ホームページ制作後、「ホームページのセキュリティ対策は必要?」「具体的に何をすればいい?」とお悩みのWeb初心者の方も多いですよね。「サイバー攻撃で狙われるなんて大企業だけ」と思っていたら間違いです。現在はメインターゲットが大企業から、セキュリティ保護が弱い中小零細企業にシフトしてきており、万全のセキュリティ対策が必要です!
この記事では、ホームページを制作するうえで最低限必要なセキュリティ対策や、おすすめのセキュリティ対策方法を解説していきます。はじめてホームページ制作をする方、セキュリティリスクやセキュリティ対策方法を知りたい方は、ぜひ最後までご覧ください。
「そこまで費用を掛けられない」「費用を安く抑える方法はないか」とお悩みの方にも、アップグレードなら国および地方団体の「補助金」や「助成金」を活用したご提案ができますので、ご興味のある企業様はお問い合わせください。
\ 補助金・助成金を活用したご提案が可能! /
ホームページにセキュリティ対策をしていないとどうなる?|代表的な攻撃方法と被害・損害リスク
近年急増するサイバー攻撃。
これまでは大企業がターゲットとされていましたが、最近では中小零細企業がメインターゲットとなりつつあります。その理由として、大企業と比較すると中小企業ではホームページのセキュリティ対策が十分に行き届いていない傾向にあるため、攻撃する側にとっては攻めやすくターゲットにしやすいからです。
また、大企業のホームページのセキュリティが頑丈である場合、攻撃者はその取引先である中小企業を狙うこともあります。中小企業のセキュリティホールを狙うことによって、大企業との取引履歴やメールなどを経由して、大企業のシステムの内部まで侵入しやすくなるため、中小企業が踏み台として利用されることもあるのです。
外部からの攻撃を受けた後に、致命的な被害や損害から免れたとしても、一時的なシステムダウンや個人情報漏洩のリスクがあります。顧客へのクレーム対応やシステムの見直しで大きなコストと労力がかかります。
まずは、ホームページのセキュリティ対策をしていない場合に起こりうる危険な事態、代表的な攻撃方法と被害・損害リスクについて詳しく解説します。
代表的な攻撃方法と被害・損害リスク一覧表
ここでは、大企業や中小零細企業を狙うサイバー攻撃方法のさまざまな手口と、発生するリスク・被害・損害について一覧表を掲載します。※表の後に各詳細を記載しています。
| 起こる現象 | 代表的な攻撃方法 | 発生するリスク・損害・被害 |
|---|---|---|
| ホームページの改ざん | XSS(クロスサイトスクリプティング) | ユーザーが偽サイトに誘導されることで個人情報を不正取得されるリスクがある |
| マルウェア感染 | ユーザーのコンピューターがウイルスに感染して、データの損傷や情報が盗まれるリスクがある | |
| サーバーダウン | DDoS攻撃(分散型サービス拒否攻撃) | ・ホームページが閲覧不可・システム機能不能になり、Webサービスの停止による集客数の低下や売上損失 ・DDoS攻撃に1度成功すると複数回に渡って狙われるリスクがある |
| 個人情報の漏洩 | SQLインジェクション | 顧客情報が流出して損害賠償の発生や企業の信用低下に繋がる恐れがある |
| ブルートフォースアタック(総当たり攻撃) | パスワードが破られ、管理者権限で不正アクセスが行われる | |
| ホームページの脆弱性を狙った攻撃 | ゼロデイ攻撃 | OSやソフトウェア未修正の脆弱性を悪用して、修正プログラムが配布される前にシステムにアクセスする危険性がある |
| ホームページ訪問者の情報が盗まれる | 公共Wi-Fiの利用でCookie情報が盗まれる | ユーザーのセッション情報や個人情報が盗まれ、不正ログインや詐欺行為に悪用されるリスクがある |
サイバー攻撃で起こる現象①ホームページの改ざん
外部からのサーバー攻撃により、ホームページの内容が勝手に書き換えられる(間違った情報や騙すようなコンテンツ等)など、改ざんされるリスクがあります。ホームページのセキュリティが「保護なし」の状態や、セキュリティ対策が中途半端で脆弱性がある場合、自社のWebサイトが改ざんされる危険性が高いです。
ホームページが改ざんされることで企業の信頼性を失い、今後の取引にも悪影響を及ぼすリスクがあります。
代表的な攻撃方法:「XSS(クロスサイトスクリプティング)」「マルウェア感染」
ホームページ改ざんの現象を引き起こす代表的な攻撃方法は、「XSS(クロスサイトスクリプティング)」と「マルウェア感染」です。
●XSS(クロスサイトスクリプティング)
Webサイト運用における脆弱性を悪用して、悪意のあるスクリプトを埋め込み、ホームページの訪問者が使用するWebブラウザ上で実行させる攻撃。
XSSによる攻撃を受けると、個人情報やクレジットカードなど重要な情報が盗まれるリスクがあります。
●マルウェア感染
「マルウェア」とは、パソコンやスマートフォンなどの通信機器に対して、正常な使用を妨げるまたは損害を与えるなど、悪意のあるソフトウェアです。マルウェアが組み込まれたリンクやファイルをホームページに埋め込み、サイト訪問者のパソコンやスマートフォンに感染させることをマルウェア感染と言います。
