こんにちは、編集長のカワウソです!
「ホームページにセキュリティ対策って必要?具体的に何をすればいい?」と悩んでいませんか?
確かに、ホームページ開設後のことを考えると、不安に駆られてしまいますよね。
そこで今回は、これからホームページを開設する方向けに、セキュリティ対策について解説します。
カワウソ
この記事は次のような人におすすめ!
- はじめてホームページを作る人
- WordPressでホームページを作る人
- ホームページのセキュリティリスクを知りたい人
- ホームページのセキュリティ対策方法を知りたい人
この記事を読めば、ホームページを開設するうえで、最低限必要なセキュリティ対策が分かります。
初心者の方でも簡単にできる、おすすめのセキュリティ対策方法を紹介しているので、ぜひチェックしてください。
それではどうぞ!
目次
ホームページにセキュリティ対策が必要な理由
セキュリティ対策が施されていないホームページは、以下のようなリスクを抱える可能性が高くなります。
それぞれ解説します。
個人情報の漏洩
まず、ホームページはサイバー攻撃が原因で、個人情報が漏洩するおそれがあります。
たとえば、「SQLインジェクション」という攻撃手段を例にしてみましょう。
SQL(エスキューエル)という言語のプログラムを悪用し、ホームページのデータベースを不正に操作(消去や改ざん)する攻撃方法です。個人情報を含め、ありとあらゆるデータが盗まれる危険性もあります。
ECサイトや会員サイトは、顧客情報、商品情報、注文情報などといった機密性の高い情報がデータベースに格納されているため、SQLインジェクションの標的になりやすいのです。
このようなサイバー攻撃により、個人情報が漏洩してしまうと、主に以下2つのリスクが発生するので、覚えておきましょう。
- 賠償責任が発生する
- 会社の信頼を失う
賠償責任が発生する
個人情報が流出すると、賠償責任が発生するおそれがあります。
賠償額の相場は過去の判決事例から見て、1人当たり3,000円~5,000円程度と言われており、「情報漏洩した項目」や「二次被害の有無」によって、さらに高額になるケースもあります。
個人情報が漏洩すると、管理が不適切であったとして、企業が賠償責任を負うことになるのです。
会社の信頼を失う
個人情報が漏洩してしまうと、会社の信頼を失うおそれがあります。
自分の個人情報が流出したユーザーは、不安に駆られますよね。
一度失った信頼を取り戻すのは、そう簡単なことではありません。
そのため、まずは個人情報を流出させないための企業努力が必要になるのです。
なお2022年4月より、個人情報の漏洩が発生し、個人の権利利益を害するおそれがあるときは、「個人情報保護委員会」と「個人」への通知が義務化されました。
ホームページ運営に関わらず、企業として必要な知識になるため、チェックしておきましょう。
- 要配慮個人情報(※1)が含まれる事態
- 財産的被害が生じるおそれがある事態
- 不正の目的をもって行われた漏えい等が発生した事態
- 1,000人を超える漏えい等が発生した事態
(参考:個人情報保護委員会「漏えい等報告・本人への通知の義務化について」)
本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報。
引用:個人情報保護委員会「要配慮個人情報に関する政令の方向性について」
ホームページの改ざん
ホームページはサイバー攻撃により、内容を書き換えられてしまうおそれがあります。
ホームページが改ざんされてしまうと、以下のような被害が発生するかもしれません。
- 自社と関係のないメッセージが書き込まれる
- ユーザーが不正サイトに誘導されてしまう
- マルウェアが仕込まれ、ユーザーのコンピューターが感染する
それぞれ解説します。
自社と関係のないメッセージが書き込まれる
単にいたずら目的のメッセージもあれば、政治や宗教など個人的な主張を公にするためのメッセージもあります。
とくに大企業や政府系組織サイトは影響力が高いため、狙われやすいです。
ホームページを閲覧したユーザーに、直接的な被害はないものの、企業としてのブランド力は著しく低下してしまうでしょう。
不正サイトへの誘導
改ざんといっても、ホームページの見た目が変わるものもあれば、そうでないものもあります。
後者の場合、ユーザーを不正サイトに誘導するための「リダイレクト(転送)用のスクリプト(プログラム)」が、ホームページに埋め込まれていることが多いです。
たとえば、ユーザーが「フィッシングサイト(偽サイト)」に誘導されたとしましょう。
クレジットカード情報、個人情報、パスワードなどを盗むために用意されたサイトで、本物とは区別がつかないことから、ユーザーが騙されるケースが増えています。
本物そっくりに作られたサイトであるため、ユーザーは気づかずに、ID、パスワード、クレジットカードなどの情報を入力してしまいます。
その結果、それらの個人情報が漏洩してしまうのです。
ほかにも、不正サイトに誘導されてしまったがために、マルウェアに感染するケースも珍しくありません。
マルウェアについては、次で解説します。
マルウェア感染
改ざんにより、自社のホームページに「マルウェア(コンピューターウイルス)」が仕込まれてしまうこともあります。
マルウェアには、以下のような種類があります。
| ランサムウェア | ファイルを暗号化して、データ復元のための身代金を要求する |
| スケアウェア | マルウェア感染を偽装し、解決策として偽アプリケーションを購入させる |
| スパイウェア | 個人情報やインターネットの閲覧情報などを悪用する |
| アドウェア | ユーザーが特定の行動をしたときに、ポップアップなどで広告を表示させる |
マルウェアに感染すると、自社のホームページが、悪意ある第三者のサイバー攻撃に加担することになります。
ユーザーに迷惑をかけないためにも、ホームページにはセキュリティ対策が必要なのです。
サーバーダウン
ホームページのデータを格納しているサーバーは、サイバー攻撃により機能が停止するおそれがあります。
ホームページにはサーバーが必須!仕組み・種類・選び方を解説!
