ホームページを守るセキュリティ対策とは

突然ですが、せっかく作った自社のホームページがサイバー攻撃によって不正アクセスされ、会社の重要な情報やお客さまの情報が流出してしまった!という事態を想像したことはありますか?
ホームページはお店や企業にとって不可欠なツールのひとつです。ところが、セキュリティ対策をしっかりしていないと、サイバー攻撃によって思わぬ損失やトラブルに巻き込まれてしまうことがあります。サイバー攻撃の被害を受けてしまうと、お店や会社の信頼を失うことにつながるので、ホームページのセキュリティ対策は必須です。
ここでは、ホームページをサイバー攻撃から守るセキュリティ対策について解説していますので、参考にしてください。

セキュリティ対策が不十分なホームページはサイバー攻撃の対象に

ニュースなどで耳にすることもある「サイバー攻撃」。ホームページを持っている方にとって、サイバー攻撃は決して他人事ではありません。サイバー攻撃とは、インターネットの通信機能を悪用して、企業やお店のサーバーから情報を盗んだり、ホームページの内容を改ざん(乗っ取り)したりする「攻撃」を仕掛けてくることをいいます。ホームページのセキュリティ対策が不十分な場合、このサイバー攻撃の対象になる可能性が高まってしまいます。

どのホームページもいつ「サイバー攻撃」されるかわからない

サイバー攻撃と聞くと、国レベルや大企業のホームページが狙われると思われる方もたくさんいらっしゃると思います。「うちの会社は大企業ほど大きくないし、ホームページからの情報流出なんて関係ない」「ホームページに個人情報を載せていないので問題ない」「ホームページのセキュリティ対策はそこまで考えなくてよい」などサイバー攻撃の対象とはならないと思われていませんか?
もしもそう思われているのであれば、とても危険です!
なぜなら、サイバー攻撃によるホームページへの不正アクセス被害は、会社の規模に関係なく起こっているからです。むしろ、大企業はホームページのセキュリティ対策にも力を入れているため、最終的なターゲットは大企業であるものの、そこに至るためのステップとして、つけ入る隙のある中小企業のホームページが狙われるケースも少なくありません。サイバー攻撃を仕掛ける側は、何の接点もない外部からではアプローチできないため、接点のある取引先である中小企業のホームページを経由して攻撃してきます。どのホームページもいつサイバー攻撃のターゲットにされるかわからないからこそ、セキュリティ対策はおろそかにはできません。

ホームページのセキュリティ対策が不十分であるリスク

ホームページのセキュリティ対策が不十分なホームページのリスクとして、次の3つが挙げられます。
まずは、情報漏えいが挙げられます。
ホームページへのサイバー攻撃による不正アクセスや、悪意あるプログラムを埋め込まれることにより、お客さまの個人情報を流出させてしまうおそれがあります。個人情報の保護が叫ばれる昨今において、サイバー攻撃によるお客さま情報の流出は、企業にとって大きなダメージとなるでしょう。
2つめは、ホームページの改ざんです。
セキュリティ対策を怠ると、ホームページの内容を知らず知らずのうちに改ざんされてしまう可能性が高まります。意図せぬ改ざんによって、ホームページを訪れたユーザーに、商品やサービス、あるいは入金先の情報について間違った情報を伝えてしまうことで、お客さまや取引先の信頼を失ってしまうおそれがあります。
3つめに挙げられるのがマルウェア感染です。
マルウェアとは、悪意あるプログラムの総称です。コンピューターウイルスとも呼ばれますが、ウイルスもマルウェアの一種です。よく知られるマルウェアには、「トロイの木馬」や「ワーム」、「スパイウェア」などがあります。
近年では、ホームページにマルウェアを仕込むサイバー攻撃が増えているため、注意が必要です。マルウェアに感染してしまったホームページは、内容の更新や編集などが一切できなくなるケースもあります。