マルウェアに感染した場合、ホームページの改ざんやデータの削除、個人情報漏洩、パソコンやスマートフォンの機能停止など、さまざまな被害が想定されます。
マルウェアで代表的なものをいくつか挙げると、以下の通りです。
・ランサムウェア
ネットワークやシステムに侵入してデータ暗号化や通信端末をロックして、データを復元させるためにお金を要求する不正なプログラムです。身代金要求型不正プログラム、身代金要求型ウイルスとも言います。
・スパイウェア
ID、パスワード、Webブラウザの閲覧履歴、クレジットカードなどの個人情報を密かに収集して、ユーザーには気づかれないようにバックグラウンドで動作します。スパイウェアに感染すると、通信端末の動作が遅くなり、個人情報が人の手に渡って詐欺や不正利用されるリスクがあります。
・アドウェア
「アドウェア」とは、インターネット上に広告を表示して収益化することを目的としたソフトウェアです。 アドウェアに感染した場合、通信端末の動作が遅くなり、クラッシュする、ポップアップ広告が頻繁に表示されるなどの異変が生じます。アドウェアにスパイウェアが組み込まれた悪質なタイプのものもあります。
・スケアウェア
虚偽の内容の警告を表示してユーザーの恐怖心をあおり、解決する方法としてマルウェアを購入させようとする悪質な手口。その典型的な手口がサポート詐欺で、いきなり「ウイルス感染」といった音声が流れて全画面表示になり、連絡先の電話番号が表示されます。
発生するリスク・被害・損害
●ユーザーが不正サイト「フィッシングサイト(偽サイト)」に誘導される
攻撃を受けることで、ユーザーがフィッシングサイト (偽サイト) などの不正サイトに誘導されるリスクがあります。フィッシングサイトでは、金融機関の口座番号・クレジットカード番号・住所・氏名・電話番号などの個人情報やログイン情報の入力を要求する画面が表示されることもあります。
●ユーザーのコンピューターが感染する
改ざんされたホームページからマルウェアが侵入すると、気づかないうちに自社のWebサイトが悪意のあるサイバー攻撃に加わり、ユーザーのコンピューターが感染するリスクもあります。これによって企業やブランドのイメージダウンになり、信頼性が損なわれて再発防止策には時間と費用がかかってしまうこともあります。
●関係のないメッセージが書き込まれる
攻撃を受けてホームページが改ざんされた場合に、自社とは関係のないメッセージや不正なコメントが書き込まれることがあります。
サイバー攻撃で起こる現象②サーバーダウン
サーバーに何らかのトラブルが発生してホームページが一時的に閲覧できなくなり、利用停止の状態になることをサーバーダウンと言います。ホームページが攻撃されることで長時間に渡って利用停止になると、ユーザーがアクセスできなくなり、その間のWeb集客数や売上にも大きく影響を及ぼします。
代表的な攻撃方法:「DDoS攻撃(ディードス攻撃)」
サーバーダウンを引き起こす代表的な攻撃方法は「DDoS攻撃(ディードス攻撃)」です。直近では大手都市銀行のネットバンキング・航空会社・暗号資産交換業者のWebサイトやネットワークシステムなど、日本国内の企業で被害を受けた事例があります。
●DDoS攻撃(ディードス攻撃・分散型サービス妨害攻撃)
DDoS攻撃は、複数台のコンピューターを駆使して特定のサーバーをターゲットにして大量のリクエストを送信して、サーバーダウンさせる仕組みです。
発生するリスク・被害・損害
●ホームページが閲覧できなくなる
DDoS攻撃を受けてサーバーダウンすると、企業やお店のホームページにアクセスできなくなり、正常の状態に改善されるまでの間は閲覧不可、システム機能が不能となります。ホームページに予約システムやお問い合わせフォームなどの機能が搭載されている場合は、ユーザーが一時的に利用できなくなります。
●サービスサイトやECサイトは営業できなくなる
とくにネット通販やECサイトがサーバーダウンの状態になった場合、ユーザーからのアクセスが一時的に途絶えることで多くのユーザーが商品購入やサービス利用の機会を失い、収益の減少や信頼性の低下にも繋がります。この他にも一時的なシステム障害やセキュリティ脆弱性などの原因が考えられます。
サイバー攻撃で起こる現象③個人情報の漏洩
企業やお店で最も重要な、個人情報の厳重な保護・管理。自社のホームページが攻撃を受けて、顧客の個人情報が外部に漏れてしまうと、重大なインシデントとなります。
ここでは個人情報漏洩のリスクを引き起こす代表的な攻撃方法と、それにともなって発生するリスク・被害・損害について見ていきます。
代表的な攻撃方法:「SQLインジェクション」「ブルートフォースアタック (総当たり攻撃) 」
個人情報の漏洩を目的とした代表的な攻撃方法では、「SQLインジェクション」や「ブルートフォースアタック (総当たり攻撃) 」があります。
●SQLインジェクション
WebサイトやWebアプリのセキュリティの脆弱性を悪用して、不正なSQLコード (SQL文・クエリ・命令文) を挿入し、データベースに対して不正アクセスを試みる攻撃のこと。
SQLインジェクションによる被害を受けた場合、顧客の個人情報やクレジットカード番号、企業の機密情報の漏洩、ホームページが改ざんされる恐れがあります。
