企業Webサイトご担当者様必見 企業ホームページのセキュリティ対策|企業Webサイトの脆弱性をどう克服するか
- 公開日
この記事は10分ほどで読めます
サイバーセキュリティは現代の企業にとって重大な課題です。特に、中小企業は大企業に比べてセキュリティ対策が疎かになりがちで、サイバー攻撃の標的になりやすい傾向があります。
しかし、セキュリティ対策を怠ることで、自社だけではなくユーザーに対してもセキュリティリスクによる被害が及ぶ可能性があります。その結果、社会的信頼を失い、ビジネスの継続は困難になる恐れがあります。とはいえ、本格的なセキュリティ対策は専門的な知識が必要で、手軽に始められるものではありません。
そこで本記事では、比較的導入しやすいセキュリティ対策方法を紹介します。自身もしくは自社のビジネスを危機から守りたい方は、ぜひ参考にしてみてください。
目次
企業ホームページのセキュリティ上のリスク
ホームページ制作におけるセキュリティ対策は、企業規模に関わらず重要です。これまでサイバー攻撃やマルウェア感染の被害に遭っていない企業も、安心せずに対策を強化する必要があります。セキュリティ対策を怠ると、以下の4つのリスクが発生するためです。
1.不正アクセスやプログラム埋め込みによる情報漏洩
2.勝手な文言の追加などのホームページ改ざんやダウン(閲覧不能)
3.トロイの木馬やスパイウェアなどのマルウェア感染
4.自身(自社)のホームページへのなりすまし
例えば情報漏洩が起きた場合、該当ユーザーに対して損害賠償責任を負わされる恐れがあります。さらに社会的信用失墜により、事業の継続自体が困難になる可能性もあるため、情報漏洩は絶対に防止しなければなりません。ホームページの改ざんやサイバー攻撃、マルウェア感染によっても、ビジネスに対し深刻な被害が及ぶことが想定されます。
以下の見出しでは、セキュリティリスクについてより詳細に解説します。
1.不正アクセスやプログラム埋め込みによる情報漏洩
企業が保持している情報は、不正アクセスやプログラム埋め込みなどによって漏洩するリスクがあります。
情報漏洩は、企業にとって大きなダメージをもたらします。例えば、ユーザーの個人情報が流出した場合、社会的信用の低下やイメージダウンが避けられないでしょう。さらに、取引先との関係性も悪化し、事業の継続が困難となる可能性もあります。
また、個人情報漏洩による損害賠償は、過去の判例によるとユーザー1人当たり3,000円~5,000円程度です。仮にユーザー1万人分の個人情報を漏洩させた場合、約5,000万円の賠償を命じられる可能性があります。さらに、情報漏洩した項目や二次被害の有無によっては、賠償額がさらに高額になるケースもあります。
そして、一度でも信頼を失った場合、その回復は容易ではありません。その結果、ビジネスが再起不能に追い込まれることもあり得ます。
なお2022年4月より、情報漏洩により個人の利益を害する恐れがあるときは「個人情報保護委員会」と「個人」へ通知することが義務化されました。この事実からも、セキュリティ対策の重要性はさらに高まっていると考えられます。
出典:個人情報保護委員会
2.勝手な文言の追加などのホームページ改ざんやダウン(閲覧不能)
不正アクセスや乗っ取りにより、第三者が画面を不正操作できる状態を作られ、ホームページに被害が及ぶ可能性があります。例えば、勝手な文言の追加などのホームページ改ざんやダウンによって、企業のイメージを大きく損なう恐れがあります。
改ざんの形態は多岐にわたり、ユーザーへの誤った情報提供や入金先情報の書き換え、反社会的な内容の追加などがおもな被害です。また、ホームページがダウンすると、機会損失にもつながります。特に、新商品の発売日など重要なタイミングでのダウンは、大きな損害をもたらすでしょう。
3.トロイの木馬やスパイウェアなどのマルウェア感染
マルウェアは、悪意のあるプログラムの総称です。有名なものとして、トロイの木馬やスパイウェア、ランサムウェアなどが挙げられます。