たとえば、「DDoS攻撃(ディードス攻撃)」があります。
一度に複数のパソコンからサーバーにアクセスを集中させて、ダウンさせるサイバー攻撃の手法です。
サーバーがダウンすると、ホームページは閲覧できなくなってしまいます。
とくに、サービスサイトやECサイトなどを運営している場合は、営業そのものが困難になるため、被害も大きくなるでしょう。
サービスによっては、ユーザーの生活や企業の営業活動にまで、悪影響を及ぼしてしまう可能性だってありますよね。
自社がサイバー攻撃の被害者になるとはいえ、ユーザーに迷惑をかけてしまうことになるのです。
ホームページのセキュリティ対策5つ
ホームページのセキュリティについて、絶対的に安心できる対策はありません。
しかし、企業としてセキュリティを高める努力は必要です。
ただ、初心者の方であれば、「何」を「どの程度」対策すればよいのか、分かりづらいですよね。
ここでは、ホームページを開設するうえで、最低限抑えておきたいセキュリティ対策を5つ解説します。
詳しく見ていきましょう。
IDやパスワードの管理
IDやパスワードの管理は、セキュリティ対策の基本です。
たとえば、IDやパスワードは以下に使用されます。
- レンタルサーバーやドメインの管理
- WordPressのログイン情報
- FTPソフトの情報(HTMLの場合)
近年、IDやパスワードの脆弱性がきっかけで、ホームページやSNSアカウントを乗っ取られる被害が増えています。
前述のとおり、個人情報の漏洩やホームページの改ざんなどの要因になるため、注意が必要です。
ログイン用パスワードは、「英大文字小文字+数字+記号で 10 桁以上」が推奨されています(参考:内閣サイバーセキュリティーセンター「インターネットの安全・安心ハンドブック(P.34)」。
パスワードは複雑な文字列で長いほど、「総当たり攻撃」に対して効果的です。
暗号解読方法の一つで、パスワードなど考えられるパターン(組み合わせ)を手あたり次第に試す攻撃です。英語で「brute force(強引な)」と表現されるように、力づくな攻撃と言えます。
ほかにも、不正に入手したIDやパスワードを活用した「パスワードリスト攻撃」があります。
ログイン自体は正規の手順で行うことから、悪用されていることに気づきにくい点が特徴です。
セキュリティを高めるために、定期的にパスワードを更新する方法があります。しかし、頻繁に更新することが目的になってしまい、覚えられる簡単なパスワードを設定してしまうと、逆効果になるので注意が必要です。
重要なデータやファイルは公開領域に設置しない/削除する
重要なデータやファイルは、サーバーの公開領域に設置しないようにしましょう。設置している場合は、削除する必要があります。
サーバーの公開領域に設置されたデータやファイルは、第三者に閲覧されてしまうおそれがあるためです。万が一、機密情報などが流出すれば、大きな問題に発展してしまうでしょう。
たとえば、サーバーの公開領域に以下のようなデータやファイルがあると危険です。
- 個人情報や機密情報を含むデータ(テキストファイルやExcelファイルなど)
- 上記などを含むバックアップデータ
なかには、「URLを知らない限り、データやファイルにはアクセスできない」と誤解されている方もいるのではないでしょうか。
しかし一般的に、ディレクトリ名(フォルダ名)やファイル名は単純なものが多く、URLを推測することは難しくありません。仮にURLが分からなくても、サーバーの接続情報が盗まれた時点で、容易にアクセスされてしまいます。
流出すると問題が発生するデータやファイルなどについては、根源を絶つことが一番のセキュリティ対策と、認識しておきましょう。
不要なサービスやアプリケーションは削除する
不要なサービスやアプリケーションは、サーバーから削除しましょう。
不要なサービスやアプリケーションは管理しきれず、バージョンのアップデートなど、更新作業の対象から外れてしまうことも少なくありません。
アップデートされていないサービスやアプリケーションは、それ自体が脆弱性(セキュリティ上の欠陥)になってしまいます。
たとえば、このあとで解説するWordPress(ワードプレス)は、テストでインストールしたのち、放置されるケースも珍しくありません。
ホームページ開設後は、不要なサービスやアプリケーションがないか、定期的に確認しましょう。
WordPressのセキュリティ対策
