中小企業もセキュリティには要注意! 企業ホームページのセキュリティ設定の注意点

ホームページ制作

ほとんどの企業がホームページを持つ中、問題となっているのがサイバー攻撃です。

サイバー攻撃の対象は大企業のホームページだけとは限らず、現在のおもな攻撃対象は中小企業となっています。

そのため、企業規模に関わらず自社ホームページのセキュリティ対策は企業の信頼性や個人情報を守るために欠かせないことなのです。

また、通信を暗号化するSSLなどは検索エンジンの上位表示を狙える、SEO対策においてもメリットが得られる施策です。

今回は企業が自社ホームページのセキュリティ対策を考える上で、何をすべきか、どのような点に注意すべきかについて解説します。

今のサイバー攻撃の対象には中小企業も含まれる

今のサイバー攻撃のおもな対象となっているのが中小企業です。

情報セキュリティ大手の「シマンテック社」が発表したデータによると、従業員250人以下の中小企業がサイバー攻撃の対象となった件数は、2011年以降の5年間でそれまでの2倍以上になっていたといいます。

なぜ中小企業がサイバー攻撃の対象となるかというと、そこには「セキュリティ対策の不十分さ」と「中小企業を狙ったほうが目的を果たしやすいから」、「大企業攻撃の足がかりとなるから」といった理由があったのです。

中小企業はセキュリティ対策が不十分な傾向にあるから

中小企業は大企業と比較するとセキュリティ対策が不十分な傾向にあります。

大阪商工会議所のアンケート調査によると、68%の中小企業が「現在実施しているセキュリティ対策で十分ではない」と回答しており、この隙を突いてハッカーがサイバー攻撃を仕掛けてくるというわけです。

しかし、中小企業も自社のセキュリティ対策におろそかにしているというよりは、「セキュリティ対策にあてるための費用と人員に余裕がない」のでそのままになっているに過ぎず、それを責めることはできません。

ただ、このセキュリティ対策の不十分さをハッカーが狙ってくるわけですから、大きな被害を防ぐためにはやはり中小企業も、自社ホームページのセキュリティ対策を万全にすることは必須だといえます。

大企業よりも中小企業を狙ったほうが効率良く、目的を果たせるから

近年は官公庁や大企業のセキュリティ対策が強固になっており、KPMGコンサルティング社の2016年に発表したデータでは、大企業のおよそ4割がセキュリティ対策に1,000万円以上の費用を投じているとされています。

しかし中小企業ではセキュリティ対策に掛けられる予算も限られているので、大企業と比べると対策に大きな差が出てしまい、その脆弱な部分を突いてサイバー攻撃が仕掛けられてしまうのです。

中小企業は大企業を攻撃する足がかりとなるから

また、中小企業のホームページへのサイバー攻撃は、大企業を攻撃するための足がかりとなります。

強固なセキュリティ対策をしている大企業を狙わずに、セキュリティ対策の甘い中小企業へとサイバー攻撃を仕掛け、システムログやメール、各種資料などの内容を盗み見て、顧客や取引先を把握するというわけです。

たとえば中小企業のホームページのアクセスログを盗み見て、顧客としてアクセスしている企業の中から大企業を探し、その企業に対応した攻撃を仕掛けるといったことも行われます。

自社のセキュリティ対策の脆弱さから、顧客である大企業の情報を流出させてしまった場合は、自社の信頼性の著しく低下させてしまい、損害賠償を求められることも考えられます。

ホームページのセキュリティ対策をおろそかにしているとどうなるか

企業ホームページのセキュリティ対策が不十分な場合は、「ホームページの改ざん」や「個人情報流出」、「信頼性の著しい低下」など、企業の経営活動に大きな影響を及ぼす問題が発生する可能性が高いです。

以下は、企業ホームページのセキュリティ対策をおろそかにしていることで考えられることです。

ホームページが改ざんされる

以前まではハクティビストと呼ばれる、「宗教的、あるいは政治的主張をするハッカー」によってホームページが改ざんされ、彼らの主張のための舞台として使われることがありました。

そちらはホームページが改ざんされたことがひと目でわかるほどでした。

しかし現在では、見た目はまったく変わらない状態でマルウェアをダウンロードさせる仕掛けが追加されたり、不正サイトにつなげるためのJavaScriptを配置されていたりと、見た目だけではわからない改ざんがされる傾向にあります。

その状態で改ざんされたページを閲覧した場合、身代金要求型マルウェアの「ランサムウェア」や仮想通貨発掘マルウェアに感染してしまいます。

不正アクセスによる顧客の個人情報流出

不正アクセスによって顧客の個人情報が流出した場合、顧客側だけではなく流出させた企業も損害を被ります。

クレーム対応や流出の原因特定に掛かる調査費用など、時間的・金銭的損害だけではなく、ブランドイメージの失墜や・信頼性の低下など、企業の将来に悪影響を及ぼす損害を被ることになってしまいます。

