激化するサイバー攻撃の現状 | ニッティ・グリッティとはマーケティングweb戦略デザイン美容室向け記事 | お役立ち情報 | 岡山のホームページ制作会社。WEB戦略が得意なホームページ成績上げ屋さん！

こんにちは！

岡山のWEB戦略・ホームページ制作をしている有限会社ニッティ・グリッティの柳井です！

今回はサイバーセキュリティについてお話ししていきます！

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

昨今のウクライナ情勢によってサイバー攻撃が多発しております。

皆さんも、不審なメールなど会社に届いていないでしょうか？

今やインターネットはビジネスにおいて必須な存在になりつつある中で、

やはり気にしなければならないことがサイバー攻撃です。

さらに、ご存じでしょうか？

WebARGUSから2019年に発表されたアンケートによると、

『サイバー攻撃を受けたことがありますか？』といった質問に対して

約7割もの会社が「サイバー攻撃を受けたことがある」と回答しています。

また、『どのような被害を受けましたか？』という質問に対して

43％のサイバー攻撃を受けた企業は「Webサイトの改ざん」と回答しています。

このことからサイバー攻撃においてホームページが標的にされている事がお分かりいただけたかと思います。

そういった現状に対して会社として対策しなければならないことが”充分なセキュリティ”です。

そこで、今回の記事では、主に中小企業や個人事業主を対象に、ホームページ・セキュリティの対策法とサイバー攻撃のリスクを実例とあわせて解説していきます。

あなたの会社は大丈夫！？

サイバー攻撃の標的が中小企業に向かっていることをあらわすデータがあります。

情報セキュリティサービスの大手・シマンテック社が発表した調査結果です。

内容はサイバー攻撃を受けた会社のうち大企業が占める割合が年々減少しているのに対し、従業員250人以下の小規模企業の割合が2011年から５年間で２倍以上に上昇していることが示されています。

明らかに今、中小企業のホームページ・セキュリティ対策の必要性が高まっています。

例えば、2016年に京都の健康食品販売会社が不正アクセスされたケースでは、被害に遭った企業の従業員わずか10名でした。

なぜ、このような小さな企業までが、ターゲットになってしまったのでしょうか？
中小企業が狙われるようになった理由は下記の３点です。

１）セキュリティ対策が不十分なまま放置されているケースが多いから

中小企業がサイバー攻撃の標的になっている理由の一つとして、大企業と比べセキュリティに対する対策が不十分であることです。

多くの中小企業では自社の対策が十分ではないことを認識しつつもセキュリティ対策にあてる費用と人員に余裕がなく、結果的に恰好の標的になってしまうのです。

２）大企業を狙うより、中小企業の方が効率よく成果を得られるから

近年、大企業や中央官庁のセキュリティ対策が向上したことも理由の一つです。

2016年にKPMGコンサルティング社が発表した調査結果によると、売上高500億円以上の国内企業の４割が、セキュリティ対策に1,000万円以上の投資をしていることが明らかになりましたが、小さな企業では実行可能なセキュリティ対策も限られています。

大企業と中小企業のセキュリティ対策には大きなひらきがあり、効率よく中小企業を狙う考えが広がっているのです。

３）中小企業を突破口にすると大企業を攻撃しやすいから

自社にはハッキングされても困るような情報がないから大丈夫だと考えている企業もありますが、それは必ずしも攻撃をされない理由にはなりません。

堅いセキュリティの大企業を正面から攻撃するのを避け、セキュリティの甘い中小企業を大企業に侵入するための突破口として、大企業の顧客情報や営業機密を狙うケースもあるのです。

また、攻撃者の手法も年々多様化・巧妙化してきており、いつまでも古いセキュリティ意識ではいつ自社のホームページが被害に遭っても不思議ではありません。

自社のセキュリティの甘さから重要情報を漏洩させてしまうと、取引先や顧客からの信頼を失ってしまい、その回復は容易ではありません。場合によっては賠償を求められる場合も…。

このような被害に遭わないためには、早急にセキュリティ対策を見直す必要があるでしょう。

開設時に始めるべきホームページ・セキュリティ対策

企業のホームページを狙ったサーバー攻撃のリスクは、けっして小さなものではありません。

では中小企業を狙ったサイバー攻撃に対して、どのような対策していくのがよいのでしょうか？

【STEP.１】基本のキ・社員のセキュリティ意識を高める

サイバー攻撃から会社を守るためには、まず社員1人ひとりの意識を変える必要があります。ホームページ・セキュリティの重要性を理解してもらい、下記のような取り組みを徹底すれば、被害のリスクを下げることができます。

※【STEP.１】は、初歩的な内容ですので、既にホームページ・セキュリティに取り組まれている方は、読み飛ばして頂いても結構です。

１）OSやウイルス対策ソフトウェアなどは、常に最新の状態に保つ

業務で使っているパソコンの更新プログラムやアップデート通知がきたら、すぐに最新の状態にしましょう。古いままではセキュリティ上の脆弱性や不具合に対応できないケースもあります。