ホームページへのサイバー攻撃手段

ここでは年々複雑かつ巧妙化しているホームページへのサイバー攻撃手段について、いくつか紹介します。

クロスサイトスクリプティング

1つめは「クロスサイトスクリプティング」です。
ホームページに不正なスクリプトの埋め込むことにより、本来とは異なる動作を生じさせるサイバー攻撃です。仕込まれたことになかなか気づかないこともあるため、厄介なサイバー攻撃と認知されています。クロスサイトスクリプティングの怖いところは、アクセスしてきた人々が直接的な被害を受けてしまうことです。不正なスクリプトの効果により、偽装されたホームページへ誘導され、そこで個人情報やクレジットカード情報などを抜きとられてしまう恐れがあります。

SQLインジェクション

2つめは「SQLインジェクション」です。
データベースへダイレクトにアプローチを仕掛けるサイバー攻撃の一種で、SQLはネットワーク上のデータベースを操作するためのデータベース言語を使用しています。そのSQL言語による命令をホームページへ注入し、本来とは異なる意図しない動作を起こさせます。これは、個人情報の搾取に用いられることの多い手口です。

DoS攻撃・DDoS攻撃

3つめは「DoS攻撃」・「DDoS攻撃」です。
これはサーバーへのダイレクトなサイバー攻撃で、ダウンさせることを目的に行われます。意図的にサーバーへ大きな負担をかけ、処理が困難な状態に追い込むことでダウンさせる古くからある手口です。ページ更新の役割を担うF5キーを連続で何度も押し続けることにより、サーバーへ負担をかける手口です。似た手口としてDDoS攻撃がありますが、こちらは複数の端末を使用した一斉攻撃で、通常のDoS攻撃よりもサーバーに対し大きな負荷がかけられることが特徴です。

ブルートフォースアタック

4つめは「ブルートフォースアタック」です。
こちらも古くからある手口のひとつですが、いまだに用いられることの多いサイバー攻撃です。いくつかの手口がありますが、よく知られているのはIDやパスワードを1つずつ試し解析する方法です。
システムへ侵入するには、IDやパスワードを入力しなくてはなりません。そのため、正解を導き出せるまで、あらゆる組み合わせで試していくのがこの方法です。万が一、管理権限のあるIDやパスワードを割り出されてしまうと、内部の情報を抜きとられたり、ページに手を加えられて改ざんされたりするといった被害が生じます。

ゼロデイ攻撃

5つめは「ゼロデイ攻撃」です。
サイバー攻撃の中で、もっとも脅威であると認識されているのがゼロデイ攻撃です。ソフトウェアやシステムの脆弱性を狙った攻撃で、防御できる体制が整う前に一斉攻撃を行うことが特徴です。悪意ある者が脆弱性を発見した場合、今がチャンスと言わんばかりに一斉攻撃を仕掛けます。

ここで、脆弱性についてわかりやすい例えとして「住宅」を用いてご説明します。

ある住宅がありました。
その住宅は、玄関と裏口に鍵がかかります。
住宅の持ち主は、常々、玄関と裏口に鍵をかけておけば安心と思っていました。
しかし、あるとき、その住宅に泥棒が入ってしまいました。
実はその住宅の2階の雨どいには、庭木を剪定するための「はしご」が常に立て掛けられていて、その「はしご」を少し移動させれば、2階の窓から部屋に侵入できたのです。
残念ながら、家主がそのことに気付いたのは、泥棒の侵入を許したあとでした・・・。

このように、一見、セキュリティが万全そうでも、何かをきっかけとして、脆弱性が露呈することがあります。そして、脆弱性を見つけた泥棒(攻撃者)はさまざまな手段を使って、攻撃を仕掛けてきます。

ホームページを守るために不可欠なセキュリティ対策

ここまで、どのホームページもセキュリティが不十分だとサイバー攻撃のターゲットになりうるということについてご説明してきました。では、大切なホームページを守るために、どのようなセキュリティ対策をすればいいのでしょうか?この章では簡単にできるホームページのセキュリティ対策についてご紹介します。

必要のないプログラムの削除と推測されにくいパスワードの設定

ホームページを運用していると、使わないプログラムをそのまま残して、次々とプログラムを追加することがあるかもしれません。しかし、プログラムには先ほど述べたような脆弱性がつきものであることから、注意が必要です。「いつか使うかも」「念のため残しておこう」…とホームページ内に使わないプログラムを残したまま、新たにプログラムを追加しないようにしましょう。なぜなら、ホームページ全体のプログラムが増えるほど、悪意ある攻撃者につけ入る隙を与えることになってしまうからです。また、使わないプログラムを管理せずにいると、バージョンのアップデートなど、更新作業の対象から外れてしまうことも少なくありません。できる限り必要のないプログラムは削除して、サイバー攻撃の対象にされにくいセキュリティ対策環境を整えましょう。

