。クラッキング行為の一種であり、マルウェアを使ったものからフィッシング、不正アクセス、改ざん、DoS攻撃、BECなどさまざまな手口が存在します。

インターネットの普及に伴い、サイバー攻撃の手口も増えてきました。手口が増えているだけでなく、年々複雑かつ巧妙化していることも特徴です。そのため、企業は常に情報をアップデートし、進化し続けるサイバー攻撃に対処する必要があります。

サイバー攻撃の種類

SQLインジェクションやクロスサイトスクリプティング、DoS、DDoS攻撃など、さまざまな種類があります。サイバー攻撃から組織を守るためには、手口ごとの内容や特徴を把握しておかねばなりません。それぞれ詳しく見ていきましょう。

SQLインジェクション

データベースへダイレクトにアプローチを仕掛けるサイバー攻撃の一種です。SQLはネットワーク上のデータベースを操作するためのデータベース言語です。SQL言語による命令をホームページへ注入し、本来とは異なる意図しない動作を起こさせます。

個人情報の搾取に用いられることの多い手口です。事実、過去には大手家電メーカーがSQL攻撃に遭い、多くの顧客情報を流出させてしまいました。

クロスサイトスクリプティング(XSS)

先述したSQL攻撃は、データベースへアタックすることが特徴でしたが、こちらはホームページへ攻撃を仕掛けます。不正なスクリプトの埋め込みにより、本来とは異なる動作を生じさせるサイバー攻撃です。

クロスサイトスクリプティング(XSS)の怖いところは、アクセスしてきた人々が直接的な被害を負ってしまうことです。不正なスクリプトの効果により、偽のホームページへ誘導され、そこで個人情報やクレジットカード情報などを抜きとられてしまうおそれがあります。

このような、偽サイトを使用したフィッシング以外にも、入力フォームから個人情報を収集するケースもあるため注意が必要です。

DoS攻撃・DDoS攻撃

サーバへのダイレクトな攻撃で、ダウンさせることを目的に行われます。意図的にサーバへ大きな負担をかけ、処理が困難な状態に追い込むことでダウンさせる手口です。

古くから行われているサイバー攻撃の手口であり、代表的なところではF5アタックと呼ばれるものが挙げられます。ページ更新の役割を担うF5キーを連続で何度も押し続けることにより、サーバへ負担をかけるのです。

似た手口としてDDoS攻撃がありますが、こちらは複数の端末を使用した一斉攻撃です。通常のDoS攻撃よりもサーバへ大きな負荷がかけられることが特徴です。

ブルートフォースアタック

古くからある手口のひとつですが、いまだに用いられることの多いサイバー攻撃です。いくつかの手口がありますが、よく知られているのはIDやパスワードを1つずつ試し解析する方法です。

システムへ侵入するには、IDやパスワードを入力しなくてはなりません。そのため、正解を導き出せるまで、あらゆる組み合わせで試していくのがこの方法です。

管理権限のあるIDやパスワードを割り出されてしまうと、内部の情報を抜きとられる、なりすまされるといった被害が生じます。ページに手を加えることもできるため、自分たちに都合のよいように改ざんされてしまうおそれもあるのです。

ゼロデイ攻撃

数あるサイバー攻撃の中で、もっとも脅威であると認識されているのがゼロデイ攻撃です。ソフトウェアやシステムの脆弱性を狙った攻撃で、防御できる体制が整う前に一斉攻撃を行うことが特徴です。

通常、ベンダーはソフトウェアやシステムに脆弱性が見つかると、修正パッチをユーザーへ提供します。しかし、毎回ベンダーが悪意ある者たちより先に、脆弱性を発見できるとは限りません。

悪意ある者が先に脆弱性を発見した場合、今がチャンスといわんばかりに一斉攻撃を仕掛けます。ベンダーが脆弱性を認識できていなければ、対策のしようもありません。それゆえに、ゼロデイ攻撃は恐ろしいのです。

サイバー攻撃被害の調査方法

サイバー攻撃の対象となっているにも拘わらず、何も対処しないとなるとさらに大きなダメージを受ける可能性があります。適切な対処を行うため、まずは調査を実施しましょう。サイバー攻撃を受けたかどうかを調査する手法としては、フォレンジック調査が挙げられます。

フォレンジック調査とは

正しい手続きに則り、事実確認や被害状況を調べることをフォレンジック調査と呼びます。コンピューターフォレンジックとネットワークフォレンジックの2種類があり、前者はデジタル機器から、後者はネットワーク上のデータから調査します。

