セキュリティ対策

新着記事

  • 2024.06.28 WEB制作

    【2024年上半期】国内企業のセキュリティ被害・サイバー攻撃まとめ vol.1
    サイバー攻撃やヒューマンエラーによる不正アクセス・情報漏洩は私たちの見える場所、見えない場所で日々発生しています。上半期は前年と同じくサイバー攻撃による被害や人的ミスによる情報漏洩が多発しました。この記事では、2024年1月~6月までの期間に発生した国内企業のセキュリティ被害を振り返り、攻撃の種類や被害にあった企業、団体の傾向を弊社の観点で分析、考察していきます。【2024年上半期】セキュリティ被害に遭った企業の傾向2024年1月1日~6月15日までのセキュリティ被害情報を収集。上場企業や有名企業・団体の事例を徹底的にリサーチしました。詳しくは【2024年上半期】セキュリティ被害に遭った企業一覧にてご紹介しています。リサーチの結果、見えてきた傾向を解説します。※公表された情報の中で代表的な企業・団体をメインにピックアップ・分析しており、実際の傾向とは異なる場合があります。また本記事では「不正アクセス」と発表後に続報が出ている情報を元に抽出、カウントしています。SQLインジェクションの被害を受けた企業2社SQLインジェクション=Webアプリケーション、サイトの脆弱性を悪用してSQL文を入力し、不正にアクセスするサイバー攻撃の手法のこと。2024年上半期にSQLインジェクションの被害に遭ったことを公表したのはマリンネット株式会社、積水ハウスの2社です。時期社名漏洩数4月8日株式会社マリンネット不明5月24日積水ハウス約83万人公表時に「不正アクセス」以上の情報を明かさない企業や現在調査中の企業も多い(全体の40%程度)ため一概には言えませんが、SQLインジェクション攻撃の被害を受けた実際の企業数はさらに多いと考えられます。積水ハウスは会員サイト「積水ハウス Net オーナーズクラブ」に登録されていた会員・従業員約83万人分の個人情報が漏洩した可能性があると発表しており、被害の規模はかなり大きいと考えられます。運用停止から10年以上経過したページを経由して攻撃を受けたことが判明しており、現在は使っていないページを放置する危険性が明らかになりました。また、過去にはSQLインジェクション矢野経済研究所が合計約10万人分、学習塾の日能研が約28万人分の個人情報が漏洩したおそれがあると発表しています。大量のデータを所持する大企業はセキュリティ対策をしっかり行っているイメージがありますが、Webサイトの脆弱性を突いて攻撃するSQLインジェクションの被害に遭う企業は後を絶ちません。起こりうる被害を見据えて対策を行うことが重要です。ランサムウェアによる被害が多い被害カテゴリを見ると「不正アクセスを受けた」という情報のみ公表している企業を除き、ランサムウェアによる被害数が群を抜いて多いことが分かります。ランサムウェアはIPAが指定する組織向け情報セキュリティ10大脅威に9年連続でランクインしており、2024年時点で3年連続1位に入っています。身代金を要求する攻撃手法であることから被害総額が膨れ上がる可能性もあるのが特徴でしょう。ランサムウェア被害に関する詳細は深掘りトピックで解説しています。9割の企業で情報漏洩あり(可能性含む)と発表、公的機関が多い今回取り上げたセキュリティ被害のうち90%が「情報漏洩あり」もしくは「情報漏洩のおそれあり」と発表しています。現在はサイバー攻撃を受けた場合の開示が義務化されていないため、重大な情報漏洩が起こった際に公表する事案が多いことからこのような比率の高さになっていると推測されます。また、記録媒体の紛失・盗難や誤操作・誤設定・内部不正などのヒューマンエラーは小学校や地方公共団体などの公的機関に多いのが特徴です。リソースや意識の問題で職員一人ひとりへのセキュリティ対策に手が回っていないこと、民間企業では公表しない傾向にある「端末紛失」などのミスによる漏洩疑いの場合でも公表するケースが多いことが要因として挙げられます。また、国外ではGoogleの誤設定によるSEO内部文書の流出や、YouTubeの管理権限の悪用で任天堂が発売前商品の情報をリークされる事例も起こっています。外からの攻撃はもちろん、故意・過失問わず内部から情報漏洩が起こるリスクにも備えておく必要があるでしょう。ECサイトで発生した被害のうち約8割はクレジットカード情報を含む漏洩情報漏洩の中でも機密性が高く訴訟に発展する可能性が高まるのがECサイトです。今回の調査でクレカ漏洩(おそれ含む)ありと公表した企業は19件。今回ピックアップした115件のうち約13%と全体の割合としてはそこまで高くないように感じます。しかしクレカ漏洩ありと公表したうち全てがECサイト経由で攻撃を受けた企業で、ECへの被害に絞るとクレカ漏洩が発生した確率は約79%。ECサイトを運用する企業にとって、クレジットカード情報の漏洩は決して少なくない割合で発生すると言ってもよいでしょう。