パスワードは短いものより長いものの方がセキュリティ対策として有効です。特に、12桁以上のパスワードを設定すると、簡単には見破られにくいといわれています。また、英字も大文字や小文字を含めて使用し、さらに数字も組み合わせるとより効果的です。忘れないためにと、誕生日や記念日、車のナンバーなどをパスワードに使う方もいらっしゃると思いますが、できる限り予想されにくい組み合わせで設定することが、ホームページのセキュリティ対策につながります。

具体的なパスワード設定のポイントは以下の通りです。

  • 強力なパスワードを設定する
  • 12文字以上の長さ(最低8文字以上)
  • 英字、数字、記号を組み合わせる
  • 誕生日や住所などの個人情報は使わない
  • 辞書に載っている単語は使わない
  • 複数のサイトで同じパスワードを使い回さない
  • パスワード管理ツールを活用する
  • 定期的にパスワードを変更する
  • 紙にパスワードを書き留めない
  • フィッシング詐欺に注意する

システム・プログラムのアップデートとアカウント管理・アクセス制限

ホームページのシステムやプログラムの脆弱性をカバーし、情報セキュリティや利便性を維持するためには、定期的にアップデートすることがセキュリティ対策では必要です。システム・プログラムのアップデートをすることで、修正プログラムや新機能を追加します。アップデートには、主にセキュリティ対策、機能の追加・改善、互換性の維持の目的があります。
サイバー攻撃の手口や手法は、どんどん進化していますので、アップデートをしないままの状態が続くと、いつホームページがサイバー攻撃を受けるかわかりません。システム・プログラムをアップデートすることにより、少しでもサイバー攻撃を受けるリスクを軽減できますので、定期的にアップデートを行い、ホームページを常に最新の状態を保つようにしましょう。

また、アカウント管理を怠っていた場合、サイバー攻撃による不正アクセスによって管理者になりすまされてしまい、ホームページ内容の改ざんやお客さま情報の流出といった事態を招きかねません。そのような事態を回避するためにも、アカウントの管理は適切に行いましょう。また、必要に応じたホームページへのアクセス制限も実行しましょう。誰でもアクセスできるような状態では「どうぞ侵入してください」といっているようなものです。そのため、セキュリティ対策としてアカウントの管理とアクセス制限はおろそかにしないようにしましょう。

SSL化

SSLとはSecure Sockets Layerの略で、インターネット上の通信を暗号化する技術のことをいいます。そして、ホームページ上の通信をSSLにより暗号化することを、「SSL化(HTTPS化)」といいます。SSL化したホームページには「SSL証明書」が発行され、httpsによる通信が可能になります。そして、ホームページ上の通信を暗号化することで、インターネット上での個人情報等のやりとりもすべて暗号化されるため、第三者が情報を閲覧するのを防ぐことができます。
ネットショッピング等で私たちが安心して住所や連絡先などの情報を入力できるのも、このSSL通信の恩恵のひとつです。また、SSLによる通信の暗号化は、情報漏えいの防止になります。さらには、インターネットを利用する人の多くはSSLを導入していないサイトを嫌う傾向があるため、SSL化はセキュリティ対策だけではなく、SEO対策の観点からみても大切です。