●ブルートフォースアタック(総当たり攻撃)
ブルートフォースアタックは「総当たり攻撃」とも言い、攻撃者がIDやパスワードを突き止めようとして、ログインが成功するまで膨大な組み合わせを手当たり次第に試す行為のことを指します。
ブルートフォースアタックに成功した場合はログインが可能となり、特定の個人になりすまして侵入することもあります。パスワードの管理が十分に行き届いていないと、ブルートフォースアタックによる攻撃を受けやすく、被害が発生するリスクが高くなります。
発生するリスク・被害・損害
●賠償責任が発生する
SQLインジェクションやブルートフォースアタックなどによる攻撃を受けて、個人情報の漏洩などの被害が出た場合、顧客に対しての賠償責任が発生して、損害賠償請求を受けることもあります。
賠償責任が発生した際には損害賠償の費用だけではなく、被害状況を調査するための費用もかかります。さらに、お問い合わせ内容に対しての返信や謝罪など顧客に向けてのクレーム対応の費用、システム不具合を修復・復旧作業の費用もかかります。
●会社の信頼を失う
攻撃を受けた際に何もせずにそのまま放置しておくと、さらに攻撃が強化されるリスクがあります。それにともない、企業やブランドの信頼の失墜によるイメージダウンを招くこともあります。
掲示板やSNS、口コミサイトなどインターネット上にネガティブな評価が残ることで、さらに企業のイメージが悪化して、売上の低下などビジネス機会の損失にも繋がります。
サイバー攻撃で起こる現象④ホームページの脆弱性が改善・修正されるまでの隙を攻撃される
サイバー攻撃の実行者は、ターゲットの対象となる企業のホームページでセキュリティの脆弱性を改善・修正する前に、その隙間を狙って攻撃を仕掛けてきます。Webサイトやシステム、ソフトウェアにセキュリティの脆弱性が発見され、それを修正するまでの期間に集中的に攻撃を仕掛けるゼロデイ攻撃にはとくに警戒すべきです。
参考までに、セキュリティの脆弱性に関する調査結果についてお伝えします。
IPA (情報処理推進機構) の公式サイト上には、2024年第1四半期 (1月 ~ 3月) の「ソフトウェア等の脆弱性関連情報に関する届出状況」について掲載されています。
セキュリティの脆弱性の修正完了状況を見ると、Webサイトやソフトウェア製品の修正件数は累計11,444件にまで達しています。そのうち、ソフトウェア製品における本四半期の修正完了件数は58件、累計2,749件、Webサイトでは本四半期の件数34件、累計8,695件です。
参考URL:IPA (独立行政法人情報処理推進機構) ソフトウェア等の脆弱性関連情報に関する届出状況[2024年第1四半期(1月~3月)
代表的な攻撃方法:「ゼロデイ攻撃」
セキュリティの脆弱性を狙う代表的な攻撃方法といえば、ゼロデイ攻撃です。
●ゼロデイ攻撃
「ゼロデイ」とはセキュリティホールが発見された日からその弱点を克服するための解決策が確立される日までの期間です。その間にセキュリティの脆弱性を悪用して集中的に攻撃することをゼロデイ攻撃と言います。
ゼロデイ攻撃はいつどんな時に発生するか予測がつきません。そのため、企業は最新のパッチ (更新プログラム) を導入して、隙を見せないようにセキュリティを強化しておくことが重要です。
サイバー攻撃で起こる現象⑤アクセスする訪問者の情報が盗まれる
企業のホームページがサイバー攻撃を受けるだけにとどまらず、そのWebサイトにアクセスするサイト訪問者が直接サイバー攻撃に遭うこともあります。攻撃者が、特定の企業のホームページを利用して悪質なプログラムをサイト訪問者の通信端末に気づかれないようにインストールして、個人情報を盗み取ることもあります。
代表的な攻撃方法:「Cookie情報盗聴」
とくに無料Wi-Fiスポットを利用する方は、直接的にサイバー攻撃に遭うリスクが高いので十分に警戒すべきです。
●無料Wi-Fiスポットの利用で、Cookie情報盗聴
世界の空港やホテル、商業施設や飲食店にある無料Wi-Fiスポットで、インターネットをする人を狙った悪質な手口が急増しています。無料Wi-Fiスポットではセキュリティ対策が十分に行き届いていない傾向にあるため、外部からの攻撃を受けやすいです。
たとえば、無料Wi-Fiスポットを利用してネットバンキングやオンラインショッピングサイトにログインした時に、攻撃者はネットワーク内に忍び込み、Cookie (クッキー) 情報を盗み取ることがあります。これによって、サイト訪問者のアカウントに不正アクセスして、個人情報やクレジットカード番号の情報が盗まれるリスクがあります。無料Wi-Fiスポットを利用する際には、クレジットカード決済やログインの操作はしないのが最善策です。
ホームページ制作段階~開設後すぐ!最低限押さえておきたいセキュリティ対策
ホームページを新たに立ち上げた大企業や中小零細企業にとって、万全なセキュリティ対策を講じることは早期の段階から取り組むべき重要な業務です。ホームページを開設してからセキュリティが十分に行き届いていない状態で運用を継続することは、自社だけではなく顧客も将来的に大きなリスクを背負うことになります。