引用:株式会社岸和田スポーツHP自社でクレジットカード情報を保有していなかったとしても、クレカ情報が漏洩するリスクはゼロではありません。例えば2024年2月にECサイトへのサイバー攻撃を受けた岸和田スポーツは公式サイトで「当社ではお客様のクレジットカード情報は一切保有しておりません。 本件では悪意のある第三者が(中略)不正注文を行い、注文データの参照が行われたことを起点として不正なスクリプトが実行されたと考えられます。」と発表しています。※参照:株式会社岸和田スポーツ「クレジットカード情報及び個人情報漏えいに関するご質問とご回答」ECにおけるサービス遅延・停止の被害クレカ決済の停止・サイトの一時閉鎖など、サービス遅延・停止による被害額が大きいのもECの特徴です。ECで情報漏洩が発生するとサイトの一時停止が起こることが多いため、それによる業績悪化が致命傷となることもあります。再開後も信頼回復に加えカード決済の再開までかなり期間を要することも少なくありません。昨今はカード払い非対応のサイトであることが分かると購入を辞める人もいるため、運営企業にとって大きなペナルティとなります。今回の調査ではECサイト被害のうち半数以上が何らかのサービス遅延・停止を行っていました。>>>国内No.1CMS WordPressの無料セキュリティ診断はこちら<<<話題のセキュリティ被害事例①JR東日本のサイバー攻撃被害により、モバイルSuicaが一時的に使用不可となる(2024年5月)ここからは2024年上半期に発生したセキュリティ被害から特に大きな話題を呼んだ事例を3つご紹介します。「サイバー攻撃」のGoogleトレンドを参照すると、5月半ばごろに急な盛り上がりを見せていることが分かります。ちょうど同じ時期にJR東日本でサイバー攻撃の被害に遭ったニュースが流れたため、この事件が原因であると考えてよいでしょう。モバイルSuica、えきねっとなどの交通系決済システムに障害5月10日、サイバー攻撃に起因するシステム障害によりJR東日本が運用しているモバイルSuicaやえきねっとなどが一時的につながりにくい状態となりました。【5月10日18時50分現在】 モバイルSuicaアプリへのログインや、アプリでのチャージ等、通信を必要とするサービスでつながりにくい状態が発生しています。 チャージ残額や購入済みの定期券等、タッチでのご利用には影響ございません。通常どおりご利用いただけます。 モバイルSuicaサポート【JR東日本公式】公式X交通系ICの決済が繋がりにくくなることで駅から出られなくなった人が続出するなど、人々のインフラに直接影響を与えたことから大きな話題となりました。なお障害は3時間程度で解消しており、サイバー攻撃に関する詳細な情報は明らかになっていません。今回の事例はIC乗車券に関するシステムへの攻撃であったこと、復旧までの時間が短かったことからそれほど大きな事態には発展しませんでした。しかし列車の運行や改札での処理に大きな影響を与える攻撃であった場合、列車のインフラ全てが長期間停止して莫大な経済的損失を与える可能性もあるでしょう。インフラに関わるシステムがサイバー攻撃を受けるリスクが明らかになった事件でした。話題のセキュリティ被害事例②KADOKAWAへのサイバー攻撃でニコニコ動画などのサービスが停止(2024年6月)動画サイト「ニコニコ動画」などを運営する株式会社KADOKAWAは6月8日、ニコニコを中心としたサービス群を標的としたサーバがランサムウェアを含む大規模なサイバー攻撃を受けたことを発表しました。同社サイトは6月時点で閉鎖されており、臨時サイトおよびSNS・YouTubeにて情報を発信している状態です。引用:開発チームの有志によって3日間で構築された臨時サービス「ニコニコ動画(Re:仮)」全サービスの復旧には1ヶ月以上かかる見込みで、6月現時点でもニコニコ動画などの主なWebサービスは復旧していません。サイバー攻撃に関しては「BlackSuit」と名乗るサイバー犯罪グループが闇サイトに声明を発表。身代金の支払いに応じなければ7月1日には奪取した個人情報を全て公開すると主張しています。引用:Google Finance(2024年6月26日時点)また6月8日の発表以降、株価にも影響が出ています。出版の物流システムも停止KADOKAWAが扱っている紙・デジタル書籍の製造・物流システムも停止しており、一部新刊の刊行や重版制作の遅延が見込まれています。セキュリティ被害には該当しない事例ですが、2024年4月から2ヶ月間システム障害によって出荷停止状態が続いている江崎グリコでは、売上高が200億円下押しされる見通しであることを発表しています。今回のサイバー攻撃ではKADOKAWAの自社システムへの依存度が高い既刊物流が平常時の3分の1に制限されているとのこと。今後物流が止まる期間がいつまで続くかにもよりますが、今回の製造・物流システム停止も莫大な被害額をもたらす可能性があるでしょう。