ホームページの高度なセキュリティ対策

ホームページの高度なセキュリティ対策についても簡単にご紹介します。

高度なセキュリティ対策

ファイアウォールの導入
ファイアウォールは、ネットワーク機器に設置するソフトウェアまたはハードウェアで、不正なアクセスを防ぎ、ネットワーク内を保護するセキュリティ対策です。
ホームページへのインターネットからのサイバー攻撃や、社内ネットワーク内の不正な通信などを遮断することで、情報漏えいやホームページ改ざん被害などのサイバー攻撃によるリスクを低減することができます。
Webアプリケーションファイアウォール (WAF)の導入
Webアプリケーションファイアウォール (WAF) は、Webアプリケーションに対するサイバー攻撃からホームページを保護するためのセキュリティ対策です。
近年、Webアプリケーションへのサイバー攻撃は巧妙化しており、従来のファイアウォールだけでは十分に防御することが難しい状況になっています。WAFを導入することで、Webアプリケーション攻撃の防止や、サイバー攻撃からの保護、そしてWebアプリケーションの不正使用の防止などのようなメリットを得ることができ、ホームページのセキュリティ対策のひとつとして有効な対策となります。
侵入検知システム (IDS) と 侵入防止システム (IPS)の導入
侵入検知システム (IDS) と 侵入防止システム (IPS) は、ネットワークやシステムへの不正侵入を検知・分析し、必要に応じて自動的に防御を行うセキュリティ対策です。近年、サイバー攻撃は巧妙化しており、従来のファイアウォールだけでは十分に防御することが難しい状況になっています。ホームページのセキュリティ対策としてIDS/IPSを導入することで、既知のサイバー攻撃だけでなく、未知のサイバー攻撃も検知することができ、内部からの不正アクセスや、マルウェアによる感染なども検知することができるため、サイバー攻撃の早期発見・分析が可能となります。
セキュリティ対策ツールの導入
サイバー攻撃はどんどん巧妙になっており、企業や個人にとってセキュリティ対策はますます重要になっています。ホームページのセキュリティ対策ツールを導入することで、以下のようなメリットを得ることができます。
・情報漏えいリスクを軽減する
・ウイルス感染による業務停止リスクを軽減する
・ネットセキュリティを任せられる
・被害の範囲を特定できる
セキュリティ対策ツールを導入することで、ホームページへの不正アクセスやウイルス感染、データ改ざん、情報漏えいなどといったセキュリティ事故が発生した場合にも、復旧を支援してくれます。
代表的なセキュリティ対策ツールには『ウイルス対策ソフト』『ファイアウォール』『侵入検知システム (IDS) / 侵入防止システム (IPS)』『暗号化ソフト』などがあります。これらを導入してセキュリティ対策をしっかり行い、大切なホームページをサイバー攻撃から守りましょう。

ホームページのセキュリティ対策について、絶対的に安心できる対策はありません。
しかし、ホームページの制作や運用をするうえでセキュリティ対策を高める努力は必要です。
ここまで、サイバー攻撃の脅威とご自身でできるホームページのセキュリティ対策について述べてきましたが、ホームページのセキュリティ対策でもっとも大事なのは「予防」だということです。いつ、どんなことがきっかけで自分のホームページのセキュリティが破られるかわかりませんし、被害に遭ってからでは遅いのです。
冒頭でお話したとおり、ホームページは企業やお店にとって不可欠なツールだからこそ、セキュリティ対策はとても大切です。ホームページのセキュリティ対策は、継続的に取り組むことが大切で、専門知識が必要となる場合もあります。セキュリティ対策について、ご自身で知識を高めて対策することも重要ですが、実際に「何」を「どの程度」対策すればよいのか分からない場合は、専門家に相談することも有効な手段の1つとなります。

NTTタウンページが提供するホームページ制作・運用サービス「デジタルリード」なら、SSL化に対応するなど、必要なセキュリティ対策を備えています。
これまで35,000件以上のホームページ制作実績(2024年3月現在)に基づく、確かな技術とサポート体制でビジネスオーナーさまを徹底支援いたします。
詳しくはぜひ一度お問い合わせください。

ホームページの基礎知識に関連する記事

ホームページにスライダーは必要か?

最終更新:2025年2月スライダーは便利な機能ですが、メリットとデメリットがあります、そのあたりをよく理解してからスライダーを使用する必要があります。本記事ではスライダーのメリット・デ...

ビジネスを成功させるカスタム(独自)ドメインを取得しましょう

ビジネスを成功させるカスタム(独自)ドメイン。こちらの記事では、ビジネスを成功に導くためのカスタム(独自)ドメイン取得の手順とポイントを詳しく説明します。

ホームページにおける「スライダー」とは?

スライダーはホームページのメインビジュアルや、アピールしたい商品やサービスによく用いられる機能です。ホームページでスライダーを使うと見栄えもよく、効果的な情報発信ができ、またSEO対策にも効果的といわれています。