マルウェアに感染したホームページは、さまざまな不具合を引き起こす可能性があります。例として、ホームページの内容が改ざんされ、ユーザーが誤った情報に誘導されるリスクがあります。これにより万が一ユーザーが損害を被ってしまった場合、損害賠償責任を負うだけではなく、企業の信頼は大きく損なわれるでしょう。
また、不正アクセスやマルウェアによる攻撃は、個人情報の流出リスクも高めます。特に、クレジットカード情報などの重要な顧客情報が流出した場合、企業は大きな賠償責任を負うことになります。
4.自身(自社)のホームページへのなりすまし
セキュリティ対策が十分にされていないホームページは、悪意のある第三者に本物そっくりの偽サイトを作成される可能性があります。このようななりすましサイトは、ユーザーを本物の公式ホームページだと誤認させ、個人情報を盗むなどの犯罪行為をします。もちろんこのようなケースでも、企業のイメージは大幅に悪化するため、以下の見出しで紹介するようなセキュリティ対策を講じなければなりません。
企業ホームページのセキュリティ対策方法:強化編
ホームページ制作におけるセキュリティ対策には、大きく「強化」と「チェック」の2種類があります。この見出しでは、以下のセキュリティ強化方法について解説します。
1.レンタルサーバーの防御システムを導入する
2.プラグイン(CMSの拡張機能)を導入して外部からのさまざまな攻撃に備える
3.パスワードを長く複雑にする
4.SSL化によって個人情報を暗号化する
5.定期的にデータのバックアップを取る
6.安易なアクセス権限の付与を避ける
7.セキュリティツールを導入する
8.セキュリティ対策を外部機関に外注する
1.レンタルサーバーの防御システムを導入する
レンタルサーバー会社が提供する防御システムを活用することで、プログラムの脆弱性をカバーできます。防御システムには、「ファイアウォール」「IPS」「WAF」の三種の神器が含まれます。
これらの3種のシステムは、それぞれ異なる役割を持ちますが、いずれもWebサイトのセキュリティ強化には欠かせないものです。適切に活用することで、より安全なホームページ運用が可能となります。
以下の見出しでは、3種のシステムそれぞれについて解説します。
ファイアウォール:不要なポートやプロトコルを閉じる
ホームページ運用では、「ポート」と「プロトコル」が重要な役割を果たします。これらは通信の「道」や「伝達方法」を規定し、ファイルの送受信を可能とするためです。
しかし、ホームページを管理しているサーバーによっては、すべてのポート・プロトコルがデフォルトで有効になっています。この状態は、管理の目が届かない部屋の扉を開けっ放しにしているのと同じです。
ここで役立つのが、ファイアウォールです。ファイアウォールは扉の鍵の役割を果たし、不要なポートやプロトコルを閉じることで、ポートスキャンなどの攻撃を阻止します。また、専用のファイアウォール機器では、サーバーへのアクセス発生前に不正なアクセスを阻止することも可能です。
共用サーバーでは、ファイアウォールの設定はサーバー会社が行なってくれます。一方専用サーバーやVPS、クラウドサービスのサーバーでは、自社で設定する必要があるため要注意です。
IPS(侵入防止システム):不正アクセスをリアルタイムに感知する
IPS(侵入防止システム)は、不正なアクセスを破棄したり、アクセス元のIPアドレスからの通信を自動で遮断したりする機能を持つシステムです。IPS導入により、サーバーへの負荷増加やセキュリティホールの破壊による侵入を未然に防げます。ファイアウォールがポートを制限するのに対し、IPSはファイアウォールで防がれていないポートへの不正アクセスを制御するため、両方の導入が望ましいです。
また、IPSとあわせて「IDS(Intrusion Detection System)」の導入も推奨されます。IDSは、日本語で「不正侵入検知システム」という意味であり、その名のとおり外部からの不正侵入があった際に自動で検知してくれるシステムです。不正アクセスはIPSで防止し、IDSで検知することで、ホームページのセキュリティをより強固にできます。
Webサーバーへの不正アクセスは、一般的な通信だけでなく、侵入試行も含みます。侵入試行には「DoS攻撃」のように、1秒間に数百から数千のアクセスを試みるものもあります。しかしIPSは、こうした不正アクセスもリアルタイムで感知し、適切に対応することが可能です。
WAF:SQLインジェクションやXSSを防ぐ
WAF(Webアプリケーションファイアウォール)とは、SQLインジェクションやXSS(クロスサイトスクリプティング)を防ぐ役割を担うシステムです。
SQLインジェクションやXSSは、Webアプリケーションの不適切な動作を起こします。具体的には、SQLインジェクションはデータベースを、XSSはWebページ自体を操作することで、情報の流出などのトラブルが起きてしまうのです。また、これらは一度だけのアクセスでも不具合を起こし、かつ通常のアクセスと区別がつかない点が厄介です。
しかしWAFを導入することで、アクセスされた際のパラメータや、サーバーがユーザーに返そうとしているデータをリアルタイムに監視できます。そして、蓄積されているデータベースを元にハッキングの疑いがあるアクセスを感知した際は、データの送受信を停止します。これにより、情報の流出などを未然に防ぐことが可能です。
またWAFは、SQLインジェクションやXSSだけでなく、ブルートフォースアタック(総当たり攻撃)も防げます。さらにAIを搭載したWAF導入によって、未知の攻撃に対する対応力が大幅に向上し、ゼロデイ攻撃やファイルレスマルウェアなどの検知も可能です。
注意点としては、WordPressを利用している場合、403エラーなどの不具合が出る可能性があることが挙げられます。
2.プラグイン(CMSの拡張機能)を導入して外部からのさまざまな攻撃に備える
プラグインとは、WordPressなどのCMSに、デフォルトで備わっていない機能を追加するものです。プラグインのなかには、セキュリティ対策に使えるものもあるため、導入しておくとよいでしょう。
以下の見出しでは、プラグインに関する注意点の解説、おすすめのプラグイン紹介を行ないます。
プラグインはこまめにアップデートする
プラグインを古いバージョンのまま放置すると、サイバー攻撃やマルウェアの侵入を許してしまいやすくなります。そのため、情報漏洩やホームページ改ざん、サーバーダウンなどのリスクが増大します。
よって、CMSの安全性を確保するためには、プラグインの定期的なアップデートが不可欠です。
プラグインに脆弱性が見つかると、修正のうえ新バージョンが配布されます。プラグインを常に最新版に保つためには、バージョン情報をこまめに確認し、新バージョンがリリースされたら速やかにアップデートしましょう。
ちなみに、自動アップデートを有効にすることで、新バージョンの適用を忘れるリスクを軽減できます。ただし、アップデート後に急に使えなくなるなど何らかの不具合が起きる可能性もあるため、バックアップを定期的に取っておく必要があります。
不要になったプラグインは早急に削除する
不要なプラグインは、すぐに削除しましょう。なぜならプラグインの数が多いほど、サイバー攻撃の的が増え、セキュリティリスクも増大するためです。したがって、不要なプラグインは定期的に調査し、削除しましょう。
また、新たなプラグインを導入する際には、必要性をじっくり検討し、無闇にインストールしないことが重要です。
おすすめのプラグイン6選(WordPress用)
代表的なCMSであるWordPressにおすすめのプラグインは、以下の6つです。
1.SiteGuard WP Plugin
2.All In One WP Security & Firewall
3.Wordfence Security
4.BulletProof Security
5.iThemes Security
6.Google Authenticator
1~5については、以下の記事で紹介しているため、気になる方はあわせてご覧ください。
6つ目の「Google Authenticator」は、二段階認証によって不正アクセスを防止してくれます。ダウンロードや設定も簡単であるためおすすめです。
3.パスワードを長く複雑にする