ここでは、ホームページの制作段階から開設後のタイミングで、最低限実施すべきセキュリティ対策についてご紹介します。自社のホームページを安全に運営して顧客からの信頼性を高めるためにも、セキュリティ保護についてぜひ心得ておいて下さい。
ホームページの運営で最低限押さえておくべきセキュリティ対策一覧・セキュリティ実装チェックリストを見ていきましょう。
IDやパスワードの管理
ホームページのセキュリティ対策でもっとも基本となるのがID・パスワードの管理です。IDやパスワードの管理が不十分になっていると、外部から攻撃を受けた時にアカウントを乗っ取られることもあります。
ID・パスワードは、自社のホームページで使っているレンタルサーバーやドメイン、WordPressなどのCMS (コンテンツ・マネジメント・システム) でホームページを運用する場合は、ログイン情報を管理します。htmlでホームページを作成する場合は、FTPソフトの情報の管理も必須です。
IDやパスワードを忘れないように保存するだけではなく、外部からの不正アクセスを防ぐためにも、以下の重要ポイントを押さえておいて下さい。
強力なパスワードを作成・使用
・ログイン用パスワードは英数字や記号を組み合わせて覚えにくく複雑なものに設定
・生年月日や電話番号などの個人情報、同じ数字の羅列は使わない
・英大文字・英小文字・数字・記号を含めた10ケタ以上で構成されたものを推奨
複雑化することで、認証情報の取得や暗号解読を企む当たり攻撃のリスクが回避されます。
2段階認証を導入する
WordPressなどのCMSでホームページを運用する場合は、2段階認証を導入することをおすすめします。
Webサイトにログインする際に、ID・パスワードに加え、もう1段階の工程を踏んで認証手続きを行う仕組み。
IDやパスワードを定期的に変更・更新
・定期的にID・パスワードを変更して、同じパスワードの使いまわしを回避
・共有アカウントの利用を回避する
パスワード管理ツールを活用する
パスワード管理ツールを活用すると面倒な手間を省くことができます。
重要なデータやファイルは公開領域に非設置/削除
ホームページを安全に運用するには、データファイルの管理も重要となります。とくに顧客の個人情報や取引に関するデータ、企業の機密ファイルなどの内容が含まれる場合は、インターネット上の公開領域に設置するとことで、重要なデータが外部に漏洩・流出するリスクがあります。
テキストファイルやExcelファイルなど、個人情報や機密情報などのデータが公開領域に設置されている場合や、重要な内容が含まれたバックアップデータがある場合は、速やかに削除しましょう。
重要なデータは公開領域ではなく、今後も公開されることのない安全な場所に保管します。例えば、サーバーの公開ディレクトリには重要なデータを保存せずに、アクセス制御が設定された安全なフォルダに格納するなど、適切に対応しましょう。
不要なサービスやアプリケーションの削除
サーバーやホームページには、不要なサービスやアプリケーションがインストールされることもよくあり、このまま放置しておくとセキュリティリスクを高める原因となります。
具体的な対策として以下の2点を実行してみて下さい。
不要なサービスを無効化または完全削除
サーバーの初期設定 (デフォルト) ではさまざまなWebサービスがインストールされていますが、普段から使わないものが多く含まれている場合もあります。不要なバックグラウンドサービスやデータベースサーバー、FTPサーバーなどが起動中の状態になっていると、その脆弱性を悪用して外部から侵入されるリスクがあります。
今後も使う見込みがなければ無効化、または完全削除しましょう。
不要なアプリケーションをアンインストールする
使う見込みのないアプリケーションをインストールして、そのまま放置しておくと、セキュリティホール (弱点・脆弱性) を生み出す原因となります。不要なアプリケーションをアンインストールしておくことで、システムがより軽量になり、安全性を維持することができます。
WordPress(CMS)のセキュリティ対策
WordPressは世界中でもっともポピュラーなCMS (コンテンツ・マネジメント・システム) です。WordPressは、法人個人を問わず誰でも導入から公開・運用管理まで無料で使えるのが大きなメリットではありますが、その一方でセキュリティリスクをともない、攻撃の対象となりやすいのが大きなデメリットです。
WordPress本体のプログラムや、WordPressの機能を拡張するプラグインにも脆弱性が見つかることもあります。そのため、WordPressでホームページを運営する際には、万全なセキュリティ対策が必須となります。
WordPressの安全なサイト運営を継続するために、以下の内容を実践してみて下さい。
WordPress本体とプラグインを最新バージョンに更新する
WordPressで作成したホームページの安全性を高めるために、WordPress本体やプラグインは定期的にアップデートされています。最新バージョンに更新することでWordPressのセキュリティを強化します。
強力なパスワードと2段階認証で不正アクセスを防ぐ
