ホームページのセキュリティリスクと技術的に対策が難しい場合の解決策について

企業や組織におけるホームページは名刺であり、看板であり、カタログであり、すなわち「顔」と言えます。だからこそ、ホームページに関するセキュリティリスクを考慮しなかったり、甘く見ていたりすると、非常に危険です。

顧客やユーザーに直接的かつ間接的な被害を与えないようにするためにも、適切な対策をする責任がありますが、業界や業種によってはセキュリティ人材が不足、もしくは不在なこともあるでしょう。

今回はホームページのセキュリティリスクに関する基礎知識、ホームページのセキュリティリスクへの対策、そしてセキュリティ対策が技術的に難しい場合の解決策についてお話します。

ホームページのセキュリティリスクに関する基礎知識


はじめにホームページのセキュリティリスクに関する基礎知識について簡単に説明します。

IDとパスワードの流出による情報漏えい

ホームページを更新、管理する際、たくさんのアカウントが作られます。ドメインを提供するサービス、レンタルサーバーのコントロールパネル、WordPressなどへのログイン、メールアドレスやメールサーバーへのログイン、提供するサービスによっては顧客やユーザーが作成したアカウント、そして紐付いた顧客情報も存在するでしょう。

もし、何らかの理由でIDとパスワードが流出した場合、情報漏えいが発生してしまい、自社だけでなく、顧客へも被害がおよぶことになります。特に昨今では注意喚起されているものの、同じIDやメールアドレスとパスワードをいくつものサービスで共用している場合も多く、ひとつのアカウント情報の組み合わせだけで、他のサービスやシステムにログインされ、さらなる情報漏えいや悪質な手口の踏み台にされることも考えられます。

ホームページの乗っ取りによるデータ改ざん

ホームページを更新、管理するためのアカウント情報が流出した場合、もしくは悪意のある第三者からのパスワードクラッキングによってホームページを乗っ取られた場合、ホームページ上のデータを改ざんされる可能性があります。企業や組織の名刺、看板、カタログ、何よりも顔であるホームページ上で誤った情報を流されたり、ページを削除されたりしてしまうのです。

例えば、何らかの根拠に基づいた数字、もしくは何かの問題を解決するための手順などを書き換えられたとします。誤った数字を元に、もしくは誤った手順を元に行動してしまうことで、顧客やユーザーに被害がおよんでしまう可能性があるのです。顧客やユーザーは企業や組織としての公式ホームページを信じたのに、信じたせいで被害を受けてしまえば、ネガティブな感情を生み出してしまうでしょう。

偽サイトやフィッシングサイト、詐欺サイトへの誘導および転送

ホームページの乗っ取りによるデータ改ざんは、自社のドメインから他の偽サイトやフィッシングサイトに誘導および転送するという悪質な手口にも使われます。例えば、偽サイトやフィッシングサイトで個人情報を入力させたり、IDやパスワードの組み合わせを盗み出そうとしたりするのです。

その他にも詐欺サイトに誘導し、画像や文章を用いて巧みに騙そうとしてくるケースもあります。「アダルトサイトの利用料が発生した」「商品購入料金の未払い通知」などなど、嘘で身に覚えのない文章でも、不安になったり、怖くなったりしてお金を支払ってしまうような手口です。もしくは「あなたのパソコンをハッキングした」「コンピュータウイルスに感染した」と表示し、対策するソフトウェアを提供しつつも、実はコンピュータウイルスやマルウェアを仕込んだアプリやプログラムをインストールさせる手口など、サイバー攻撃に疎い人であれば、簡単に騙されてしまうので非常に危険です。

コンピュータウイルスおよびマルウェアの設置による被害

自社のドメインのホームページ上に直接的にコンピュータウイルスおよびマルウェアを設置するという手口もあります。例えば、何らかの資料や画像、アプリやソフトウェアのダウンロードに見せかけて悪質なプログラムをインストールさせるような手法です。企業や組織のドメイン上ですから、顧客やユーザーは疑うことなくダウンロードしてしまうため、被害が拡大しやすい手口とも言えます。

コンピュータウイルスやマルウェアは単にデバイスを破壊するようなものではなく、インストールした時点では目に見えた被害や損害を感じさせない、感じにくいケースも多くなりました。そのため、たくさんのデバイスに潜んだまま、情報を盗み見たり、不正にコピーしたり、場合によっては書き換えられたりしてしまうこともあるのです。実際に個人のスマートフォンアプリから、電話帳や友達リストを介して、金銭を略取するような事案をニュースで見たこともあると思います。その他にも乗っ取ったデバイスから一斉にサーバーアタックするような手口、本人になりすましてSNSなどで嘘や詐欺の情報を発信する手口など、間接的かつ強制的にサイバー攻撃に加担させられてしまうケースも存在しています。

社会的信用の失墜、顧客離れ、利益や売上の低下

前項まででお話したセキュリティリスクは、どれもが社会的信用の失墜、顧客離れ、利益や売上の低下など、自社にとってネガティブな要因にしかなりません。しっかりとしたセキュリティ体制、さまざまなサイバー攻撃への対策、外部だけでなく内部不正対策など、多角的な防御をしなければ防ぐことはできないでしょう。

しかし、業界や業種によっては「セキュリティ人材の確保と雇用の維持」が難しいこともあります。もちろん、これからの時代に必要な人材であり、コストではありますが、実際には募集しても応募が来ない、ITやWebに縁遠いためセキュリティ人材にする育成や教育の環境が整わないなど、解決しにくい課題や問題が山積みであるのも確かです。

ホームページのセキュリティリスクへの対策


次にホームページのセキュリティリスクへの対策について解説します。

ホームページの更新および管理するデバイスのセキュリティ強化

セキュリティリスクはパソコン・スマートフォン・タブレットなど、デバイスを介することで発生するケースがあります。特にホームページの更新および管理するデバイスは狙われているため、デバイス自体のセキュリティ強化は必須です。まずはデバイスごとのOSやアプリ、ソフトウェアを最新の状態にアップデートしておくこと、何らかの脆弱性が残っている古いデバイスを使わないことなど、デバイス経由のセキュリティリスクを軽減しましょう。

同時に、ネットワーク接続機器、ルーター、外付けのUSB機器についても、可能な限り古すぎるものは利用しない、アップデートできるものは定期的にチェックする、所有する各種機器の型番を控えておいて、定期的に脆弱性が発見されていないか情報収集することをおすすめします。

また、ネットワークおよび社内ネットワーク、VPNについても、外部から安易に接続できないようにしておくこと、各種管理画面へのアクセスも含めて、IPアドレスやMACアドレス、またはその他に認証方法などで制限・制御するなど、多段的な防御しておくことが大切です。

IDやパスワードの管理を徹底

サイバー攻撃の主軸となるのは「管理者権限の奪取」です。サーバー、パソコン、スマートフォン、タブレット、オンラインサービス、オンラインシステムなど、ほとんどはIDとパスワードによって管理者および所有者として識別されるため、悪意のある第三者はIDとパスワードを狙っています。逆に言えば、IDとパスワードの管理を徹底することで、管理者権限を奪われない、管理画面にログインされないなど、セキュリティリスクの軽減する効果が高いということです。

具体的には、IDやパスワード、すなわちログイン情報については「他の人と共有しない、させない」「複数のシステムやサービスで共用しない、させない」「二段階認証(2FA)を導入する」などが挙げられます。ただし、当の本人がログイン情報を忘れてしまった時のために、IDとパスワードの組み合わせとともに、二段階認証の復旧に必要なバックアップコードやその他の認証方法についても、上司や管理職、もしくは情報システム部やセキュリティ担当にはIDとパスワードの組み合わせを教えておくことをおすすめします。

ログインしたままにしない、オートログインを利用しない

デバイスやブラウザには、オートログインやログイン状態を半永久的に保持する機能があります。こうした機能はとても便利ですが、デバイスが乗っ取られた際、各種サービスやシステムに自動でログインされてしまう危険な状態でもあるのです。例えば、パソコンを乗っ取り、メールアプリを起動すればどのようなやりとりがされているか丸見えです。その中に利用しているオンラインサービスからのメールが残っていれば、ブラウザを立ち上げてアクセスするだけで管理画面にログインされてしまいます。

その他にもオンラインストレージ・クラウドストレージ、もしくは社内ネットワークや社内ネットワーク上のNASなどに自動でアクセスできるようになっていれば、悪意のある第三者に大切な情報を盗み出されてしまうこともありえるのです。同様に顧客とのやりとりを見られてしまえば、機密情報とともに同業他社やライバル企業に売られてしまったり、自社の担当者になりすまして顧客にマルウェアや悪質なスクリプトを添付したメール、もしくは詐欺やフィッシングサイトのURLの送付など、直接的にサイバー攻撃を行われてしまうことも考えられます。

これらのセキュリティリスクを軽減するためにも、ログインしたままにしない、オートログインを利用しないという2つのことを徹底して守りましょう。面倒なようでも自動でログインされないだけで、デバイスを乗っ取られてもその他に被害がおよぶ可能性を軽減できることを理解し、楽して損することのないようにしてください。

ドメインやサーバーに関するサイバー攻撃を熟知し対策する

サイバー攻撃はエンドポイントである社内のデバイスだけでなく、オンライン上のドメイン・サーバーに直接攻撃するタイプもあります。そのため、ドメインやサーバーに関するサイバー攻撃を熟知し、対策することは重要です。サーバーのOSは最新か、脆弱性に対処しているか、定期的に脆弱性の情報を収集しているか、脆弱性に対処できる人材がいるかなど、セキュリティ基盤を強化することで、セキュリティリスクの軽減につながります。

また、サーバーに関して言えば、自社サーバー、オンプレミスの場合はさらに細かなセキュリティ対策が必要な可能性が高いですが、信頼におけるレンタルサーバーやクラウド上のサーバーであれば、サービス提供元自体がセキュリティに注力しているので、外部のサーバーの方が安心感があるかもしれません。ただし、ホームページを構築したサーバーと同じ場所に個人情報や機密情報の保存、社内や組織内の基幹システムを構築している場合、外部サーバーの方が安全ではあるものの、外部サーバーの何らかのトラブルでデータにアクセスできない、もしくは基幹システムを起動できないという可能性も否めないため、ITやセキュリティ人材と経営陣との意見の擦り合わせをしっかりと行った上で判断しましょう。

怪しいメールやURL、プログラムへの注意喚起

サイバー攻撃の中には、「エンドポイントのデバイスを利用している従業員や顧客」を標的にしているケースもあります。前述したなりすましによるメールを介したマルウェアおよびコンピュータウイルスへの感染、フィッシングサイトや詐欺サイトへの誘導、悪質なアプリやプログラムのダウンロードなど、直接的にデバイスを触る人間を狙っているということです。

「セキュリティリテラシーの格差」「セキュリティ対策の格差」があることが理由であり、注意している人には無効でも、注意していない人には有効、とても効果的であることが要因と言えます。実際に怪しいメールやURL、プログラムは悪意のあるプログラムで自動的かつ無差別に送付することができるため、わざわざセキュリティに強いか、弱いかを判断するよりも、「バラ撒いて引っかかった人を搾取する」方が効率的であるためです。

逆に言えば、これらは怪しいメールやURL、プログラムへの注意喚起によって、セキュリティリスクを軽減できるということです。なるべくなら、安全かどうか判断に悩むメールは上司やセキュリティ担当に報告・連絡・相談する体制を整えておくこと、もしくはシステム的に排除できるようにしておくことで、さらに被害を受ける可能性を大幅に軽減できるようになるでしょう。

セキュリティ対策が技術的に難しい場合の解決策


次にセキュリティ対策が技術的に難しい場合の解決策について解説します。

社内や組織内で最低限のセキュリティ対策の基本を怠らない

セキュリティ対策が技術的に難しい場合においても、社内や組織内での最低限のセキュリティ対策を行うことはできます。例えば、前述したようにOSやソフトウェアのアップデート、デバイスの定期的な入れ替え、怪しいメールやURLへの注意喚起、ログイン情報の管理を徹底、IPアドレス制限や二段階認証などは社内や組織内で行える基本的かつ最低限のセキュリティ対策と言えます。

ただし、エンドポイントであるデバイスのセキュリティ対策までは社内や組織内で行える、行うべきですが、外部サーバーやプログラム、システムのセキュリティ対策についてはセキュリティ人材やIT人材がいなければ、技術的に対応することはできません。現時点において「情報システム部がない」「セキュリティ担当を配置していない」ような状況の場合は無闇に自社対応や内製で進めず、ホームページの更新や管理も含めて専門家に任せることをおすすめします。

「付け焼き刃のセキュリティ」で過信するのが一番危険

前項の続きでもありますが、外部サーバーやプログラム、システムに関する技術的なセキュリティ対策を無理に行った場合、結果的にセキュリティリスクが増大する恐れがあります。いわゆる「付け焼き刃のセキュリティ」であり、対策したからと過信して安心してしまうのが一番危険だということです。