WordPress(ワードプレス)は「CMS(コンテンツ・マネージメント・システム)」の一種で、HTMLやCSSなどのWeb制作スキルがなくても、簡単にホームページの作成や更新ができる無料のシステムです。
2022年9月現在、CMSシェア世界のNo.1を獲得しています(参考:W3 Techs「Usage statistics of content management systems」)。
なぜ?WordPressが会社のホームページ制作に適している理由
利用者が多い反面、ほかのシステムに比べると、WordPressはセキュリティリスクが高いと言われています。
利用者の多いシステムを攻撃したほうが、成功する確率が上がるためです。
とはいえ、WordPressのセキュリティ対策は難しくありません。
以下の3つの対策を施していれば、ある程度リスクは軽減できます。
- WordPress本体、テーマ、プラグインのアップデート
- 使用していないプラグインを削除
- セキュリティ対策プラグインの導入
それぞれ解説します。
WordPress本体、テーマ、プラグインのアップデート
WordPress本体、テーマ、プラグインなどは、常に最新のバージョンにアップデートすることが推奨されています。
WordPressのデザインテンプレート。テーマを使用すれば、デザインがほぼ完成した状態からホームページを作成できます。
おすすめのWordPressテーマ厳選5つ!企業ホームぺージならこれ
WordPressの拡張機能。本来開発が必要な機能でも、プラグインをインストールすれば、簡単に実装できます。
【企業ホームページ向け】WordPressプラグインおすすめ10選
古いバージョンを使い続けると、脆弱性(セキュリティ上の欠陥)により、リスクが高まります。
パソコンのOSのように、最新のアップデートにはセキュリティを向上する内容が含まれているため、特別な理由がない限り欠かさず対応しましょう。
それでは、それぞれのアップデート方法を解説します。
WordPress本体のアップデート
WordPress本体のアップデートは、以下の2種類です。
メジャーアップデート
「WordPress 6.1→ 6.2」のように、数字の2桁目が繰り上がります。
マイナーアップデート
「WordPress 6.1.1→6.1.2」のように、数字の3桁目が繰り上がります。
WordPress 5.6以降をインストールした場合、メジャーアップデートとマイナーアップデート共に自動更新される設定になります。
メジャーアップデートは表示崩れなどの不具合につながりやすいため、必要に応じて手動更新への切り替えを検討しましょう。
上記を踏まえ、以下ではWordPressのメジャーアップデートがリリースされたとき、更新する方法を解説します。
まず、WordPressメニューの「ダッシュボード」にカーソルをあて、「更新」をクリックしてください。
バージョン 6.2-jaに更新をクリックすると、更新できます。
テーマやプラグインのアップデート
テーマやプラグインのアップデートは、WordPress本体のバージョンアップに合わせて提供されることが多いです。
基本的にはWordPressの管理画面で通知されるものの、提供元のホームページを定期的にチェックしておくとよいでしょう。
テーマやプラグインのアップデートはWordPressの本体同様、「更新」からできます。
ボックスにチェックを入れて、プラグインを更新をクリックすれば完了です。
テーマも同様の方法で更新できます。
使用していないプラグインを削除
使用していないプラグインは削除しましょう。
とくにアップデートされていないプラグインは、脆弱性によりサイバー攻撃を受けやすいです。
使用していないプラグインは、WordPressの管理画面から簡単に削除できます。
セキュリティ対策プラグインの導入
WordPressのセキュリティ対策には、プラグインを使用する方法もあります。
たとえば、「Google Authenticator」は、WordPressのログイン画面に「二要素認証」を導入することが可能です。
パスワードの入力のほかに、「生体認証」や「スマホでの認証」など二要素を組み合わせた認証方法。スマホでは、SMSやアプリでワンタイムパスワードを発行する方法があります。
本来、WordPressのログイン画面は、「ユーザー名(メールアドレス)」と「パスワード」のみの入力です。