ブルートフォースアタック (総当たり攻撃)による不正アクセスを防ぐためにも、見破られにくいパスワードを設定し、2段階認証の導入でWordPressのセキュリティを高めます。強力なパスワードを設定するため、無料のパスワード生成アプリやオンラインツールを活用するのもおすすめです。
不要なテーマやプラグインを削除する
WordPressで今後使う見込みのないテーマやプラグインを削除しておくことで、安全性を高めます。不要なプラグインが残ったままになっていると、WordPressの動作が遅くなり、プラグイン同士で競合が発生することで、Webサイトに障害が発生するリスクがありますのでご注意下さい。
SSL化(通信を暗号化)
ホームページが格納されているサーバーとWebブラウザとの間での通信を暗号化する仕組み
すでにSSL化されたホームページは、URLの頭の部分には「http」ではなく「https」と表示され、「http」の後に「s」の文字がつくことで、SSL化に対応できていることがわかります。
SSL化に未対応のホームページは、通信の暗号化処理が行われないため、サイトの安全面でユーザーに不安感や不信感を与えてしまいます。そのため、メールフォームへのお問い合わせや会員登録、商品の注文などのコンバージョンの損失にも繋がります。
共有SSLよりも独自SSL (常時SSL) の導入を
ホームページでSSLを導入する際には、共有SSL・独自SSL (常時SSL) の2つのタイプがあります。
お問い合わせフォームや会員登録フォームなど、ユーザーが個人情報などを入力するWebページのみSSL化でセキュリティ保護する仕組み。
ホームページ内のすべてのWebページを暗号化通信して、改ざんや盗難防止のリスクを防ぐセキュリティ対策。 独自SSL (常時SSL) を無料で利用できるレンタルサーバーも多く、簡単な操作で設定できます。
全国的に無料Wi-Fiが普及してきた状況もあり、Cookie情報盗難のリスクが高いため、共有SSLよりも独自SSL (常時SSL) を導入すべきです。それにより、ホームページの信頼性が高まることでSEOの評価アップにも繋がります。
ここまで出来れば安心!さらにステップアップしたホームページのセキュリティ対策
基本的なセキュリティ対策を行ったうえで、さらにステップアップしたワンランク上のセキュリティ対策を行うことで、高度な攻撃にも負けない強靱な通信環境を維持することができます。
IPA (独立行政法人情報処理推進機構)が実施した「企業における情報セキュリティ事象被害額調査」の結果によると、サイバー攻撃などの被害によって情報漏洩が発覚した場合の調査にかかる費用やセキュリティ再構築にかかる費用は、5,000万円から1億円もの莫大な費用がかかると言われています。無駄なコストを費やすことのないように、早めにセキュリティ対策を万全に整えることが重要です。
ここでは、さらにステップアップしたセキュリティ対策についてご紹介します。
レンタルサーバーの防御システム「ファイアウォール」「IPS」「WAF」の設置
各セキュリティ対策はそれぞれ保護の範囲が異なるため、単独ではなく複数で導入して多角的な観点から確実に防御することが必要不可欠となります。
レンタルサーバーの防御システムで代表的なものを挙げると、ファイアウォール・IPS・WAFの3つがあります。
ファイアウォール(Firewall)
ファイアウォール(Firewall)を導入すると、外部ネットワークからの不正な通信を遮断して内部ネットワークを保護することができます。サーバーへの不正アクセスを初期の段階で防げるのが大きなメリットです。
IPS (Intrusion Prevention System)
「不正侵入防止システム」で、ファイアウォールの機能がさらに強化されていて、攻撃の兆候が見られた時に検出して自動的に対処する仕組み。
IPSを導入することで、ポートスキャンやゼロディ攻撃などのハイパワーな攻撃も検知することができます。
WAF(Web Application Firewall)
WAFは、Webアプリケーションへの攻撃を検知して遮断する役割を果たしています。とくにWordPressなどのCMSで運用している場合は、必須のセキュリティ対策となります。
従来はWAF(Web Application Firewall)を導入する際の初期費用が高額でしたが、高性能で価格の安いクラウド型のWAFが新たに登場したことで、低コストで導入しやすくなりました。
サーバーOSやソフトウェアの更新
使用中のサーバーやOS、ソフトウェアが古くなるとシステム内に潜む脆弱性が発見され、外部からの攻撃を受けやすくなります。常に適切な管理を行い、最新バージョンに更新してセキュリティを強化しましょう。
更新ブログラムにはセキュリティホールを修正する重要なパッチが含まれるケースが多く、ホームページの安全な運用を維持するために必要不可欠となります。
セキュリティソフトウェアの導入
セキュリティソフトウェアは、ウイルス感染やサイバー攻撃からシステムを安全に保護するためのツールです。定番のセキュリティソフトウェアでは、アンチマルウェア、スパムフィルターなどがあります。
アンチマルウェア