サイバー攻撃に対する報道の在り方に疑問を呈する声も6月22日、KADOKAWAが以下のような文書を公表しました。一部報道機関が、当社グループへのランサムウェアを含むサイバー攻撃に関して犯人と名乗る人物のメッセージを掲載しておりますが、犯罪者を利するような、かつ今後の社会全体へのサイバー攻撃を助長させかねない報道を行うメディアに対して強く抗議をするとともに、損害賠償を含めた法的措置の検討を進めてまいります。 株式会社KADOKAWA「一部報道について」2024年6月22日公開この文書は「【極秘文書】ハッカーが要求する「身代金」の全容」と題された記事を発表した経済メディアNewsPicksへの抗議を示すものであるとみられ、サイバー攻撃をめぐる報道の在り方に疑問を呈した形となりました。話題のセキュリティ被害事例③株式会社イズミ、復旧に3ヶ月以上を要すランサムウェア被害に(2024年2月)スーパー「ゆめタウン」などを運営する株式会社イズミは2月22日、社内サーバがサイバー攻撃を受けていることを発表しました。社内の全ネットワークが遮断2月15日、社内サーバへの侵入が検知されたため調査を行った結果、VPN機器を狙ってサーバが攻撃を受けていたことが判明しました。侵入が発覚した時点で社内ネットワークをすべて遮断したため、基幹系システムなどネットワークに繋がっている全システムが一時的に停止。さらに攻撃を受けた影響で発注などの商品管理ができない状態になるなど、サービスに大幅な遅延が発生しました。またメールサーバが被害を受けていたため、顧客など外部との連絡手段が一時電話・FAX・郵送に制限されていたとのこと。バックアップサーバにまで暗号化の被害が及んでおり復元が不可能であったため、結果として社内システム・サービスの全復旧までに約3ヶ月を要しました。システム障害の影響で決算報告が延期に基幹系システムでの請求書がストップして財形上の処理が大幅に遅延したこと、システム復旧に対するIT監査も必要となることから有価証券報告書の提出期限延期が決定しました。クレジットカード情報の漏洩は起こっておらず外部にその他の情報が漏洩した可能性も極めて低いと発表していますが、ECサイト、会員アプリを含むシステム停止が長期間に渡ったことを踏まえると被害額は相当なものであると推察されます。引用:Google Finance(2024年6月24日時点)上下はありますが、2月の情報漏洩公表から4ヶ月が経過した6月現在ではおおよそ株価が下落傾向にあります。個人情報漏洩の被害だけではなく、社内のシステムが攻撃を受けることによる復旧コストとシステム停止中の損害が甚大であった事例だと言えるでしょう。>>>国内No.1CMS WordPressの無料セキュリティ診断はこちら<<<セキュリティ被害トピック深堀り①病院でのセキュリティインシデント2024年上半期は病院でのセキュリティ被害が相次ぎました。2024年上半期でセキュリティ被害情報を発表した病院・医療センターカテゴリ団体名・企業名被害カテゴリ病院北海道大学病院パスワードリスト攻撃病院岡山県精神科医療センターランサムウェア病院近畿大学病院人為的ミス・内部流出病院愛知県医療療育総合センター人為的ミス・内部流出病院国分生協病院ランサムウェア病院福寿会足立東部病院フィッシング病院都立豊島病院人為的ミス・内部流出公的機関公的財団法人・埼玉県健康づくり事業部ランサムウェア企業(医療系)株式会社アイルランサムウェア企業(医療系)株式会社ほくやく・竹山ホールディングスランサムウェア病院だけで7件、患者情報や臨床研究に関する情報を含むデータが流出した杏林大学や医療業界の企業・団体がサイバー攻撃を受けた事例も含めると11件の被害が確認されました。また11件中8件はフィッシングやランサムウェアなど外部からのサイバー攻撃に起因するものでした。セキュリティ被害のリスクが高い医療業界医療機関は住所や氏名だけでなく、持病や処方箋など要配慮の個人情報を有している可能性が高く、それゆえインシデント発生時の影響も大きくなります。例えば2月に被害を公表した公益財団法人埼玉県健康づくり事業団ではサイバー攻撃によりX線画像読影システムが停止。現在は手書きで読影簿を記入し処理システムに打ち出す方法を取っており、新しい読影システムへの移行には半年以上かかる予定です。国外の事例では、6月初旬にイギリスで国民に医療を無償提供するNHS(National Health Service)の請負業者がランサムウェア攻撃を受けたことにより、ロンドン市内にある複数の病院で手術、血液検査、予約を中止せざるを得ない状況になりました。このように、サイバー攻撃によって院内のシステムに被害が及んだ場合は人命にかかわる危険性もあるため注意が必要です。ランサムウェア被害への対策が急務国内では2月~3月初旬にかけて医療業界でのランサムウェア被害が相次いで公表されました。医療業界は前述したようにシステム停止による実害が金銭のみならず人命にまで及ぶリスクがあり、それゆえ身代金要求を呑みやすいのが一因だと考えられます。