この記事を読むと、ホームページが攻撃されるとどんな被害が出るかと、最低限やるべき5つのセキュリティ対策が分かります。
自分でできる確認方法も紹介しているので、まずは自社サイトの状態をチェックしてみてください。制作会社への依頼を考えている方は、「セキュリティまで考えて作ってくれる会社かどうか」を見極める基準としてもお使いいただけます。
・「うちは大企業じゃないし、サイバー攻撃なんて関係ないでしょ?」
・「制作会社にホームページを作ってもらったけど、セキュリティの話は一切なかった…」
・「対策が必要なのは分かるけど、何をすればいいか分からない」
実は、中小企業のホームページこそ狙われやすいのが現実です。大企業には専門のセキュリティチームがいますが、中小企業のサイトは対策が手薄なことが多く、攻撃者にとって「簡単に侵入できるターゲット」になっています。
※この記事は「自社サイトの裏側を公開」シリーズの第3回です。
第1回:ホームページは「作って終わり」じゃない!成果を出すサイト設計の考え方
第2回:Googleに見つけてもらうための5つのSEO設定
ホームページが攻撃されると、何が起きる?
「攻撃されたって、うちのサイトには重要な情報なんてないし…」と思うかもしれません。しかし、実際に起こりうる被害は深刻です。
- サイトが改ざんされる — 知らないうちに詐欺サイトへの誘導リンクが埋め込まれ、お客様が被害に遭う
- お問い合わせ情報の流出 — フォームに入力されたお客様の個人情報(名前、メールアドレス、電話番号)が盗まれる
- 迷惑メールの踏み台にされる — 自社のサーバーが迷惑メールの送信元として悪用される
- Googleからブロックされる — 改ざんが検出されると、検索結果に「このサイトは危険です」と表示され、信頼を完全に失う
つまり、セキュリティ対策は「会社の信用を守ること」そのものなのです。
当サイトが実践している5つのセキュリティ対策
以下の5つは、すべて当サイトで実際に運用しているセキュリティ施策です。
対策①:通信の暗号化(SSL/HTTPS)
ホームページのアドレスが「http://」ではなく「https://」で始まっているか確認してみてください。
「https://」のサイトは、お客様のパソコン・スマホとサーバーの間の通信が暗号化されています。これにより、お問い合わせフォームに入力した内容が第三者に盗み見られることを防ぎます。
逆に「http://」のサイトは、通信が暗号化されておらず、ブラウザに「保護されていない通信」と警告が表示されます。お客様が不安を感じてサイトを離れてしまう原因にもなります。
当サイトでは、SSL(暗号化)を導入するだけでなく、すべてのアクセスを自動的にhttpsに転送する設定を行っています。
対策②:ブラウザへの「安全ルール」指示(セキュリティヘッダー)
当サイトでは、お客様のブラウザ(Chrome、Safariなど)に対して「このサイトはこのルールで表示してください」という6種類の指示を送っています。
例えば:
- 「このサイトを他のサイトの中に埋め込んで表示させないで」 — 偽サイトへの埋め込みを防止
- 「常に暗号化通信を使って」 — うっかりhttp接続してしまうことを防止
- 「カメラやマイクへのアクセスを許可しないで」 — 不正な情報取得を防止
こうしたルールを設定しておくことで、万が一攻撃を受けても被害を最小限に抑えることができます。
対策③:悪意のあるコードの実行を防ぐ(XSS対策)
お問い合わせフォームや検索ボックスなど、お客様が文字を入力できる場所は、攻撃者にとって「侵入口」になり得ます。
悪意のある攻撃者は、フォームに通常の文章ではなくプログラムのコード(スクリプト)を入力して、サイトを乗っ取ろうとします。これを「XSS(クロスサイトスクリプティング)攻撃」と呼びます。
当サイトでは、すべての入力データに対して「危険な文字を無害な文字に変換する処理」を徹底しています。これにより、たとえ攻撃コードが入力されても、ただの文字列として処理され、実行されることはありません。
対策④:WordPressの弱点をふさぐ
WordPress(ワードプレス)は非常に便利なホームページ作成ツールですが、世界中で使われているため攻撃者にも弱点が研究されています。
当サイトでは、WordPressに特有の弱点を以下のようにふさいでいます。
- 外部からの不正ログイン口を遮断 — WordPress標準の「XML-RPC」という機能を無効化。これは外部ツールとの連携機能ですが、不正ログインの攻撃にも悪用されます
- ユーザー名の漏洩を防止 — 通常、WordPressではログインしていない人でも、ある方法でユーザー名の一覧を取得できてしまいます。これをブロックしています
- 管理画面からの直接編集を禁止 — 万が一、管理画面に不正アクセスされても、サイトのプログラムを書き換えられないようにしています
- バージョン情報の隠蔽 — WordPress本体のバージョンが分かるファイルを削除。古いバージョンの弱点を突かれることを防ぎます
対策⑤:メールアドレスの保護
ホームページに記載したメールアドレスは、自動収集プログラム(スパムボット)によって集められ、大量の迷惑メールの送信先にされることがあります。
当サイトでは、メールアドレスを特殊な方法で暗号化して表示しています。人間の目には普通のメールアドレスとして見えますが、自動収集プログラムには読み取れない形式になっています。
あなたのサイトのセキュリティ、大丈夫?
以下のような状態は要注意です。
- ☐ サイトのアドレスが「http://」のまま(httpsではない)
- ☐ WordPressのバージョンが古いまま放置されている
- ☐ 管理画面のパスワードが簡単(会社名や電話番号など)
- ☐ お問い合わせフォームに毎日のように迷惑メールが届く
- ☐ セキュリティ対策を何もしていない(分からない)
- ☐ 制作会社にセキュリティについて聞いたことがない(説明を受けたことがない)
自分で確認したい方へ
今すぐできることがあります。自社サイトのアドレスが「https://」で始まっているかを確認してみてください。ブラウザのアドレスバーに鍵マークが表示されていればOKです。表示されていなければ、SSL対応が必要です。
プロに相談したい方へ
「チェックリストに当てはまるけど、自分では対処できない」「制作会社を探しているが、セキュリティまで任せられるか不安」という方は、お気軽にご相談ください。現状のリスクと必要な対策を、専門用語なしで分かりやすくご説明いたします。
私たち株式会社grandiosoは、兵庫県伊丹市を拠点に関西エリアの中小企業・個人事業主の皆さまにホームページ制作やシステム開発をご提供しています。
この記事でご紹介したセキュリティ対策は、すべて当サイトで実際に運用しているものです。
相談は無料ですので、お気軽にお問い合わせください。
次回は「ホームページの表示速度」について解説します。
「3秒以上かかるサイトは半分以上のお客様が離れる」というデータもあります。ぜひお楽しみに。