しかし、Google Authenticatorを導入すれば、さらにスマホアプリで発行されたワンタイムパスワードを入力しないと、ログインできない仕組みになるのです。
前述の「総当たり攻撃」や「パスワードリスト攻撃」にも有効なので、セキュリティを高めたい人は、導入を検討してください。
- セキュリティ関連のプラグインと言えど、アップデートしないと脆弱性が発生してしまいます。どんなプラグインでも、「アップデート」と「使用中以外は削除」を心がけましょう。
- セキュリティ対策はバランス感覚も重要です。利便性が損なわれてしまうことにもつながるので、内容を精査したうえで導入してください。
SSL化
ホームページの「SSL化」も重要なセキュリティ対策です。
インターネット上で発生するデータの送受信を暗号化して保護する仕組み。個人情報やクレジットカード情報などの漏洩を防ぐのに貢献しています。
以前は、お問い合わせフォームや注文フォームなど、個人情報を入力するページのみにSSLを適用することが多かったです。
しかし近年では、GoogleがSSLの有無を検索順位決定のための要素として取り入れた背景もあり、基本的に全ページに適用することが一般的になりました(常時SSL化)。
SSL化の手順
ホームページをSSL化する手順は、以下のとおりです。
- レンタルサーバーでSSL証明書を取得
- レンタルサーバーでSSLを設定(ドメインとの紐づけ)
- httpのアクセスをhttpsに転送(リダイレクト設定)
WordPressでホームページを作る場合は、管理画面の「設定」にある「WordPress アドレス(URL)」と「サイトアドレス(URL)」をhttpsに変更する必要があります。
詳しくは、以下を参考にしてください。
▶ 『エックスサーバー』マニュアル「Webサイトの常時SSL化」
エックスサーバーならセキュリティ対策機能が無料で使える
初心者の方であれば、レンタルサーバーのセキュリティ対策機能がおすすめです。
とくに難しい操作をすることなく、ホームページを保護できます。
たとえば、弊社の『エックスサーバー』では、以下のセキュリティ対策機能が無料で使えます。
それぞれの機能について簡単にご紹介します。
WAF(ウェブ・アプリケーション・ファイヤーウォール)
「WAF」とは、Web Application Firewallの略で、WordPressなどのWebアプリケーションの脆弱性を狙った攻撃から、ホームページを保護するためのセキュリティ対策です。
WAFはサーバーにアクセスされる前の段階に設置されており、解析により攻撃であると判断した通信を遮断します。
前述の「SQLインジェクション」はもちろん、脆弱性のある掲示板や入力フォームなどに罠を仕掛ける「クロスサイトスクリプティング(XSS)」などに対しても、効果を発揮します。
WAFは、不正アクセスを100%駆除することを保証するものではありません。
あくまでも、Webアプリケーションの脆弱性を狙った攻撃に対する「最低限の予防策」となります。
カワウソ
WAFについては、以下のマニュアルを参考にしてください。
▶ 『エックスサーバー』マニュアル「WAF設定」
国外IPアクセス制限設定
「国外IPアクセス制限設定」は、国外からのアクセスを制限することで、WordPressを保護するセキュリティ対策です。
総当たり攻撃などは海外から受けることも多く、一定数効果を発揮します。
海外からWordPressブログを更新する場合は、一時的に解除する必要があります。
国外IPアクセス制限設定については、以下のマニュアルを参考にしてください。
▶ 『エックスサーバー』マニュアル「国外IPアクセス制限設定」
ログイン試行回数制限設定
「ログイン試行回数制限設定」は、WordPressのログインで短時間に連続して失敗したときに、制限をかけるセキュリティ対策です。
とくに、前述の総当たり攻撃に効果があります。
制限は24時間で解除されるため、WordPress管理者の負担が少ないです。万が一パスワードの入力に失敗しても、急用でなければ翌日にログインできます。
ログイン試行回数制限設定については、以下のマニュアルを参考にしてください。
▶ 『エックスサーバー』マニュアル「ログイン試行回数制限設定」
コメント・トラックバック制限設定
「コメント・トラックバック制限設定」は、ホームページに対する大量コメントやトラックバックスパムが行われたときに、一時的に制限する機能です。