ランサムウェア被害に対してスタッフへのセキュリティ教育やシステム構築などの対策を行うことが急務とされており、政府は「医療情報システムの安全管理に関するガイドライン(厚生労働省)」を発表するなどの対策を行っていますが、被害数は依然として減りません。今後の対策として、リソース不足を解消しインシデントに備えた対応を積極的に行っていく必要があるでしょう。→ランサムウェアの対策について詳しくはこちらセキュリティ被害トピック深掘り②情報漏洩件数が過去最多の1万3279件へ各団体・企業が今年に入ってから発表した昨年のデータについて解説します。個人情報保護委員会の発表により、企業・団体による情報漏洩が1万3279件と過去最多の漏洩件数であったことが明らかになりました。大企業で漏洩人数が拡大した一方、公表に至らない規模の中小企業でも被害件数が増加し続けていることがわかります。発表されたデータによると、誤操作や端末紛失などの人的ミスが9割近くを占めるとのこと。全体の傾向として従業員のセキュリティ管理の重要性が露見した形となりました。→情報漏洩のリスクについて詳しくはこちら上場企業の情報漏洩・紛失事故は4,090万8,718人分また東京商工リサーチが2024年1月に発表した情報によれば、2023年に上場企業とその子会社が公表した個人情報漏洩・紛失事故は4,090万8,718人分と漏えいした個人情報数が過去最多を更新しました。2023年に公表された情報漏洩はNTTグループ元派遣会社員が928万人分の個人情報を不正に持ち出した事件をはじめとして、従業員の故意・過失による大規模な情報流出が複数あったことが特徴的です。その一方、2024年は6月現在公表されている範囲ではランサムウェアなどを利用したサイバー攻撃によって大きな被害を受けた企業が多い傾向にあります。そのため、来年発表される情報は傾向が変化する可能性があるでしょう。今後の動向にも注目です。セキュリティ被害トピック深掘り③拡大するランサムウェアの被害2024年1月~6月にランサムウェア被害を公表した企業・団体(ECマーケティング調べ)業界企業名小売株式会社イズミ小売株式会社大藤釣り具商社豊島株式会社出版・広告・マスコミ宮崎電子機器(テレビ宮崎グループ)医療株式会社アイル医療公益財団法人・埼玉県健康づくり事業団医療株式会社ほくやく・竹山ホールディングス医療岡山県精神科医療センター医療国分生協病院メーカーアニエスベージャパン株式会社メーカーオイレス工業(免震装置製造)メーカーニデックインスツルメンツその他サービス高野総合グループ(会計事務所など)インフラ株式会社巴商会インフラ株式会社キューヘン(九州電力グループ)インフラジャパンガスアパレル株式会社エンドレスIT・情報・通信株式会社フュートレックIT・情報・通信CRESS TECH株式会社IT・情報・通信株式会社イセトー(納税通知書の作成など)今回の調査において不正アクセスを受けたと公表している企業の中でランサムウェアの被害を受けたと明示している、もしくは「ファイルの暗号化」などランサムウェアによる被害をほのめかす表現をしている会社は18社です。「不正アクセス」以上は被害の詳細を明かさない企業や、上場企業でない場合そもそも不正アクセスの事実を公表しない会社も多いことを考えると、実際の数はさらに多いと考えられます。世界最大のランサムウェアグループLockBit、2月に検挙も攻撃止まずLockBitはランサムウェア攻撃を行う国際サイバー攻撃集団。2024年2月にユーロポール(欧州警察機関)が主導する国際共同捜査により主要メンバーが摘発、サーバが閉鎖されたとの発表がありました。しかし、閉鎖からわずか4日後には新たなサイトが設置され、以降Lock bitを名乗る攻撃者からの攻撃は止むことなく続いています。国内企業も複数被害に遭っており、今回の調査ではアニエスベーとエンドレスはセキュリティ被害がLock bitランサムウェアの攻撃によるものであると公表しています。VPN機器経由での攻撃が多い警察庁の発表によれば、ランサムウェア被害のうち約71%はVPN機器が侵入経路となっているそうです。前項でご紹介した株式会社イズミもランサムウェア攻撃がVPN経由での侵入であることを公表しています。VPN機器はPCなどの端末を同一のネットワークに参加させるための装置で、アクセス元のPCがランサムウェアに感染した場合社内のネットワーク全てが被害を受けることになります。そのためVPN経由でのサイバー攻撃は被害が拡大しやすいと言えるでしょう。VPN機器は脆弱性が頻繁に発見され、そのたびにアップデートなどで対策を行っています。頻繁に発生するアップデートへの対応はもちろん、パッチが配布されるまでの期間に攻撃を受けるリスクに備える必要性があります。セキュリティ被害トピック深掘り④「能動的サイバー防御」の法整備へ?6月7日、政府はサイバー安全保障に関する有識者会議を開催。