最大の特徴は、法的効力を有する調査手法であることです。被害状況を正しく把握できるだけでなく、今後裁判になったときに証拠として提出することもできます。

実際の調査においては、まず証拠の保全を行います。裁判で有効な証拠とするため、フォレンジック調査で適切に証拠を保全します。必要に応じてデータの復旧や復元も行い、抽出したデータの解析や分析も行います。最後に、すべての調査結果を報告書としてまとめて提出し終了です。

フォレンジック調査を利用するケース

サイバー攻撃の対象になっているか、攻撃を受けているかどうかを確認するだけなら、フォレンジック調査でなくても可能です。では、なぜサイバー攻撃の調査にフォレンジック調査を採用するケースが多いのでしょうか。

もっとも大きな理由として、裁判時における有効な資料となることが挙げられます。先述したように、この調査で導き出した結果は裁判における証拠として使用できます。攻撃を受けたことを証明し、加害者へ賠償を求めるにはフォレンジック調査により導き出した証拠が必要なのです。

裁判利用での証拠が必要なケースとなると、マルウェアやハッキングなどのサイバー攻撃をはじめ、社内不正も考えられます。また、近年では労務関連におけるインシデント調査に用いられることも増えてきました。

フォレンジック調査にかかる費用・相場

フォレンジック調査は、専門業者へ依頼して実施します。調査の内容や規模、依頼する業者などさまざまな要素によって、費用が異なることは理解しておきましょう。

一般的には、調査する機器1台につき数十万~数百万円程度といわれています。とはいえ、ケースバイケースで費用が大きく変化するため、一概にはいえません。フォレンジック調査を検討しているのなら、専門業者をいくつかピックアップしたうえで見積もりをとり、比較しながら選ぶことをおすすめします。

ホームページのセキュリティ対策の方法

どのような企業でも、サイバー攻撃の脅威にさらされるリスクがあります。ダメージを受ける前に、適切な対策を施しサイバー攻撃を回避しましょう。ここでは、ホームページ上でのセキュリティ対策を解説します。

WordPressを使用している場合

扱いやすさや拡張性の高さから人気のあるWordPressですが、近年では、企業がWordPressを使ってホームページを制作するケースも増えました。WordPressのセキュリティ対策としては、プラグインのアップデートおよび、セキュリティプラグインの導入が考えられます。

WordPress・プラグインのアップデート

WordPressは、これまでに何度も新たなバージョンがリリースされています。ユーザーがサイバー攻撃の被害に遭わないよう、常にシステムを進化させているのです。安全にWordPressを利用できるよう、新しいバージョンへアップデートすることを忘れないでください。

おすすめなのは、自動アップデートを有効にしておくことです。新たなバージョンがリリースされると、自動的に適用してくれるため安心です。

なお、WordPress本体だけでなく、プラグインのアップデートも忘れてはいけません。プラグインの脆弱性をついて、攻撃されるリスクもあります。使用しているプラグインのバージョン情報にアンテナを張り、適宜アップデートを実行してください。

セキュリティプラグインを導入

WordPressは世界中でもっとも多く利用されているCMSです。ユーザー数の多さからサイバー攻撃の対象にもなりやすく、過去には多くの方が被害に遭っています。

そうした事情もあり、WordPressはセキュリティプラグインをリリースしています。いくつものセキュリティプラグインがあるため、実装してサイバー攻撃を防御しましょう。

代表的なセキュリティプラグインには、「iThemes Security」が挙げられます。操作は少々難しいものの、ハイレベルなセキュリティを実現できます。ほかにも、不正ログイン対策で効果を発揮してくれる「SiteGurad WP Plugin」や、設定の手軽さで人気の「BulletProof Secrity」などがおすすめです。

Webサーバ周辺のネットワークセキュリティ対策

さまざまなセキュリティ対策が考えられますが、代表的なものにはファイアウォールの利用やIPSによるDoS攻撃の防止、WAFを活用したSQLインジェクション、XSSの防止などがあります。詳しく見ていきましょう。

ファイアウォールでポートスキャンを防止

ポートスキャンは、サイバー攻撃を実行しようとする者が、事前調査として行うことも少なくありません。サーバへのポートスキャンが実行されると、ポート番号やFTP、バージョンなどさまざまな情報を抜きとられてしまいます。

悪意のあるポートスキャンを防止するには、ファイアウォールの設置が効果的です。使用していないポート・プロトコルを閉じることにより、悪意ある攻撃者からのアプローチを防げます。