トラックバックとは、他サイトやブログ記事の内容を参照や引用したときに、参照元に通知する機能のこと。トラックバックスパムは、実際に参照や引用されていないのにも関わらず、広告を見せることを目的にした悪質な宣伝行為です。
国外IPアドレスからのコメントやトラックバックを制限する機能もあります。
コメント・トラックバック制限設定については、以下のマニュアルを参考にしてください。
▶ 『エックスサーバー』マニュアル「コメント・トラックバック制限設定」
セキュリティの強化なら「ビジネス」プランがおすすめ
『エックスサーバー』には、「スタンダード」「プレミアム」「ビジネス」の3つのプランがあります。
さきほどご紹介したセキュリティ対策機能は、すべてのプランでご利用いただけます。
しかし、さらにセキュリティを強化したい方は、「ビジネス」プランがおすすめです。
ビジネスプランなら、追加で以下2つのセキュリティ対策機能が利用できます。
それぞれ解説します。
Web改ざん検知設定
「Web改ざん検知設定」は、登録したURLに対して、Webページが改ざんされていないか、1日1回検知する機能。マルウェアの感染やフィッシングサイトへの誘導リンクも検知できます。
もしWebページの改ざんが検知されたら、登録済みのメールアドレスに連絡が来るように設定可能です。
Web改ざん検知設定は、診断開始URLから自動的にリンクを辿る仕組みで、30ページまでが対象です。ページ数が多いホームページはご注意ください。
Web改ざん検知設定については、以下のマニュアルを参考にしてください。
▶ 『エックスサーバー』マニュアル「Web改ざん検知設定」
管理者ユーザー設定
「管理者ユーザー設定」は、サーバーパネルを複数人で管理するための機能。
サーバーパネルの各機能に対する権限をユーザーごとに任意で付与できます。
サーバー、メールアドレス、ホームページ、WordPress、セキュリティなどを対象とした『エックスサーバー』の管理画面。
サーバーパネルにアクセスできる人が増えるほど、セキュリティリスクは高まります。
自社はもちろん、ホームページ制作の委託先企業など、複数人でサーバーパネルを管理する場合におすすめの機能です。
管理者ユーザー設定については、以下のマニュアルを参考にしてください。
▶ 『エックスサーバー』マニュアル「管理者ユーザー設定」
まとめ
今回の記事では、ホームページのセキュリティが重要な理由や対策方法について解説しました。
- ホームページはサイバー攻撃の対象になるため、「セキュリティ対策」が必要
- 被害の代表例は、個人情報の漏洩、Webページの改ざん、サーバーダウンなど
- ホームページを開設する人は、最低限3つのセキュリティ対策を押さえておく
- 『エックスサーバー』なら、セキュリティ対策が「無料」で使える
- さらにセキュリティを強化したい場合は、「ビジネス」プランがおすすめ
セキュリティ対策をしたからといって、絶対的に安心できるわけではありません。
しかし、セキュリティ対策を施すことで、サイバー攻撃を受ける確率は減らせます。
ビジネスの拡大など、状況に応じてセキュリティを強化していきましょう。
以上、最後まで読んでいただき、ありがとうございました。
ホームページの開設を検討している方へ
エックスサーバーは高速かつ高い安定性を誇る高性能レンタルサーバーです。
国内シェアNo.1※のレンタルサーバーであり、18万社の導入実績があります。
10月2日12時まで利用料金最大30%OFFキャンペーンを開催中です!
.comや.netなど大人気ドメインも永久無料と過去最大級にお得です。
ぜひこのお得な機会にホームページ開設をご検討ください!
※ 2023年5月時点、hostadvice.com調べ。
法人向けレンタルサーバー「Xserverビジネス」なら、
「ホームページ無料制作サービス」が付いているため、
申し込むだけで2日でホームページが完成します!
Xserverビジネスだと「.com」以外にも「.co.jp」や「jp」などのドメインも無料になります。
当メディア「初心者のための会社ホームページ作り方講座」では、初心者の方にわかりやすく会社のホームページを始められる方法を紹介しています!
これから始める方はこちらのホームページの作り方をぜひご覧ください!
【初心者向け】会社ホームページの作り方を基礎から解説
ホームページの始め方・立ち上げに関する、ご質問・ご相談はツイッターDM( @kawauso_xsv )までお気軽にどうぞ!