Webサイトにアップロードされたスクリプトやファイルに潜んでいる悪質なマルウェアを自動的に検出して、実行する前にブロックされます。
スパムフィルター
メールフォームから送信されたメッセージを解析して、スパムメールの有無について自動的に解析するシステム。届いたメールの内容がスパムメールと判定された場合は、受信されなくなる仕組みです。
脆弱性診断やペネトレーションテスト
ホームページの安全性を維持するには、脆弱性診断やペネトレーションテストをコンスタントに実施することが重要となります。
「セキュリティ診断」とも言い、ネットワークやシステム、Webアプリケーションに潜む脆弱性や欠陥を特定してリスク評価することを目的とする。
「ペンテスト」とも言い、システムやネットワークにおけるセキュリティを評価することを目的として、模擬的に攻撃を仕掛けて侵入するかどうかをチェックするテスト。
セキュア・プログラミング
Webシステムやアプリケーションの脆弱性を排除して、システムダウンや情報漏洩などのリスクを未然に防ぐことを目的としたプログラミング手法。
ホームページのセキュリティ対策をより強化するには、Webサイト開発の段階において、安全性にウエイトを置いてプログラミングを実装することが重要となります。
フォームやクエリパラメーター値を検証して不正なデータを排除し、暗号化通信でホームページの安全性を高めます。
また、エラーメッセージの管理も入念に行いましょう。エラーメッセージに詳細な情報が含まれると、攻撃者にヒントを与えてしまうことになります。たとえば、Webサイトにログインする際に失敗して、「パスワードが違います」というエラーメッセージが表示されると、攻撃者がツールを駆使してパスワード入力してログインに成功する可能性が出てきます。
パスワードポリシーの整備と適用
シンプルで推測されやすいパスワードを使用することや、同じパスワードを使い回すことで、パスワードが外部に知られやすくなります。
・企業や組織全体で統一されたパスワードポリシーの整備と適用を行う
・パスワードの桁数はできるだけ多く最低10文字以上で、記号・数字・アルファベット (大文字・小文字) を組み合わせて、複雑なパスワードを設定
・パスワードに有効期限を設定して、定期的に変更する
・以前1度でも使ったことのあるパスワードは2度と使わない
・ログイン画面や管理画面への不正アクセスを防ぐために、2段階認証や多要素認証(MFA) を活用して厳重に保護
ここまで、さらにステップアップしたセキュリティ対策について解説しました。
情報セキュリティに関する内容は、IPAの公式サイト上に「中小企業の情報セキュリティ対策ガイドライン」が掲載されていますので、こちらも合わせてぜひ参考にしてみて下さい。
また、IPAではセキュア・プログラミング講座も開講されており、ガイドラインに沿ったセキュアコーディングについて専門的な知識や技術を習得することもできます。
\ 補助金・助成金を活用したご提案が可能! /
ホームページのセキュリティチェック方法とおすすめのチェックツールをご紹介
自社のホームページが外部から攻撃されていないか、Webサイトに脆弱性が潜んでいないかどうか、24時間体制で常に監視して定期的にチェックして、問題箇所を早期発見・改善することがセキュリティを維持する鍵となります。
ここではホームページのセキュリティをチェックするおすすめのツールを紹介して、具体的なセキュリティチェック方法、セキュリティ実装チェックリストについて解説します。
セキュリティチェックツールを利用する
自社のホームページのセキュリティレベルがどのような状態になっているのか、セキュリティチェックツールを駆使して、定期的にチェックしてみて下さい。セキュリティチェックツールを活用することで、ホームページの安全性や脆弱性を速やかに把握することができます。
完全無料で使えるおすすめのセキュリティチェックツールを3つご紹介します。
Observatory by Mozilla(オブザーバトリー・バイ・モジラ)
Observatory by Mozillaは、Webブラウザやソフトウェア開発の非営利団体・Mozilla (モジラ) がインターネット上で提供している無料のセキュリティチェックツールです。
公式サイト上の入力フィールドにWebサイトのドメインを入力して「スキャン」ボタンをクリックするだけのシンプルな操作で、現状のセキュリティレベルがランク評価で自動的に判定されます。日本語にも対応しているので画面が見やすく、セキュリティ対策のビギナーにも使い勝手の良いツールです。
gred(グレッド)
gredは、株式会社日立システムズが提供しているホームページの安全性をチェックする無料のオンラインツールです。
フィッシング・不正改ざん・マルウェア感染・ワーム・偽ソフトウェア・ウイルスなどの被害の有無について、インターネット上に結果が表示されます。自動解析によってホームページ運用における潜在的なリスクが可視化されるため、セキュリティの向上に役立てられます。
VirusTotal(ウイルストータル)
VirusTotalは、ホームページのURLやファイルを複数のアンチウイルスエンジンによってスキャンする無料のオンラインツールです。