自社の信頼性が著しく低下し、損害賠償を求められる

シマンテック社が発表した「ウェブサイトセキュリティ脅威レポート2013」では、一度のサイバー攻撃で流出した個人情報の平均は60万4,826件となっています。

これらの膨大な数の個人情報が流出するわけですから、一度情報を流出させてしまうと各方面に多大な迷惑を掛けることになり、ブランドの毀損や信頼性の著しい低下は免れません。

それだけではなく「個人情報を流出させた企業」とネット上で悪評を流された場合は、それがずっとネット上に残り続けてしまいます。

一度失った信頼を回復することは極めて難しく、損害賠償を求められたり、取引が打ち切られたりすることもあります。

セキュリティ対策が不十分なままでいることは、企業と顧客の双方にとってなんのメリットもないのです。

ホームページのセキュリティ対策において必要なこと

中小企業のホームページを狙ったサイバー攻撃のリスクは非常に高く、常に最悪の事態に備えて、それを回避すべく最大限のセキュリティ対策をすることが大切です。

企業を狙ったサイバー攻撃への対策には、「基本的なこと」と「アプリケーションの対策」、「通信上の対策」の3方向からの対策が大切です。

セキュリティ対策の基本

まずはセキュリティ対策の基本です。

OS、ウイルス対策ソフトウェアなどを最新の状態にする

パソコンのOSやツール、ウイルス対策ソフトウェアのアップデート通知や更新プログラムが出た場合はすぐに最新の状態に更新します。

パスワードを強化する

第3者に推測されにくいパスワードを使う、複数のサービスで同じパスワードを使わないなどの対策です。

アプリケーションのセキュリティ対策

ここでいうアプリケーションとは、ブラウザから利用できるアプリケーションのことです。

特にWordPressなどのCMSを導入している企業は多いですが、そのセキュリティ対策は必須です。

CMSのバージョンを常に更新し、適切なプラグインを使う

WordPressなどのCMSは更新やプラグインによる機能拡張などの利便性から、これを導入している企業は多くあります。

ただ、WordPressのようなCMSはオープンソースプラットフォームなので、脆弱性が出やすいという欠点があり、頻繁な更新や適切なプラグイン、テーマの選択は必要不可欠です。

公開すべきでない個人情報ファイルなどを公開しない

企業ホームページ上に個人情報ファイルやページを載せず、ネットからアクセスができない場所に保管しましょう。

また、サイバー攻撃の対象になる危険性があるので、使用しなくなったホームページをそのままにはせず、すぐに削除しましょう。

通信上のセキュリティ対策

ルーターやファイヤーウォールなどが不要な通信を遮断しているかどうかを確認したり、ネットワーク機器の通信ログを見ることで不正アクセスがないか確かめたりすることが大切です。

また、通信の暗号化やWAFの導入なども効果的です。

常時SSL化をする

SSL化とは「通信の暗号化(Secure Sockets Layer )」のことであり、ホームページの通信に使われるHTTP通信をより安全にするための方法です。

このSSL化された通信をHTTPSといい、ハッカーが通信内容を読み取ろうとしたとしても暗号化されているので簡単に判別することはできず、通信内容の改ざんの有無を検知することも可能です。

GoogleはこのSSL化されたホームページを検索結果上位に表示するようにしているので、常時SSL化したホームページであれば、セキュリティ対策と同時に流入率向上にもつなげられるのです。

WAFを導入する

ホームページの脆弱性を突いた攻撃に効果的なのが、WAFであり、企業ホームページへのアクセスをリアルタイムで監視し、サイバー攻撃などの問題ある通信であれば遮断してくれます。

IPSとIDSを導入する

企業ホームページに大量にアクセスをしてサーバーをダウンさせる攻撃を「DoS攻撃」と言います。

このDoS攻撃への対抗策となるのが、「侵入防止システムIPS(Instruction Prevention System)」であり、こちらも企業ホームページへのアクセスを監視し、DoS攻撃の兆候がある通信を遮断してくれます。

また、不正侵入検知システムIDSは文字通り、企業ホームページへのアクセスを監視し、通信内容に問題があれば管理者へ通知するシステムですから、これらを組み合わせることで不正アクセスの兆候に気づき、対処することができます。

まとめ

企業ホームページのセキュリティ対策を徹底することで、ホームページ改ざんや顧客情報の流出といった被害を防げるだけではなく、常時SSL化による成約率の向上やSEO効果によってホームページを検索上位に押し上げることもできます。

この機会にぜひ、自社ホームページのセキュリティ対策を見直してみてはいかがでしょうか。

参考: