目次
・はじめに
・IPAとは?
・なぜ中小企業が狙われるのか
・IPAが推奨する基本的なセキュリティ対策
・ホームページ運営で重要なセキュリティ対策
・ファイコムが実施しているセキュリティ対策
・まとめ
はじめに
「セキュリティ対策が必要なのは大企業だけ」
そう考えている方は少なくありません。
しかし近年では、サイバー攻撃の対象は大企業だけではなく、中小企業にも広がっています。実際に、ランサムウェアによる業務停止やホームページ改ざん、メールのなりすましによる被害など、多くの中小企業がサイバー攻撃の被害に遭っています。特にホームページやメールを利用している企業は、規模に関係なく攻撃対象になる可能性があります。
一方で、
- 何から対策を始めればいいかわからない
- IT担当者がいない
- ホームページ制作後は放置している
という企業も少なくありません。
そのような場合に参考になるのが、IPA(情報処理推進機構)が公開しているセキュリティ対策ガイドラインです。本記事では、IPAが推奨する基本的なセキュリティ対策と、ホームページ運営において重要なポイントについて詳しく解説します。
IPAとは?
IPA(情報処理推進機構)は、経済産業省所管の独立行政法人です。
情報セキュリティに関する調査・研究、脆弱性情報の提供、人材育成などを行っており、日本国内における情報セキュリティの中心的な機関の一つです。企業向けにさまざまなセキュリティガイドラインを公開しており、多くの企業や自治体がその内容を参考にしています。
特に中小企業向けには、
- 情報セキュリティ5か条
- 中小企業の情報セキュリティ対策ガイドライン
- 情報セキュリティ10大脅威
など、実践しやすい資料が公開されています。
なぜ中小企業が狙われるのか
「うちには盗まれるような情報はない」という声を聞くことがあります。
しかし攻撃者の目的は必ずしも情報窃取だけではありません。
例えば、
- 他社への攻撃の踏み台にする
- ランサムウェアで身代金を要求する
- 企業サイトを改ざんする
- 不正メール送信に利用する
といったケースがあります。また、大企業の取引先である中小企業を狙う「サプライチェーン攻撃」も増加しています。そのため企業規模に関係なく、最低限のセキュリティ対策は必要です。
IPAが推奨する基本的なセキュリティ対策
1. ソフトウェアを常に最新状態に保つ
もっとも重要な対策の一つです。
WindowsやMacのOSだけでなく、
- WordPress
- プラグイン
- Webブラウザ
- 業務ソフト
なども対象となります。
古いバージョンのまま利用していると、公開されている脆弱性を悪用される可能性があります。実際にホームページ改ざんの多くは、WordPressやプラグインの更新漏れが原因となっています。
ファイコムでもよくある相談
「ホームページ制作会社と連絡が取れなくなった」
「5年以上更新していない」
というケースでは、高い確率で危険な状態になっています。
2. 強固なパスワードを利用する
パスワード管理は基本中の基本です。
しかし実際には、
- company123
- password
- admin
など推測しやすいパスワードが利用されているケースもあります。
安全なパスワードのポイントは、
- 12文字以上
- 英数字と記号を混在
- サービスごとに変更
です。
さらに可能であれば二段階認証(多要素認証)の利用も推奨されます。
3. バックアップを取得する
万が一攻撃を受けた場合でも、バックアップがあれば復旧できる可能性があります。
しかし、
「サーバー会社がバックアップしているから大丈夫」と考えるのは危険です。
バックアップには、
- サイトデータ
- データベース
- メール
など複数の対象があります。復旧できる状態で保管されているか確認することも重要です。
4. 不要なアカウントを削除する
退職者のアカウントや使われていない管理者アカウントは、不正アクセスの原因になります。
特にWordPressでは、
- 管理者権限の整理
- 不要ユーザーの削除
- 権限の見直し
を定期的に実施することが大切です。
5. ウイルス対策ソフトを導入する
現在では標準搭載されているケースも多いですが、
- 定義ファイルの更新
- 定期スキャン
まで実施できているか確認しましょう。
従業員のパソコンが感染した場合、社内ネットワーク全体に影響が及ぶ可能性があります。
ホームページ運営で重要なセキュリティ対策
SSL(https)化
現在のホームページ運営では必須です。
SSL化によって、
- 通信内容の暗号化
- 個人情報保護
- SEO評価向上
が期待できます。
現在でも古いサイトでは未対応のケースがあります。
お問い合わせフォーム対策
ホームページの中で最も攻撃対象になりやすい場所の一つです。
例えば、
- スパム送信
- SQLインジェクション
- クロスサイトスクリプティング(XSS)
などが狙われます。
対策として、
- reCAPTCHA導入
- 最新プラグイン利用
- 入力チェック
などが必要です。
セキュリティヘッダの設定
近年の脆弱性診断では、
- HSTS
- X-Content-Type-Options
- X-Frame-Options
- Content-Security-Policy
などの設定が確認されることが増えています。
これらは攻撃を完全に防ぐものではありませんが、被害を軽減するための重要な対策です。
メール認証設定
メールのなりすまし被害を防ぐため、
- SPF
- DKIM
- DMARC
の設定が推奨されています。
最近ではGoogleやMicrosoftも設定を強く推奨しており、未設定の場合はメールが届きにくくなるケースもあります。
ファイコムが実施しているセキュリティ対策
ファイコムでは「デザイン&セキュリティ」をテーマに、ホームページ制作だけでなく公開後の安全な運用支援にも力を入れています。
具体的には、
- ISMS運用による情報管理
- WordPress更新管理
- SSL設定
- セキュリティヘッダ設定
- SPF・DKIM・DMARC設定支援
- 基本的な脆弱性チェック
- 定期バックアップ運用
- フォームセキュリティ対策
などを実施しています。
ホームページは制作して終わりではなく、継続的な管理が必要です。
まとめ
IPAが推奨するセキュリティ対策は、決して特別なものではありません。
しかし、基本的な対策を継続できている企業は意外と多くありません。
まずは、
- ソフトウェアの更新
- パスワード管理
- バックアップ
- メール認証設定
- ホームページの定期点検
から始めることをおすすめします。ファイコムでは、ホームページ制作だけでなく、公開後の保守・運用・セキュリティ対策までサポートしています。
「現在のホームページが安全なのかわからない」
「脆弱性診断で指摘を受けた」
「WordPressを長期間更新していない」
といったお悩みがありましたら、お気軽にご相談ください。
K.M