ホームページやファイルにマルウェアが潜んでいないか正確にスピーディーにチェックします。ファイルをチェックする際には公式サイト上から「ファイル」をクリックして、「ファイルを選択」より、スキャンの対象となるファイルをコンピューター上から選びます。ホームページをチェックする場合は、「検索」を選択して入力フィールドにURLやドメインを入力して、下の「検索」ボタンをクリックします。
ログデータの取得や無料アクセスツールの活用で不正アクセスの有無を確認する
ログデータの取得・分析は、不正アクセスを早期発見するために必要不可欠な手段となります。
コンピューターやネットワークデバイス、システム上で一定の処理の実行、または実行できなかったことが記録されたデータ。
アクセスやサーバーの記録について細かく分析することによって、どんな人がどのようにしてホームページにアクセスしたのか、不正アクセスの疑いがないかどうかをチェックできます。一部の時間帯に集中して大量のリクエストや、不正なIPアドレスからのアクセスされる現象が起こった場合は、不正アクセスされた可能性が高いです。
無料のアクセスツールAWStatsを活用することで、不正アクセスの有無やログデータの取得などの異常な行為を突き止め、レポートを作成して行動分析が可視化されます。
フォレンジック調査で不正アクセスなどの原因を特定する
ホームページへの不正アクセスやサーバー攻撃が起こった際に、その手法や原因を特定することを目的とした調査。
フォレンジック調査のおおまかな流れは次の通りです。
・サイバー攻撃発生に関するログデータや、悪影響を受けたシステムやファイルの状態について証拠を保存
・サイバー攻撃の経路や侵入方法を特定してデータ解析を行い、原因を特定
・攻撃の手法に応じて適切なセキュリティ対策を講じて再発防止策を実施
ペネトレーションテストでWebサイトの脆弱性を判定する
「貫通」「侵入」を意味する英語で、ペネトレーションテストとは「侵入テスト」という意味。
ネットワークやWebサイトに対して試験的に攻撃を行い、ホームページやシステムの脆弱性を発見するための手段として使われます。
ペネトレーションテストの主なチェック項目は次の通りです。
・ユーザー認証に不正アクセスの問題点の有無
・クロスサイトリクエストフォージェリー (CSRF) やセッションハイジャックなどの脆弱性の有無
・XSSやSQLインジェクションなどの攻撃に対しての脆弱性の有無
ホームページのセキュリティ対策にかかるおおよその費用相場
簡単なセキュリティ対策であれば、無料のオンラインツールや、レンタルサーバーから提供される無料のWebサービスを利用することもできますが、それだけでは不十分です。ホームページの運用でセキュリティ対策を実施することによる費用対効果を十分に考慮した上で適切な施策を行い、セキュリティを強化しましょう。
ここではセキュリティチェックに関わるおおよその費用相場について見ていきます。
セキュリティ対策費用:月額1,000円~2万円程度
ホームページのセキュリティ対策の費用相場を月額に換算すると、1,000円~2万円程度です。
セキュリティ対策では、定期的なセキュリティ診断・侵入防止システム (IPS)・WAF (Webアプリケーションファイアウォール) などの防御システムや監視サービスが含まれます。いずれか単独で行うのではなく、さまざまなセキュリティ対策を組み合わせて導入することで安全性を高めます。
SSL費用:無料~年額20万円程度
ホームページのセキュリティ対策では、SSL(Secure Socket Layer)による通信暗号化は必須となります。独自SSL (常時SSL) を無料で対応しているレンタルサーバーも多いですが、有料オプションで提供されるケースもあります。サイト訪問者から高い信頼性を得るために、SSL証明書の発行が可能なレンタルサーバーもあります。ユーザーに対しての保証やより高い信頼性が要求される場合、有料のSSL証明書の発行が必要となる場合もあります。
有料SSL証明書は年間数千円~数万円程度のコストがかかります。ドメイン認証は無料~年額で数万円程度、もっとも認証レベルがもっとも高いEV認証では年額5万円~20万円前後の費用がかかります。
サイトコンテンツ更新費用:月額5,000~5万円程度
ホームページの運用期間中、更新作業を怠ってしまうと古い情報が掲載されたままになり、ユーザーに最新情報を届けることができなくなるため、信頼性が失われる恐れがあります。最新の情報やユーザーに役立つ有益な情報を発信して信頼性を回復させることで、SEOの評価もアップします。
サイトコンテンツ更新費用は、ホームページの規模や更新する内容・ボリュームによって格差が生じます。
テキストや画像などの簡易的な更新作業の場合は、月額5,000円~1万円程度の金額が目安です。大規模なコンテンツ更新を発注する場合は、月額1万円~5万円程度の費用がかかるケースもあります。専門性の高いWebライティングやWebデザイン、システムを導入する場合は、ハイレベルな内容であるため、高額になることもあります。
不具合・バグ対応費用:月額最低5,000円程度
ホームページにおけるバグでは、デザインやレイアウトの崩れ、お問い合わせフォームや会員登録フォームなどWebシステムが正常に稼働しない、表示速度の大幅な低下、文字化け現象など、プログラミングによる不具合が発生することがあります。