岸田文雄総理は「サイバー安全保障対応能力を欧米主要国と同等以上に向上させること」を目標に掲げ、サイバー攻撃を未然に防ぐことを目的に「能動的サイバー防御」を導入するための法案を早期に取りまとめるよう河野デジタル大臣に指示しました。能動的サイバー防御とはサイバー攻撃を行っているサーバを検知し、攻撃を受ける前に攻撃元サーバに侵入、無力化するというものです。自社のサーバやWebサイトなどからの侵入経路をふさぐ現在のセキュリティ対策とは異なり、攻撃を受ける前に相手を無力化するため防御できる範囲が広がると考えられます。法案成立までには課題も能動的サイバー防御はセキュリティ対策の範囲を広げられる一方、法案成立に向けてはさまざまな面で課題が生じるのも確かです。1つ目の課題は、憲法で規定されている「通信の秘密」を侵害するリスクがある点です。憲法第21条2項で「検閲は、これをしてはならない。 通信の秘密はこれを侵してはならない」としていますが、能動的サイバー防御ではサイバー攻撃を事前に察知するために監視行為を行う必要があります。これが検閲にあたる可能性があるとの指摘があり、悪用した場合通信の秘密が不当に侵されるリスクがあります。また、能動的サイバー防御では攻撃前に相手サーバへ攻撃を仕掛けて無力化します。国内への攻撃はともかく、国外に置かれているサーバに対して攻撃を行った場合、「日本政府からのサイバー攻撃」と捉えられて外交摩擦が生じるリスクがあります。早急な法案成立を目指すとの方針ですが、実際に施行された場合どの程度効果があるのか、そしてリスクをどう回避するのかも含めて意思決定を見守る必要があるでしょう。【あわせて読みたい】52.8%がセキュリティ被害に遭ったことがあると回答!サイト運営者125人にアンケート情報漏えいのセキュリティリスクを知っておこう|実際の事例・対策を紹介サイバー攻撃の種類をカテゴリごとに分かりやすく解説!【2024年上半期】セキュリティ被害に遭った企業一覧2024年1~6月(6月15日時点まで)の情報を一覧化しました。
  • ウェブアクセシビリティとは 2024年法改正に伴う罰則の有無を解説

    2024.06.25 WEB制作

    【2024年最新版】ウェブアクセシビリティ対応とは?義務化・罰則の対象を分かりやすく解説
    2024年4月に改正障害者差別解消法が施行されたことで、「合理的配慮の提供」が法的に義務化されました。このたび義務化された「合理的配慮」にWeb上での情報やサービスを誰でも利用できるようにするための「ウェブアクセシビリティ対応」は含まれませんが、巷では「ウェブアクセシビリティが義務化される」との情報も飛び交っています。法的拘束力を持つ義務の範囲には入りませんが、ウェブアクセシビリティは以前から努力義務とされているため、できるだけ早急な対応が求められることには変わりありません。まずはウェブアクセシビリティの基本情報を知り、今できる対策を進めていきましょう。1.ウェブアクセシビリティとはウェブアクセシビリティとは障害の有無・程度などに関わらず、Webサイトにおける情報・サービスが利用できることを指します。ここで配慮の対象になるのは障害を持つ人だけではありません。例えば電車の中でスマホを見ていて一時的に音声を聞けない状態にある人、使用しているマウスが壊れてPCをキーボードのみで操作しなければいけない人など、利用環境によって不自由さを感じうるシチュエーションにも対応していくのが「ウェブアクセシビリティ」です。ウェブアクセシビリティに配慮されていないサイトでは、情報を入手できないユーザや申込や手続などのサービスが利用できないユーザが出てくる可能性があります。災害時など緊急性の高い状況で必要な情報を得られなくなった場合、命の危機に直面するおそれもあるでしょう。社会生活において生じる不利益を解消するためにウェブアクセシビリティへの対応が必要であると言えます。ウェブアクセシビリティの具体例合理的配慮が必要な例取り組みの一例端末の画面が見えない、見えづらいalt属性の付与一部の色を識別できない色覚の調整(コントラスト比を高める)音声が聞こえない、聞こえづらい動画に字幕を付けるウェブアクセシビリティの詳しい対応方法は総務省「ウェブアクセシビリティ導入ガイドブック」を参照してください。今回ご紹介したのはあくまで一例であり、「ウェブアクセシビリティ対応=今すぐ全項目を実装しなければならない」というわけではありません。しかし、あらゆるユーザにとって使いやすいWebサイトを目指すことで顧客層の裾野が広がり、ビジネスチャンスにつながることもあります。自社の顧客を想定した際に不自由を感じるような部分があれば、順次対応していくことをおすすめします。2.2024年法改正でウェブアクセシビリティ対応が義務化された?2024年4月1日以降、障害者差別解消法の改正により国や地方公共団体などに義務付けられている合理的配慮の提供が民間の事業者でも義務化されました。