ホームページをセキュリティリスクから守りたいのであれば、パスワードは必ず長く複雑にしなければなりません。パスワードの強化はセキュリティ対策の基本ですが、面倒くさがって氏名や生年月日など特定が容易なものに設定している方も多いでしょう。しかし、パスワードの特定は想像以上に簡単です。
8桁のパスワードの場合、2,088億の組み合わせがありますが、これでも現代のコンピューターにとっては容易に解読できる範囲です。そのため、パスワード特定によって簡単に侵入を許してしまいます。
パスワードの強度を高めるためには、最低でも12桁以上のものに設定しましょう。また、英字の大文字と小文字、数字、記号を組み合わせることで、さらに強度を高められます。
4.SSL化によって個人情報を暗号化する
SSL(Secure Sockets Layer)は、インターネット上での通信を暗号化し、情報の安全性を保証する技術です。特に、Eコマースサイトや個人情報を取り扱うサイトでは、SSL化が不可欠となっています。その理由は、ユーザーが安心して情報を入力できる環境を提供するためです。
SSL化は自動的に行なわれるものではないため、自社が利用しているレンタルサーバーでSSL証明書の取得申請を行ないましょう。ホームページが無事SSL化された場合、URLの冒頭に鍵マークが表示され「http」が「https」に変わります。
逆に、SSL化されていないホームページは信頼性が低いと見なされ、ユーザーから敬遠される可能性があります。ホームページの信頼性を保つためにも、必ずSSL化しましょう。
SSL化の重要性については、下記の記事で詳細を解説しているため、気になる方はあわせてご覧ください。
おすすめ記事
5.定期的にデータのバックアップを取る
定期的なデータのバックアップも、セキュリティ対策として有効です。万が一サイバー攻撃に遭い、ホームページのデータが破損したとしても、バックアップから復旧できる可能性があります。どれだけセキュリティ対策を講じても、リスクはゼロにならないため、被害を受けたときのことも想定して対策しておきましょう。
6.安易なアクセス権限の付与を避ける
ホームページの管理画面にアクセスできる人を安易に増やしてしまうと、内部不正によるトラブルのリスクが上昇します。したがって、本当に必要な人だけがアクセスできるような制限を設けましょう。特に、退職者やテスト用のアカウントは放置しがちであるため要注意です。
また、自動プロビジョニング機能の活用によって、アカウント情報の整理をシステムに委ねることも可能です。これにより、退職者のアカウント放置によるセキュリティホールの発生を防げます。
7.セキュリティツールを導入する
セキュリティツールを導入することで、さらなるリスク低下が期待できます。
セキュリティツールには、大別すると以下の3種類があります。
1.UTM(統合管理)
2.MDM
3.IDaaS
UTM(統合管理):複数の機能を搭載している
のイメージ.jpg)
UTMは、ファイアウォールなど複数のセキュリティシステムを一つに統合し、企業のネットワークセキュリティを一元化するシステムです。UTM導入により、セキュリティシステムの管理を効率化できます。そのため、管理に必要なデバイスやスタッフにかかるコストの削減も可能です。
またUTMは、脅威の検出速度を向上できます。なぜならセキュリティシステムは、一元化されることでより高速に動作できるようになるためです。このことにより、外部から侵入してくる脅威を迅速に特定して対処できます。
MDM:端末の紛失・盗難時の情報漏洩を抑える
MDM(Mobile Device Management)は、スマートフォンやノートPCなどの一元管理を可能にするシステムです。端末の管理を手厚くすることで、セキュリティリスクの防止が期待できます。
MDMは、紛失や盗難時の情報漏洩を防ぐための遠隔操作機能が充実しています。おもな機能は「リモートロック」と「ローカルワイプ」の2種類です。
リモートロックは、遠隔操作で端末の画面をロックし、第三者による不正操作を防ぎます。一方ローカルワイプは、パスワードの入力を一定回数間違えた際に、端末内のデータを自動消去する機能です。