ファイアウォールの設置は、不正アクセスの検知にも役立ちます。アクセス履歴のログを残せるため、チェックすれば不正アクセスの有無を把握できるのです。ただ、ファイアウォールの効果を最大限発揮するには、適切な設定が必要不可欠なことを忘れないでください。

IPSでDoS攻撃を防止

通信経路への設置により、不正な侵入を防止できるシステムがIPSです。モニタリングにより不正な侵入をチェックし、異常を発見したときは管理者へ通知します。通知だけでなく、通信をシャットアウトできるのも大きな特徴といえるでしょう。

IPSを設置すれば、DoS攻撃にも対処できます。悪意をもつ者からの侵入をリアルタイムに検知でき、適切な対応が可能です。ファイアウォールとも組み合わせれば、よりセキュリティレベルを向上できるでしょう。

WAFでSQLインジェクション・XSSを防止

WAFとは、Web Application Firewall の頭文字をとって略したものです。ソフトウェアやシステムの脆弱性につけ込んで攻撃しようとする者から、ホームページを守ることのできるセキュリティ対策ツールです。

IPSも優れた防御システムですが、これだけではSQLインジェクションやXSSを防げません。これらの攻撃は、DoS攻撃とは性質が異なるからです。WAFの実装により、ファイアウォールやIPSをクリアした不正な侵入を防止できます。

Webサーバを構成するプログラム周辺のセキュリティ対策

必要のないプログラムは削除し、定期的にアップデートするなど、基本的な対策を行うことが大切です。また、必要に応じたアクセス制限やパスワードの管理、ログの取得や保管も必要なセキュリティ対策といえるでしょう。

必要のないプログラムは削除

使いもしないプログラムを、いくつも常駐させているケースは少なくありません。「そのうち使うから」「あって困るものではないから」とそのまま放置しているケースもありますが、注意が必要です。

追加しているプログラムの数が多くなればなるほど、悪意をもつ者につけ入る隙を与えてしまいます。プログラムには脆弱性がつきものであり、数が増えるほどセキュリティホールも多くなるからです。

自ら攻撃されやすい環境を整えることになってしまうため、必要のないプログラムはこまめに削除しましょう。また、プログラムを新たに追加するときは、本当に今必要なものなのかどうかを考えることが大切です。むやみに数を増やすのは、リスクを高めるためおすすめできません。

システム・プログラムの脆弱性対策・アップデート

システムやプログラムの脆弱性をカバーするには、適宜アップデートが必要です。サイバー攻撃の手口や手法は、どんどん進化しています。アップデートをしないままの状態が続くと、いつ攻撃を受けるかわかりません。

適宜アップデートすることにより、少しでもリスクを軽減できます。最新のバージョンがリリースされたら、可能な限り速やかにアップデートを実行しましょう。

アカウント管理・アクセス制限

アカウント管理がいい加減では、クラッカーやハッカーの餌食になってしまうおそれがあります。管理者になりすまされてしまい、内容の改ざんや顧客情報の流出といった事態を招きかねません。

このような事態を回避すべく、アカウントの管理は適切に行いましょう。職場を去った人が過去に使っていたアカウントも、退職したあとは必ず削除することです。どこから情報が漏れて、不正アクセスにつながるかわかりません。テストアカウントも同様に、放置しないことが大切です。

必要に応じたアクセス制限も実行しましょう。だれでもアクセスできるような状態では、侵入してくれといっているようなものです。内部不正によるトラブルが発生するおそれもあるため、アクセス制限についてもしっかり考えましょう。

パスワードは12桁以上

短いパスワードよりは、長いほうがセキュリティ対策として有効です。とくに12桁以上のパスワードを設定すれば、そう簡単に見破られることはないといわれています。基本中の基本ではありますが、意外とパスワードを軽視している方は少なくありません。

当然のことですが、予想されやすい数字の組み合わせはNGです。管理者の生年月日や車のナンバーなど、推測されやすい数字は簡単に見破られてしまうおそれがあるため用いるのは避けましょう。

また、英字も大文字や小文字を含めて使用し、数字も組み合わせるとより効果的です。そのうえ12桁以上と長めのパスワードにすれば、簡単に推測されることはないでしょう。すべての組み合わせを試すのが非現実的となるレベルであるため、効果的なセキュリティ対策が可能です。

システム・アプリケーションログの取得・保管

不正アクセスの痕跡を確認できれば、その情報からさまざまな分析が可能です。今後の具体的な対策も打ち出せるため、システムやアプリケーションのログは適宜取得しましょう。