冒頭でも申し上げたように、改正法の施行によってウェブアクセシビリティ対応が義務化の範囲になったとする情報は誤りです。正確には、ウェブアクセシビリティの確保は合理的配慮を的確に行っていくために前もって改善措置を行う「環境の整備」の一環です。「環境の整備」は2016年の法改正から「努力義務」となっており、現在も変わっていません。つまり、ウェブアクセシビリティ対応は義務化の範囲に入らない=行わなくても罰則が科されることはないと言えます。ただし引き続き努力義務となっていることは変わっておらず、情勢によっては今後ウェブアクセシビリティの確保が義務化される可能性もあります。海外ではウェブアクセシビリティに対する訴訟も日本ではまだ努力義務であるためウェブアクセシビリティへの対応度によってペナルティが課されたケースはありませんが、海外(特にアメリカ)ではウェブアクセシビリティにまつわる訴訟が発生しています。アメリカにはADA(Americans with Disabilities Act)と呼ばれる法律があり、ウェブアクセシビリティの対応が不十分であることが原因で訴訟に発展するケースが増加しています。UsableNetの調査※によれば2022年の訴訟数は合計4,035件、2023年は推定4,220件。「ウェブアクセシビリティを向上させることが人々の権利を守るために必要である」という認識は、今後日本でも大きく広まっていくと考えられます。公的機関におけるウェブアクセシビリティ対応民間企業ではウェブアクセシビリティ対応に関する明確な規定は存在しませんが、政府や地方自治体などの公的機関においては「法律等に基づく責務」として運用ガイドラインに沿った以下のような対応を行うよう求められています。ウェブアクセシビリティ方針を策定・公開する提供するホームページ等について、JIS X 8341-3: 2016の適合レベルAAに準拠する1年に1回、「ウェブアクセシビリティ取組確認・評価表」を公開する対応の可否に罰則が科されない点は民間企業と同じですが、多種多様なユーザが利用する公的機関サイトでは対応がより強く要求されています。よって、公的機関におけるウェブアクセシビリティ対応規定は民間企業でのサイト運用にも適用できるでしょう。対応範囲・方針が不明瞭な場合は公的機関と同じ基準で対応することをおすすめします。3.ウェブアクセシビリティ対応を行うメリット実際にウェブアクセシビリティへ対応することによって企業にもいくつかメリットがあります。ユーザビリティが改善するルールに則ったページ作りをすることで、障害者や高齢者だけでなく様々な人にとって探しやすさや読みやすさが向上する、つまりユーザビリティが改善します。ユーザビリティ改善により、障害を持つ人や高齢者だけでなくスマホやPC、その他多様な端末での利便性が向上し、より多くのユーザに対応したサイトになります。利便性を追求することでユーザにとって使いやすいサイトとなり、最終的にはリード獲得の増加にもつながります。機械処理しやすいページになるウェブアクセシビリティは機械で読み取りやすいWebサイトにすることで、誰でも利用できるサイトにしていくことを目的としています。ガイドラインの規定に則ってサイトを制作することで検索エンジンのロボットに認識されやすいサイトになり、検索結果に表示されやすくなることもあります。SEOの面から自社サイトの足りない部分をチェックするという意味でもウェブアクセシビリティ対応を行うメリットは大きいでしょう。ユーザからの信頼性が上がるアクセシビリティポリシーなどを公開することにより、多様な人・環境に配慮したサイトであることをアピールできます。アクセシビリティへの対応度はサイト内にアクセシビリティポリシー(方針)を作成することで明示することが可能です。引用:内閣府「内閣府ウェブアクセシビリティ方針」上記は内閣のウェブアクセシビリティポリシー。公的機関はもちろん、近年は民間企業でもアクセシビリティポリシーを公開する会社が増えています。ユーザからの信頼性を上げるためにも、早めに対応を行うとよいでしょう。4.ウェブアクセシビリティに対応する方法企業のWEB担当者向けにウェブアクセシビリティに対応する具体的な方法をご紹介します。準拠するガイドラインを決定する現在、ウェブアクセシビリティ対応の基準として主に利用されているガイドラインはWCAG(Web Content Accessibility Guidelines)ISO/IEC 40500:2012、IS X 8341-3:2016以上の3つです。公的機関では日本国内の規格であるJIS X 8341-3:2016に則った対応を進めており、総務省やデジタル庁が公開している資料も同規格に則って書かれています。そのため、初めてアクセシビリティ対応を行う場合はJIS X 8341-3:2016に準拠することをおすすめします。ただし、JIS X 8341-3:2016は国際的な規格であるWCAGに準拠しており、大元のWCAGは2023年にスマホへの対応などを盛り込んだ改正を行っています。