また「仮想デスクトップ機能」を搭載しているMDMは、端末内にデータを保管せず、閲覧可能なサイトを制限できます。これにより、マルウェア感染やアカウント情報の流出を防げます。
IDaaS:アカウント情報の管理やアクセス制限を行なう
IDaaS(Identity as a Service)は、業務で使用するSaaSや、社内システムのアカウント情報を一元管理するシステムです。アカウント情報の流出は、ホームページの改ざんだけでなく、機密情報の漏洩やデータ破壊といった多様なリスクを引き起こします。しかし、IDaaSの導入により、これらのリスクの防止が可能です。
IDaaSには、以下の機能が搭載されています。
・ID管理:アカウント情報を一元管理できる
・シングルサインオン:単一のパスワードで複数のサービスにログインできる
・多要素認証:パスワード以外の認証要素を追加することでセキュリティを強化できる
・アクセス制限:ユーザーのアクセス範囲を制限することで不要な情報漏洩を防げる
・プロビジョニング:新規ユーザーのアカウント作成や既存ユーザーのアカウント情報更新を自動化できる
上記の機能はセキュリティリスクの削減だけではなく、業務効率化にも貢献するため、ぜひIDaaSを導入するとよいでしょう。
8.セキュリティ対策を外部機関に外注する
セキュリティ対策の専門知識が不足している場合、自社の力で適切な対策を進めるのは難しいでしょう。この場合は、セキュリティ対策を、専門知識を持つ外部機関へ依頼するのが有効です。
依頼先としては「セキュリティ会社」「Web制作会社」「コンサルティング会社」が挙げられます。適切な選択肢は、自社のニーズに応じて変わります。以下の見出しでは、正しい選択ができるように、3つの選択肢それぞれの特徴を解説します。
セキュリティ会社:セキュリティ対策に関するノウハウが豊富
セキュリティ会社は、文字どおりセキュリティ対策の専門家です。セキュリティ会社には、セキュリティ対策に関する豊富なノウハウを持つ人材が在籍しており、ニーズに合わせて最適なツールや調査方法を提案してくれます。知識の豊富さだけではなく、対応力の高さも魅力です。
また、セキュリティ対策の現状分析や、今後の対策に関する提案もしてもらえます。セキュリティの専門家から直接アドバイスを受けられるのは、セキュリティリスク対策を講じるうえでの大きなメリットです。
しかし、多くのサービスを依頼するほど費用は高くなります。そのため、予算とのバランスを考慮しながら、最も重要な対策から優先的に依頼するとよいでしょう。
Web制作会社:SEO対策も同時に可能
Web制作会社は、セキュリティ対策だけではなく、SEO対策も同時に実施してくれます。豊富なSEO対策の知識を活用し、検索エンジンでの上位表示をアシストしてくれます。コミュニケーションコストの削減や、情報共有による対応の不備を防ぐために、ホームページの運用代行とセキュリティ対策をまとめて依頼したい場合はおすすめです。
もちろんWeb制作会社も、サイバー攻撃やマルウェアなどの情報を日々収集し、ハイレベルなセキュリティ対策を実施してくれます。ただし、すべてのWeb制作会社がセキュリティ対策まで一括対応できるわけではないため、自社のニーズを満たせるか事前に確認する必要があります。
Web制作会社の作業内容やメリットなどについては、こちらの記事で解説しているため、詳細が気になる方はあわせてご覧ください。
コンサルティング会社:自社固有の状況・条件に応じた対策が可能
コンサルティング会社は、自社の分析と最適な提案が得意です。そのため、自社のセキュリティ状況や予算に合わせて、対策方法を柔軟に提案してくれます。
一方コンサルティング会社の場合、対応範囲が対策の提案までのみで、セキュリティ対策の実施自体は対応していないケースがあります。また、セキュリティ対策支援の実績が豊富な会社を選ばないと提案を得られず、高額なコンサル費用が無駄になる恐れがあるため、実績確認は必須です。
3.企業ホームページのセキュリティ対策方法:セキュリティチェック編
続いて、ホームページのセキュリティチェック方法を紹介します。特におすすめな方法は、以下の4つです。
1.セキュリティチェックツールを利用する