気が向いたときだけログを取得するようでは不十分です。定期的にチェックし、不正なアクセスの痕跡がないか確認しましょう。ログのチェックに関するルールを社内で設けるのもよいかもしれません。必要なとき分析に使用できるよう、適切な方法でログを保管することも大切です。

この際、後々検索しやすくするため、該当するログがどのシステム・アプリケーションのものか、日時はいつのものか、といった情報を整理することを忘れないようにしましょう。

ホームページセキュリティチェックツールの紹介

自社のホームページがどの程度のセキュリティレベルを実現できているのか、確認してみたくありませんか?ここでは、手軽にセキュリティチェックができるツールを3つほどピックアップしました。

Observatory by Mozilla

引用元:Observatory by Mozilla(https://observatory.mozilla.org/

公式サイトの入力フォームへ、自社ホームページのドメインを入力するだけでセキュリティレベルを評価してくれるサービスです。どの程度のセキュリティレベルを達成できているのか、ランク付けにより評価してくれるため、客観的に現状を把握できます。

ツールの利用は無料であるため安心してください。利用したからといって自動的に課金されるような仕組みもありません。表示されるスコアには、Cookieやリダイレクト、リファラーポリシーなどがあり、細かく評価してもらえます。

gred

引用元:gred(http://check.gred.jp/

こちらも無料で利用できるツールです。公式サイトへアクセスし、トップページの入力フォームへ調査したいホームページのURLを入力しましょう。完了したらCHECKをクリックしてください。

判定結果は、安全であるかそれとも危険があるのか、シンプルに表示されます。また、gredでは、フィッシングサイトやワンクリック詐欺サイト、不正改ざんサイトなども判別可能です。定期的にチェックすれば、知らず知らずのうちに内容を改ざんされていないか把握できます。

VirusTotal

引用元:VirusTotal(https://www.virustotal.com/gui/

無料でウイルスへの感染がないか確認できるツールです。64MB以下および単一のファイルを検査でき、約60種類にもおよぶアンチウイルスエンジンを駆使してチェックしてもらえます。

こちらも使い方は簡単で、公式サイトのトップページに設置されてある入力フォームへURLを入力するだけです。あとは、「スキャンする」をクリックすれば、分析結果が表示されます。

セキュリティ対策に役立つ助成金

セキュリティ対策を行いたいと考えているものの、予算的な問題を抱えているケースが考えられます。ここでは、セキュリティ対策に役立つ助成金をいくつかご紹介しましょう。

サイバーセキュリティ対策促進助成金

公益財団法人、東京都中小企業振興公社が提供している助成金の一種です。サイバーセキュリティ対策の実施に伴う、設備等の導入を支援してもらえます。

助成金の下限額は30万円、上限は1,500万円です。申請は事前予約による対面受付で、申請書類一式を持参しなくてはなりません。助成対象となる事業者および経費が細かく定められているため、気になる方は公式ホームページでチェックしてみましょう。条件をクリアできれば、セキュリティ対策向上の大きな助けになります。

IT導入補助金

労働生産性の向上に寄与するITツール導入を支援してもらえる制度です。ソフトウェア費や導入関連費に補助金を利用でき、ハードウェアやレンタル費用は対象外です。

補助対象となるには、中小企業かつ、10項目ほどの条件をクリアする必要があります。対象事業には2つの条件があり、日本国内で実施される事業で、IT導入支援事業者が登録するITツールを導入する場合に申し込めます。

類型により異なりますが、30~150万円、150~450万円までの補助を受けられます。原則、ツールの導入に要した費用の1/2~2/3となっているため注意が必要です。

まとめ

狙われやすい中小企業だからこそ、ホームページの適切なセキュリティ対策に取り組みましょう。適切なセキュリティ対策ができていないと、機会損失による経済的なダメージだけでなく、企業としての信頼を失うリスクもあります。

まずはどのようなサイバー攻撃の種類があるのかを把握し、心配なら一度フォレンジック調査も実施してみましょう。本記事でお伝えした、具体的なセキュリティ対策にもぜひ取り組んでください。

プロが作って、自分で簡単更新!
運用費用ゼロのホームページ作成サービス

初期費用55,000円、月額5,500円で高品質なホームページを作成可能!

お客様に最適な構成やデザインをプロが作成し運用までサポートするので、安心して任せることができます。
ホームページの更新は直感的に操作可能な管理画面からお手軽に更新可能です。

  • お客様に何を伝えたらよいかわからない
  • どんなデザインにしたらよいかわからない
  • 作った後の更新・運用方法がわからない

上記のようなホームページ作成のよくある悩みをsiteflowでカンタンに解決!
まずは無料相談をご利用ください。