JIS X 8341-3:2016もWCAGの改正に伴って達成基準の追加が見込まれるため、現在の規格でまずはウェブアクセシビリティを確保して改正に対応しやすい体制を作っておくことが重要です。なお、どのガイドラインに準拠しても主な対応方法は変わりません。各対応方法の詳細を見ていきましょう。対応方法①専門家によるチェックウェブアクセシビリティの規格を十分に理解した専門家によるチェックを行うのが最も確実な方法だと言えるでしょう。ただし多数のページをチェックする場合はかなりの時間・コストがかかるため、ある程度アクセシビリティ対策にリソースを割く必要がある点には注意が必要です。対応方法②チェックツール専門家によるチェックにリソースが割けない企業は、担当者レベルで出来るチェックとしてまずアクセシビリティ評価ツールを利用してみることを推奨します。総務省で提供している「miChecker(エムアイチェッカー)」は利用者も多いため、初めてのアクセシビリティチェックにおすすめです。ツールは予算や人的リソースを割かずにアクセシビリティの対応状況を客観的に把握できますが、チェックできる範囲には限りがあります。サイトの状況によりますが、ツールだけではおよそ7~8割の課題を見落とす可能性が高いと言われているため、チェック方法としては不十分です。確実な対応には目視でのチェックが必要であることは認識しておきましょう。対応方法③利用ソフトによるチェック文章読み上げソフト等、利用者が使用しているソフトを実際に使ってみて、不便さがないかどうかチェックするのも有効です。Windows向けのスクリーンリーダーであるNVDAなどのツールを利用するとよいでしょう。さまざまな利用方法を想定してツールでチェックしなければならないため時間はかかりますが、専門家でなくともある程度精度の高いチェックが可能となります。5.まとめ2024年4月の改正障害者差別解消法においてウェブアクセシビリティ対応は義務化されておらず、あくまで努力義務の範囲となります。しかし企業的なメリットを考えると、早めの対応を行うに越したことはないでしょう。ECマーケティング社ではアクセシビリティ対応支援を行っていますので、ご興味のある方は以下からお問い合わせください。※UsableNet「2023 MIDYEAR REPORT ON DIGITAL ACCESSIBILITY LAWSUITS」
  • あなたの企業は導入済み?脆弱性診断

    2024.05.07 WEB制作

    脆弱性診断は必要?やり方や費用の相場を詳細解説
    Webサイトのセキュリティを強化するうえで不可欠になりつつある脆弱性診断。セキュリティ意識の強い企業は既に定期的な診断を行っています。現状のセキュリティ対策に危機感を覚え、社内で脆弱性診断を導入すべきか悩んでいる担当者の方もいらっしゃるのではないでしょうか?信頼性のある脆弱性診断を行うにはサイバーセキュリティへの知見を有したエンジニアの存在が不可欠であり、ツールを用いた簡易的な診断であっても一定のスキルが必要です。今回の記事では脆弱性診断を導入すべきか迷っている方向けに、基礎的な情報を解説します。1.脆弱性診断とはシステムやネットワークのセキュリティ状況を評価する診断を脆弱性診断と呼びます。同じような言葉として「セキュリティ診断」という単語がありますが、サイバーセキュリティにおいてはほぼ同義に扱われます。外部・内部から脆弱性を発見し、攻撃者からの悪意ある攻撃や情報漏えい事故などのリスクを未然に防ぐのが脆弱性診断の主な目的です。ウイルス対策の実施やOSやアプリケーションのバージョンアップなど基本的な対策の次に必要とされるサイバー攻撃への防御策で、比較的安価・短時間で行える施策の一つだと言えるでしょう。脆弱性とはそもそも脆弱性とは、インターネットに接続するデバイスやソフトウェアに生じるセキュリティ上の欠陥のこと。「セキュリティホール」とも呼びます。脆弱性そのものに害があるわけではありませんが、プログラムの設定ミスなどが原因となって脆弱性が発生すると、悪意を持った人物からサイバー攻撃を受けるリスクが高まります。2.脆弱性診断の目的・必要性軽く先述しましたが、脆弱性診断の目的はシステムへの侵害につながる可能性を有する脆弱性の特定とランク付け、レポーティングです。脆弱性のカテゴリや危険性、すなわち対策の重要度をランク付けし、セキュリティホールをふさぐ適切な施策を講じるために必要不可欠な定期健診のようなものです。特に企業サイトでは脆弱性診断を定期的に行い、安全なWebサイト、Webアプリケーションを提供することが重要視される傾向にあります。脆弱性診断の必要性は高まっている個人情報など経済的価値の高い情報の詐取はもちろんのこと、Webサイトの改ざんを目的としたハッキングなど、サイバー攻撃の手法は年々多様化しています。悪質な手口に対応すべく、より複雑かつ多面的な方法で脆弱性診断を行う必要性は高まり続けていると言えるでしょう。