業務で使っているツールのアップデート通知やスマホのソフトウェア、OSのバージョンアップも同様です。

ウイルス対策ソフトを導入後は、ウイルスの定義ファイルを最新に保つこともお忘れなく！

２）パスワードの強化を行う

「123456」や「password」、生年月日や誕生日など、推測されやすいパスワードは攻撃者に突破されやすいので避けましょう。また、複数のWebサービスで同じパスワードを使うと、 ID・パスワードが流出してしまった際、芋づる式に不正ログインされるケースが多く危険です。

３）共有設定を見直す

インターネット上にデータを保存できるクラウドサービスや社内で共有しているハードディスクを使っている企業では、データ保管先へのログインやファイル閲覧の権限を見直しましょう。

社員が退職する場合は、必ず共有範囲の設定をチェックして権限の変更やアカウントの削除なども随時行ないましょう。

【STEP.2】サイバー攻撃から企業ホームページを守る３つの投資

　
セキュリティ対策をコストだと捉えて取り組むと、どうしても消極的になりがちです。

サイバー攻撃から企業を守るための投資だと捉えて、被害に遭わない、遭わせない環境作りを進めていきましょう。

1）「常時SSL」で訪問者の個人情報やCookieの盗難を防ぐ

常時SSL（Always On SSL）とは、ホームページ内の特定のページだけでなく、その他すべてのページをインターネット上でデータを暗号化して送受信する仕組みにすることです。

これによって、第三者が通信の中身を盗み見られたり、ログイン情報などのCookie情報を盗まれたりする被害を防ぐことができます。

また、「http」ではなく「https」と表示されているURLは、常時SSL化された安全なホームページだと認識されるので、SEOの評価も上がります。特に個人情報を入力するページがあるホームページでは、SSL未対応のホームページは訪問者に敬遠される可能性もあります。

なお、常時SSL化する際に取得が必要な「SSLサーバー証明書」には、３つのレベルがあり、それぞれ価格が異なります。「ドメイン認証型（DV）」であれば、３種類の中でいちばん低価格で、かつ個人事業主でも取得可能です。

証明書の取得費用は、平均的相場で年間数千円からとなっています。

２）クラウド型「WAF」を導入し、ホームページの脆弱性を補う

WAF（Web Application Firewall＝ワフ）とは、Webサイト上のアプリケーションのためのファイアウォールで、ホームページとユーザー間の通信をリアルタイムでチェックして、個人情報の詐取や不正ログインといった通信を自動的に検知して遮断するものです。

かつては、WAFを導入するには、数百万円もの初期費用がかかるうえに、専門のスタッフを雇う必要があり、なかなか普及が進みませんでした。しかし、近年になってクラウド型のWAFが登場し、数万円の初期費用から手軽に導入できるようになりました。

「ファイアウォール」や「IPS／IDS」といった不正アクセスを監視する他のセキュリティ対策と合わせて運用することで、より強固にサイバー攻撃を防ぐことができます。

３）「IPS」「IDS」を導入し、DoS攻撃などからホームページを防御する

IDS（不正侵入検知システム）は企業ホームページへのアクセスを監視し、もし異常があれば管理者へ通知するもの。IPS（侵入防止システム）は、DoS攻撃などの兆候があると通知するだけでなく、自動的にその通信を遮断するものです。

ファイアウォールだけでは防ぐことのできない「DoS攻撃」や「ワーム攻撃」といったサーバー攻撃もIPSなら不正侵入を食い止めることができます。

導入費用の相場は数十万円からとなっています。

企業ホームページを狙ったサイバー攻撃の３大被害

企業のホームページがサイバー攻撃を受けると、実際にどのような被害を及ぼすのでしょうか。改めて、そのリスクを知り、ホームページ・セキュリティへの意識を高めていきましょう。

被害内容は、大きく以下の３つに分けられます。

１）ホームページの改ざん、消去

ホームページが改ざんされると、ユーザーに伝えたい情報を伝えられなくなり、見込み客へのアピールができなくなります。また改ざんされたホームページにアクセスしたユーザーが、他のWebサイトに誘導され不正プログラムをダウンロードしてしまうケースもあります。

２）ホームページをダウンさせられる

DoS攻撃などによってWebサーバーに過剰な負荷をかけられると、アクセスしにくい状態に陥ります。結果的にサーバーダウンを引き起こし、サービスが提供できなくなり経済的ダメージを受けてしまいます。

３）ホームページを介して情報を盗まれる

ホームページに不正アクセスし、サーバー上に保存していた個人情報などのデータが盗まれる被害も近年多く発生しています。

盗まれた情報は悪質な業者の手に渡る可能性があり、重要情報の漏えいが発覚すれば、企業の信頼回復は容易ではありません。また顧客への説明や補償が発生する場合もあります。