2.ログデータの取得や無料アクセスツールの活用で不正アクセスの有無を確認する
3.フォレンジック調査で不正アクセスなどの原因を特定する
4.ペネトレーションテストでWebサイトの脆弱性を判定する
1.セキュリティチェックツールを利用する
セキュリティチェックツール導入によって、ホームページのセキュリティリスクに早く気づけるようになります。例えば、XSSやSQLインジェクション、OSコマンドインジェクションなどあらゆる脅威を検出してくれます。
セキュリティチェックツールの価格は、無料から数百万円までと幅広いです。診断項目もサービスによって異なります。したがって、複数のセキュリティチェックツールを比較検討し、特に費用対効果が高いサービスを選ぶことが重要です。
2.ログデータの取得や無料アクセスツールの活用で不正アクセスの有無を確認する
定期的なログデータ取得によって、不正アクセスや内部不正の早期発見と対策が可能となります。また「Googleアナリティクス」などの無料アクセスツール活用によっても、ホームページの閲覧履歴やアクセス回数、侵入経路を解析し、不正アクセスの有無を確認できます。さらに、取得したデータはSEO対策にも活用可能です。
ログについては、必要なときに分析に使用できるよう、適切な方法で保管しなければなりません。ログの整理も忘れずに行ない、該当するログが「どのシステムやアプリケーションのものか」「日時はいつのものか」といった情報を明確にしましょう。
3.フォレンジック調査で不正アクセスなどの原因を特定する
フォレンジック調査は、セキュリティリスクが発生した際、原因や被害状況を究明するための調査です。デジタル機器からのデータを解析し、不正アクセスやマルウェア感染の有無、情報漏洩の状況、データ改ざんの調査などを行ないます。また、フォレンジック調査は法的効力を持つため、裁判時に証拠として提出することも可能です。
ただし、デジタルデータは同一性を保つのが難しく、自社でフォレンジック調査を行なうのは困難です。よって、専門的なノウハウや知識を持つ外部機関に依頼するとよいでしょう。サイバー攻撃の対象となっているにもかかわらず、何も対処しないとさらに大きなダメージを受ける可能性があるため、投資する価値は十分にあるといえます。
自社ホームページがサイバー攻撃の対象になっているか、攻撃を受けているかを確認するだけであれば、フォレンジック調査でなくても可能です。しかし、裁判時に有効な資料となり、勝訴しやすくなることにフォレンジック調査の大きな価値があります。
4.ペネトレーションテストでWebサイトの脆弱性を判定する
ペネトレーションテストは、自社ホームページのセキュリティ上の弱点を発見できる手段です。ペネトレーションテストでは、ハッカー侵入による情報漏洩リスクの大きさを判定できます。また、現在の被害状況も評価可能です。
多くの企業は、セキュリティ対策は直接的な収益につながらないため、予算を十分に割けていません。しかし、ペネトレーションテストであれば、緊急対応が必要な脆弱性のみを特定できます。そのため、コストパフォーマンスが高く、あまり予算を割けない企業にもおすすめです。
4.ホームページのセキュリティ対策にかかる費用相場
最後に、ホームページのセキュリティ対策にかかる費用相場について解説します。予算によって、実施できるセキュリティ対策は変わってくるため、参考にしてみてください。
4-1.セキュリティ対策費用:月額1,000~2万円程度
ホームページのセキュリティ対策は、月額1,000円〜2万円程度が相場です。
セキュリティ対策内容には、個人情報漏洩やページの改ざんなどのリスク防止、セキュリティ診断、自動バックアップなどが含まれます。これらの対策は、レンタルサーバー費用に含まれるものもあれば、有償オプション扱いのものもあります。しかし、本格的にホームページを運用する場合や顧客の個人情報を扱う場合は、有償オプションまで追加したほうが、より安心して運用できるでしょう。
4-2.SSL費用:無料~年額20万円程度
SSL費用の相場は1年あたり無料〜20万円程度です。以下の表のとおり、認証レベルによって大きな差があります。