情報システム部の設置、セキュリティ担当の配置、経営陣や管理職も含めたセキュリティ体制の構築など、根幹となる部分のセキュリティを強化することが大切だと覚えておきましょう。間違っても、ちょっとITに詳しいから、調べたら簡単に対策できた、というような安易な考えや作業をしないこと、「必ずしも検索して表示されたページが正しいとは限らない」ことを忘れないようにしてください。

ITやWebに疎いならホームページの更新や管理を外部委託する

技術的かつ人材的に難しい、または業界や業種的にITやWebに疎いなら、無理せずホームページの更新や管理を「早めに」外部委託しましょう。先延ばしにしてしまうとセキュリティリスクが残ったままになり、ゆくゆくは何らかのサイバー攻撃によって被害を受けてしまうためです。

自社と自社の従業員を守るため、かつ顧客やユーザーを守るためにも、外部委託に頼ることが大切であると理解しましょう。物理的な警備と同様であり、警備会社への外部委託、監視カメラによる監視や通報が可能なサービスの利用など、自社では対応しきれない部分は任せるのが普通であると覚えておくことが大切です。

WordPressの場合は早めに専門家に任せることが重要

もし、自社のホームページがWordPressの場合、早めに専門家に任せることをおすすめします。なぜなら、WordPressはホームページとしてのシェア率が高いために、悪意のある第三者のサイバー攻撃の標的であるのが理由です。

例えば、WordPressはオンライン上の情報だけで、比較的ITやWebに疎い方でも構築し、デザインをして、ホームページを設置することができます。また、レンタルサーバーによっては、簡単な操作のみでWordPressを設置できてしまうため、セキュリティに疎くてもホームページを手に入れることが可能です。しかし、WordPress本体やプラグイン、テーマをアップデートすると、デザインが崩れたり、思わぬ不具合が起きたりしても、技術的に対応しきれなくなるタイミングが訪れてしまった場合、「対応できないからアップデートしない」という危険な選択肢を選んでしまうケースがあるのです。

WordPressのアップデートに対応できない、していないという場合は早めに専門家に任せることが解決策であると理解し、放置して不要な被害を受けないようにしましょう。

会社の規模によってはセキュリティ人材の雇用や育成も視野に

小規模かつ少人数であれば、ホームページの更新や管理を外部委託することで、セキュリティリスクを回避するには充分な可能性があります。ただし、中規模以上、ある程度の人数がいる場合は少しずつでもセキュリティ人材の雇用や育成も視野に入れておきましょう。コスト面で難しい可能性はあるかもしれませんが、セキュリティに関するノウハウが、他の業務と同様に「自社対応:内製することが当たり前の時代」になっているのが理由です。

もちろん、小規模かつ少人数のでも、ゆくゆくはセキュリティ人材を雇用し、業務の一環として育成を行うことも大切です。極端なことを言えば、ITやWebに疎いから、苦手だからとセキュリティを疎かにしてはいけないということ、企業や組織としての本来の事業や目的を継続するためにも「安心・安全のためのセキュリティ」が現時点においても必須であることを理解することをおすすめします。

まとめ:ホームページの管理や更新は専門家に任せた方が安心

今回はホームページのセキュリティリスクに関する基礎知識、ホームページのセキュリティリスクへの対策、そしてセキュリティ対策が技術的に難しい場合の解決策についてお話しました。

業界や業種によっては、DXの推進やデジタル化など、急激な変化に対応しつつも、人材や技術が伴わず、結果的にセキュリティリスクに対応できないことがあるのも事実です。実際にわからないままセキュリティインシデントにつながってしまう前に、ホームページの管理や更新は専門家に任せることをおすすめします。

当社「リップルネット」であれば、月々14,300円(税込)でホームページの管理や更新を承っております。もちろん、基本的なセキュリティ対策も含めて対応しており、自社管理や内製にありがちな各種アップデートの放置、更新漏れといったことはなく、安心・安全なホームページ運営が可能です。技術的に難しい、人材の属性的に雇い入れや応募が期待できないなど、ホームページのセキュリティリスクにお悩みであれば、ぜひともこの機会にご相談、お問い合わせください。

最後までお読みいただきありがとうございました。

この記事がホームページの管理や更新のセキュリティリスクにお悩みの方のお役に立てれば幸いです。

よく閲覧されるページ