2025年はサイバー攻撃への防御についての動きが活発です。
能動的サイバー防御の関連法案が閣議決定された他、先日2月12日に、政府がサイバー攻撃への対処で生成AIの活用を行うという記事も日経新聞に掲載されていました。
例えば、大量のデータを送りつけてサービスを停止させるDDoS(ディードス)というサイバー攻撃があるのですが、これをやってる司令元をAI技術を用いて素早く見つけて防御手段を講じるというものです。
株式会社サイバーセキュリティクラウドの公表する2024年1月~12月の『Webアプリケーションへのサイバー攻撃検知レポート』では、攻撃総数は前年比154%増しとなっているとのこと。サイバー攻撃と聞くとと航空会社や銀行への攻撃が大きな話題になりますが、一般企業のWEBサイトも人ごとではいられません。
普通のWEBサイトについても、攻撃されるとサイトが見れなくなったり、内容の改ざんでお客に不適切な情報を公表することになったりなど被害が大きいものですが、特にネットショップを運営する企業は、顧客の個人情報や決済データを扱っている分、損失額も甚大になります。
リソース不足から十分なセキュリティ対策ができていないケースも少なくありませんが、最低限やっておいた方が良いと、対策していないとどんな事態になるのか簡単な事例を交えてお伝えします。
目次
SSL/TLS導入している?通信を暗号化するのは必須です!
SSL/TLSってなに?
SSLとは、WEBサイトとユーザー間の通信を暗号化する技術です。
これに対応していると アドレスが http://〜 から https://〜になります。
これを導入することで、以下のメリットがあります。
- ユーザーの個人情報や決済情報の盗聴を防ぐ
- Googleの検索ランキングで優遇される(SEO効果)
- ユーザーからの信頼性向上
無料(ホームページを設置しているサーバーの基本機能)で対応できる
一昔前は有料のサービスだったSSL化。
最近では無料の証明書であれば、ホームページを設置しているサーバーの基本機能となっている場合が多くなっていますから、対応しやすくなっています。
それどころか、逆に対応していないと、ブラウザ(ホームページを見るアプリ)によっては表示すらされないことも。
以下は表示されなくなってしまったサイトの例です。見たことある方も多いのではないでしょうか。
↑アドレスバーが赤くなったり。
↑サイトが表示されず、上記のようなメッセージが出たり。
SSL未導入のサイトは情報漏洩リスクがすごく高い!
SSLを導入していないサイトで情報をやり取りした場合、その情報を覗き見ることは技術的にとても簡単です。
ある中小企業のECサイトでは、コスト削減のためSSL証明書を導入しておらず、結果、顧客のクレジットカード情報が漏洩し、不正利用が発生!信頼を失い、売上が大幅に減少しました。
この事態を受け、企業は慌ててSSL導入を決定しましたが、被害を完全に防ぐことはできませんでした。実際こういうトラブルは多数ありますから、あなたの会社のWEBサイトがちゃんと対応しているかはしっかり確認してみてください。
強力なパスワードや二要素認証(2FA)の導入
パスワード管理のポイント
攻撃者は、簡単なパスワードを狙って不正アクセスを試みます。以下の点に注意しましょう。
- 英数字(大文字と小文字どちらも使う・記号を組み合わせた12文字以上のパスワードを使用)
- 定期的にパスワードを変更する
- 可能であればランダムで意味のない文字列がよい
「いや!そんなの覚えられないよ!」と思いますよね。
しかし、最近は短くて予想しやすいパスワードは本当に見破られやすくなってきました。
できれば上の基準を守ってパスワードを作り、管理については
パスワード管理ツールを活用する(例:1Password、LastPass)のも良いと思います!
ソースネクストから販売されている1Passwordというソフトは、私たちもチームで活用していますが便利で安全性も高くおすすめです。
事例:パスワードの使い回しによる不正アクセス
ネットショップ運営をしていたA社では、複数のアカウントで同じパスワードを使用していました。
その結果、1つのサービスが情報漏洩した際に、ECサイトの管理画面にも不正アクセスされてしまいました。
幸い、クレジットカード情報は守られていましたが、顧客の個人情報が流出し、大きな信用問題となりました。
定期的なシステムアップデートと脆弱性対策
なぜアップデートが必要なのか?
システムの脆弱性は、サイバー攻撃の格好の標的となります。
特に、以下のポイントに注意が必要です。
- CMS(WordPress、Shopify、EC-CUBEなど)の最新版への更新
- プラグインやテーマの定期的なアップデート
- 不要なプラグインの削除(脆弱性を減らす)
事例:古いプラグインによるサイト改ざん
B社はホームページで、長年同じWordPressプラグインを使用していましたが、更新を怠っていました。
その結果、プラグインの脆弱性を突かれ、サイトが改ざんされ、フィッシング詐欺サイトへ誘導される事態に!
迅速な復旧が求められましたが、対応に数日を要し、多くの顧客を失ってしまいました。
WAF(Web Application Firewall)を導入する
WAFとは?
WAFとは、WEBサイトへの不正アクセスを防ぐための防御システムです。
ファイヤーウォールという名前の通り、敵から情報を守る心強い壁です。
具体的には、以下の攻撃をブロックします。
- SQLインジェクション(ネット上にある機密情報や個人情報が盗まれる)
- クロスサイトスクリプティング(XSS)(仕掛けられると個人情報を抜かれる)
- DDoS攻撃(大量な不正アクセスによってサイトが見れなくなる)
最近はレンタルサーバーでも設定できますし、wordpressなどのCMSでもオプションで追加ができます(私たちにご相談ください)。
事例:WAF未導入によるDDoS攻撃被害
C社が運営するネットショップは、セキュリティ対策の優先度が低く、WAFを導入していませんでした。
ある日、大量のアクセスを受けるDDoS攻撃を受け、サイトが数時間ダウン。
復旧後もアクセスが不安定で、売上に大きな影響を与えました。
WAFの導入後は、同様の攻撃を未然に防ぐことができました。
定期的なバックアップでいざという時に備える
いざと追うときに備えて、たまにではなく定期的にバックアップをとることが重要です。
レンタルサーバーでもバックアップの設定ができますし、wordpressなどのCMSでもオプションで追加ができます。保守管理サービスもぜひご相談ください!
事例:バックアップ不足でECサイトが消失
D社が運営するECサイトでは、定期的なバックアップを行っていませんでした。
ある日、サーバーの障害が発生し、データが完全に失われてしまいました。
復旧には数週間を要し、結果的に大きな売上損失を招くことに。
この経験から、企業はクラウドストレージを活用し、毎日の自動バックアップを導入することを決定しました。
まとめ
企業にとって、WEBサイトのセキュリティ対策はビジネスの信頼性を守るために不可欠です。本記事で紹介した5つの基本対策を実施することで、サイバー攻撃のリスクを最小限に抑えることができます。
- SSL/TLSで通信を暗号化する
- 強力なパスワードと2FAを導入する
- システムを常に最新の状態に保つ
- WAFを活用して攻撃を防ぐ
- バックアップとインシデント対応計画を整える
気づいた時にはすでに遅かった…なんてことにならないように、自社のセキュリティを強化し、安全なサイト運営を実現しましょう!
保守管理サービスのご相談や、サイバーセキュリティの勉強会・セミナーに興味がある!という方は問い合わせフォームからお気軽にご連絡ください。