| 認証レベル | 費用相場(年額) |
|---|---|
| ドメイン認証(Domain Validation:DV) | 無料〜数万円 |
| 業実在認証・組織認証(Organization Validation:OV) | 4~15万円前後 |
| EV認証(Extended Validation:EV) ※最も高いレベルの認証 | 5〜20万円前後 |
SSLは、無料で提供しているレンタルサーバー会社も珍しくありません。上位プランを契約しないと実施できない場合でも、年間数千円ほどで利用できます。
SSL費用の支払い方法は、SSL証明書の契約期間の関係で、年間払いになっているケースがほとんどです。
4-3.サイトコンテンツ更新費用:月額5,000~5万円程度
サイトコンテンツ更新には、文章の修正・追加や、画像の差し替えなどの作業が含まれます。費用相場は、月額5,000~5万円程度です。
具体的な金額は、更新する文章の量や画像の枚数、頻度によって変わります。また、料金体系には次の2つがあります。
・都度料金を支払うタイプ(例:テキスト修正は○円)
・月額固定のタイプ(例:月○回まで△円)
更新頻度が低い場合は都度払い、高い場合は月額固定のほうがお得です。
4-4.不具合・バグ対応費用:月額最低5,000円程度
ホームページ運営中には、以下のバグが発生する可能性があります。
・文字化け
・デザイン崩れ
・ページ表示速度の極端な低下
・404エラー表示
・問い合わせフォームの不具合
上記のようなバグへの対応費用は、月額5,000円〜です。また、CMSのアップデートおよびメンテナンスは別項目としている制作会社もあります。
企業ホームページを運用する際はセキュリティ対策を怠らないこと
ホームページのセキュリティ対策には、金銭的コストがかかるものもあります。しかし、安全なホームページ運用を続けるためにも、コストを割いてでも対策したほうがよいです。なぜなら、セキュリティ対策を怠ったことによって起こるリスクが大きすぎるためです。
例えば個人情報漏洩の場合、数千万円~数億円規模の損害賠償を命じられる可能性があります。また、事業継続が困難となり、倒産に追い込まれる事例も過去にありました。このような甚大なリスクを月数万円程度のコストで防げるのであれば、十分割に合っていると考えられます。
とはいえ、予算には限りがあります。そのため、本記事の内容も参考に、コストパフォーマンスを最大化できるような方法を検討してみましょう。
本記事のまとめ
ホームページのセキュリティ上のリスクは以下4つ。
1.不正アクセスやプログラム埋め込みによる情報漏洩
2.勝手な文言の追加などのホームページ改ざんやダウン(閲覧不能)
3.トロイの木馬やスパイウェアなどのマルウェア感染
4.自身(自社)のホームページへのなりすまし
ホームページのセキュリティ強化方法は以下8つ。
1.レンタルサーバーの防御システムを導入する
2.プラグイン(CMSの拡張機能)を導入して外部からのさまざまな攻撃に備える
3.パスワードを長く複雑にする
4.SSL化によって個人情報を暗号化する
5.定期的にデータのバックアップを取る
6.安易なアクセス権限の付与を避ける
7.セキュリティツールを導入する
8.セキュリティ対策を外部機関に外注する
ホームページのセキュリティチェック方法は以下4つ。
1.セキュリティチェックツールを利用する
2.ログデータの取得や無料アクセスツールの活用で不正アクセスの有無を確認する
3.フォレンジック調査で不正アクセスなどの原因を特定する
4.ペネトレーションテストでWebサイトの脆弱性を判定する
ホームページのセキュリティ対策にかかる費用相場
・セキュリティ対策費用:月額1,000~2万円程度
・SSL費用:無料~年額20万円程度
・サイトコンテンツ更新費用:月額5,000~5万円程度
・不具合・バグ対応費用:月額最低5,000円程度
費用感はあくまで目安です。セキュリティの対応範囲はご要望によって変わります。弊社ではホームページ制作のセキュリティも含めご提案を行なっています。お客様の事業に合わせてご提案いたしますので、ぜひお気軽にお問い合わせください。