また、近年では短期間のうちに何度もアップデートを行うWebサービスが多く、導入側の企業でセキュリティ面の対応が追い付かないまま放置される事例が増えています。代表的なのはWordPressなどのオープンソースCMSを利用している企業がプラグイン等の脆弱性を突かれて攻撃を受けるケース。弊社のアンケート調査では、WordPressを使ってサイトを運用している企業のうち半数以上がサイバー攻撃の被害を受けた経験があると回答しています。→アンケート結果の詳細はこちらからセキュリティ意識の向上から、企業間でのやり取りでも脆弱性診断を含むセキュリティ対策を事前に確認して取引企業の選定基準に加えるケースも増えています。実際に被害を受けるリスクを減らす目的だけでなく、企業の信頼性を担保するためにも脆弱性診断の必要性は高まり続けていると言えるでしょう。3.脆弱性診断のやり方・費用の相場脆弱性診断の方法は大きく分けて2種類、ツール診断とマニュアル(手動)診断があります。同じ脆弱性診断でもエンジニアが手動で診断作業を行うかどうかで予算・やり方が大きく変わってきます。なお、実際に脆弱性診断を行うにはサイバーセキュリティに関する専門知識を持ったエンジニアが必要です。ここでは脆弱性診断のやり方を簡略化してご説明します。ツール診断予算:無料~数十万円自動検知ツールなどを用いて、システム全体の脆弱性を診断する方法です。手動では膨大な時間や手間がかかる作業を短時間かつ低コストで実施できますが、網羅性にはやや欠けます。ツールの多くは操作が難しいため、使いこなすにはセキュリティに対する専門知識を持っていることが前提条件になります。網羅性を高めようとするほどツールの学習コストも高まるので、いきなり社内で導入するのはハードルが高いと言えるでしょう。クラウド型クラウド型はインターネットを用いて診断できるツールです。ソフトなどのインストールが必要なくネット上で完結するので誰でも手軽にできるのがメリットですが、クラウド型の診断範囲だけではリスクをカバーしきれません。本格的な対策を行うのであれば、別のツール・手動診断と併用すべきでしょう。ソフトウェア型自社のパソコンやサーバに診断ソフトをインストールするツール。オフライン環境でも利用でき、クラウド型より脆弱性診断の範囲は広がりますが、インストールや管理には相応の専門性が必要です。オープンソース型インターネット上に公開されているソースコードを利用した無料のソフトウェアを用いるのがオープンソース型。オープンソースという性質上カスタマイズ性が高く、無料で利用可能ですが、ソフト自体の安全性は担保されないので注意しましょう。また、通常のソフトウェア型と同じく専門的な知識が必要です。マニュアル(手動)診断予算:数万~数百万円(数万のサービスはツールと併用)セキュリティの専門家などに依頼し、人の手で脆弱性を診断します。検査項目の網羅性が高く、ツールでは認識しにくいタイプの脆弱性を発見できますが、診断を行うエンジニアのスキルによってサービスの質やコストにはばらつきが生じることもあるので事前の企業選びが大切になってきます。専門性の高いエンジニアが直接診断を行うので完全に手動で診断するなら最低でも数十万円はかかります。予算上難しければ一部ツールを使って診断する「ハイブリッド診断」を用いるとコストを抑えることができます。ツールを併用した単発の診断であれば無料になることもあります。リモート型インターネットに公開されているアプリケーション、公開セグメント上のサーバなどの脆弱性をチェックします。エンジニアが直接赴かなくても実施できるので後述のオンサイト診断と比較すると費用はやや抑えられます。オンサイト診断顧客のオフィスやデータセンターなどのネットワーク環境がある場所へ直接エンジニアが出向き、内部ネットワークから脆弱性を診断するのがオンサイト診断です。費用はかさみますが、その分非常に網羅性の高い診断が可能です。一般的なマニュアル診断のやり方・手順ツール型の利用方法はシステムによって大きく異なるので、参考までにマニュアル(手動)診断の一般的なやり方を解説します。①事前調査まず対象となるWebサイト・アプリケーションの調査を行います。②診断する範囲・方法を決定対象アプリケーションの特性などを踏まえて診断メニュー/診断項目を決定します。手動診断は予算感などを踏まえて診断の範囲を重要な機能のみに絞る、事前の審査結果に応じて範囲を拡大するなど、相談によって柔軟に診断の内容を変更できるのがメリットです。③診断専門家が実際に対象アプリケーションにアクセスし、攻撃者の視点に立って脆弱性の有無を検証します。対象となる画面遷移数によって期間は異なりますが、数日~長くて数ヶ月程度かかることもあります。④診断結果の報告検出された脆弱性の内容や重要度、対策の説明などがレポート形式で提供されます。4.脆弱性診断の種類脆弱性診断は診断を行う対象によって2種類に分けることができます。Webアプリケーション診断対象:