ホームページに不具合が発生した場合や、バグ対応で修正作業が必要となった場合、費用の目安は月額最低5,000円程度です。重大な不具合が発生した場合は、調査や原因の解明、修正作業などに対応できるスペシャリストによるサポートが必要となるため、月額1万円以上かかる場合もあります。
ここまで、ホームページのセキュリティチェックの費用相場について解説しました。セキュリティ対策の内容によっては高額な費用がかかる場合もありますが、ホームページの安全性向上を図り、ユーザーからの信頼度を高めるためにも、ある程度の費用をかけて対策しておくことをおすすめします。
ただし、ホームページのセキュリティ対策を行う際には限られた予算の範囲内に収めることも考慮しなければなりません。発注する際には複数社で相見積もりを取り、高品質なサービスをリーズナブルな料金で対応できる業者をお選び下さい。
ホームページのセキュリティ対策に役立つ補助金・助成金
「ホームページのセキュリティ対策を始めるのに、社内の予算の範囲内に収めたい」「ホームページのセキュリティ対策で使える補助金や助成金がないか」とお困りの方も多いのではないでしょうか。
ここでは、ホームページのセキュリティ対策でぜひ活用すべき国や地方自治体による公的な補助金制度・助成金制度についてご紹介します。
補助金・助成金①サイバーセキュリティ対策促進助成金
企業がサイバー攻撃を防ぎセキュリティを強化するために導入する設備やサービスを対象として、一定の費用が補助される公的な制度。この制度はサイバー攻撃によるさまざまなリスクを軽減させて企業の情報資産を保護し、企業のITインフラ強化とセキュリティ向上を目的としています。
助成対象となる経費
検知システム・VPN・ファイアウォールなどのネットワーク脅威対策製品、ウィルス対策・スパム対策などのコンテンツセキュリティ対策製品、アクセスログ管理などのシステムセキュリティ管理製品など。
助成率・助成額
助成率は2分の1以内で、助成額は申請下限額10万円、上限1,500万円となっています。
第3回申請エントリー・電子申請受付期間
2025年 (令和7年) 1月8日9時 ~ 1月15日17時まで、交付決定の時期は令和7年3月下旬、助成対象期間は令和7年4月1日から同年7月31日までです。
ただし、助成金の予算の状況によっては、申請受付期間中であっても早めに終了される場合があります。申請方法に関する詳細や最新情報は公式サイトにてチェックしてみて下さい。
補助金・助成金②IT導入補助金/セキュリティ対策推進枠
本来、労働生産性向上を目的としており、企業が新規でITツールやシステムを導入する際に活用できる補助金ですが、その中でセキュリティ対策推進枠にも着目してみて下さい。
中小企業や小規模事業者向けの補助金制度です。サイバー攻撃による危険性や生産性の向上を妨害するリスクを抑えることを目的とした制度で、ITツール導入費用やサービス利用料が最大2年分までの補助金が支給されます。
補助率・補助額
補助率2分の1以内、補助額は5万円以上100万円以下となっています。
セキュリティ対策推進枠に関する公募要領・交付規程などの最新情報は、公式サイトにてご確認下さい。
\ 補助金・助成金を活用したご提案が可能! /
ホームページのセキュリティ対策や補助金活用のご相談なら株式会社アップグレードへ
この記事では、企業のWebサイトや個人サイトを運営する方に向けて、外部からの悪質な攻撃を防ぐために最低限実行すべきセキュリティ対策について解説しました。
ホームページを安全に運用するために行うセキュリティ対策の対応領域は広く、専門的な知識や技術を要するものもあります。短時間ですべて完璧に行うのは難しく、時間と労力を要するため、セキュリティ対策に関する本格的な取り組みが疎か (おろそか) になりがちです。
ホームページの運用やセキュリティ対策について、このような問題でお困りではありませんか?
・日常の業務に手一杯でホームページのセキュリティ対策にまで手が回らない
・ホームページのセキュリティ対策は何から着手すれば良いかわからない
・ホームページ運用やセキュリティ対策について適切なアドバイスやサポートを必要としている
・予算が限られているため、ホームページのセキュリティ対策を発注する際には補助金制度や助成金制度を活用したい
・ホームページ運用管理や更新作業、セキュリティ対策やWebマーケティングまでトータルサポートしてほしい
ホームページ運用やセキュリティ対策などさまざまな問題を抱えていてお困りの場合は、株式会社アップグレードにお問い合わせ下さい。
アップグレードでは、企業の目標を達成するためのWebサイト制作、集客数や売上増加に直結するSEO対策やWebマーケティング、業務効率化を実現するために最適なWebシステムの提供、ホームページを安全な運営を継続するためのセキュリティ対策まで、幅広く対応しています。
「ホームページ運用やセキュリティ対策にかかる費用を抑えたい」といったご要望にもお応えします。国や地方自治体による補助金制度・助成金制度の活用について最適な提案をさせていただきますので、メールフォームにてお気軽にお問い合わせ下さい。