アスウェブ編集部 ホームページを運営していく上で、必ず考えなければならない、セキュリティについてのお話。「サイバー攻撃」という言葉をよく聞くようになりましたよね。サイバー攻撃は年々激化してきており、攻撃のターゲットは大企業から、中小企業にシフトしてきています。
ホームページ のセキュリティに関して、 以下 のような考えをお持ちの方には是非読んでいただきたいコンテンツです。
- 自分のホームページは小さいから、セキュリティ対策は必要ない…
- パソコンに、セキュリティソフトを入れているから大丈夫でしょ
- サイバー攻撃は大きい会社だけが狙われるんでしょ?
- ホームページのセキュリティについて考えたことが無い…
- セキュリティって言われても何から始めらたいいか分からない!!
一口に「ホームページのセキュリティ」といっても様々な角度で、しっかり対策を行う必要があります。御社や、御社のお客様を守るために、ホームページのプロが「ホームページセキュリティ」をレクチャーします。
ホームページのセキュリティは必要なのか?
年々、ホームページやWebサービスに関するサイバー攻撃は増加傾向にあります。国立研究開発法人情報通信研究機構の調査によると、 ホームページなどのWebサービス がサイバー攻撃の対象となっているのは、三番目に多いものであるという調査結果が出ています。
また、 従業員数 250 人未満の企業へのサイバー攻撃が年々増加しており、中小企業こそが、ホームページのセキュリティを強化していく必要があります。2015年は、 小規模企業 1 ~ 250 人規模の企業が攻撃の標的となった割合は45%にも登っており、 大規模企業 2,500 人超 の35%を大きく上回っています。
参考コンテンツ: 攻撃者は標的企業の 規模を問わない(Symantec)
中小企業のホームページが攻撃の対象になってしまう理由としては、シンプルにセキュリティ対策の甘さが一番の理由になっています。
大企業のセキュリティがしっかりしているのは「当たり前」の時代になってきたため、 セキュリティ の甘い中小企業を踏み台にして、取引のある大企業を攻めるという新しい方法で、攻撃を仕掛けていく事も増えてきています。
中小企業だから、ホームページのセキュリティに対して無関心というのは、危険な時代になってきています。
ホームページのセキュリティ対応をしないとどうなるのか?
なかなか、ホームページのセキュリティ対策をしない場合のイメージが沸かないかと思いますので、実際にどのような被害が起きるのか、具体的にご紹介いたします。
顧客情報が流出してしまう
お問合せが多いホームページなどでは、お客様が入力してきた個人情報や購入した商品の情報などが盗み取られてしまいす。個人情報の流出は会社としての信頼の失墜にとどまらず、抜き取った情報の身代金の請求をされる事もあります。
取引先の企業が、ハッキングされてしまう
大企業のホームページのハッキングをするために、中小企業が踏み台にされるケースが増えてきています。セキュリティの甘い中小企業の取引先である大企業に侵入するために、御社が狙われているかもしれません。大企業との取引の信用問題にもなるため、慎重に対処する必要があります。
勝手に詐欺サイトの運営元にされてしまう
流出した情報を元に、勝手に詐欺サイトの運営者に仕立て上げられたという事例もあります。被害者だったにも関わらず、意図しないうちに、逆の加害者の立場になってしまう可能性もあります。
Webサイトが書き換えられてしまう
ホームページを乗っ取られてしまうと、御社のWebサイトの情報を勝手に書き換えられ、改ざんされる事があります。検索結果で、御社のホームページのリンクを踏むと、外部のサイトに勝手にリダイレクトさて、御社のサイトを表示させない、ということも可能になってしまうのです。
御社のパソコンが乗っ取られる
ホームページから、御社のパソコンに侵入できるような悪質なソフトを仕込む事もできます。ホームページの中にある大切な情報を抜き取られたり、御社の他のシステムに入り込んでしまう事もできてしまい、被害が拡大する可能性もあります。
<よくある被害>
・カード情報の流出
・顧客の個人情報の流出
・Webサイトの改ざん
ハッカーが狙う【3つ】の攻撃対象
【攻撃対象1】ホームページを置く<サーバ >
お問合せフォームなどから、悪意のある文字列を入力することによって、サーバの穴を見つけ出して、サーバの情報を抜き取ったり、 1秒間に数万回のアクセスをすることにより、サーバ自体をダウンさせたりすることがあります。サーバを狙う攻撃は、一番シンプル且つ簡単に情報を抜き取ることができるため、中小企業が標的になりやすいため注意が必要です。
<よくある被害>
・顧客が登録したカード情報の流出
・個人情報の流出
・Webサイトの改ざん
【攻撃対象2】 パソコンとサーバを繋ぐ<通信>
パソコンやスマートフォンから入力した情報を、サーバに送信する際に、情報を抜き取ったり、データ通信を盗聴されている事により情報を盗み見られる事もあります。通信が暗号化されていないが故に、第三者が「なりすまし」したり、「改ざん」する事例も多く、中小企業は知らぬ間に被害にあっていることも多いです。
<よくある被害>
・顧客が登録したカード情報の流出
・個人情報の流出
・注文や取引内容の改ざん
【攻撃対象3】ホームページを見る<閲覧者>
ホームページを閲覧者のパソコンやスマートフォンなどに攻撃させる仕組みを仕込み、悪意のない閲覧者が御社のホームページを閲覧する事で、攻撃ホームページを攻撃させるという手法もあります。公共wifiなどに罠が仕込まれていたり、wifiだと思っていたもの自体が攻撃者が作った偽物であるという可能性もあります。
<よくある被害>
・顧客が登録したカード情報の流出
・個人情報の流出
・Webサイトの改ざん
中小企業を守るホームページセキュリティ対応は?
では、中小企業はどのような方法で、ホームページのセキュリティ対応を行う必要があるのでしょうか?今日から見直ししても遅くはない【5つのポイント】をお伝えします!
1.Webサイトをバージョンアップしておく
何年か前にホームページを作ってそのままで作りっぱなしはNGです!しっかりアップデートを行う必要があります。古いシステムのままではセキュリティ対策に対応できない場合もあるため、しっかりソフトウェアやOSのアップデートを行いましょう。
2.定期的にホームページセキュリティ診断を受ける
全く穴のないシステムを作る事は、不可能に近いです。そのため定期的に、セキュリティ診断を受ける事をお勧めします。以下のような無料から使えるセキュリティ診断ツールもあるので、是非活用してみてください。
3.サーバのセキュリティを強固にする
しっかりサーバを管理していく事も重要になります。なんとなくサーバにホームページを乗せるだけではなく、不正アクセスを監視できるサービスを利用したり、複雑なサーバの構成にする必要があります。
4.容易に想像できるパスワードは使わない
「1234」や「企業名」などの安易なパスワードは絶対に使用しないようにしましょう。企業の金庫や銀行口座に、安易なパスワードを使わないのと同じように、ホームページやシステムに関わるパスワードも、長く複雑なものを使うようにしましょう。
5. 通信を暗号化する
しっかり通信の暗号化を行う必要があります。「常時SSL化」という通信を暗号化する仕組みを入れる事により、情報の漏洩や改ざんを防ぐ事ができます。現在対応していない企業は、お早めに対応される事をお勧めします。
UxMEでは、ホームページのセキュリティ対策にも力を入れています。御社の大切なホームページのセキュリティを守るために、しっかり強固なホームページづくりを目指しています。セキュリティのご相談も承っておりますので、是非ご相談ください。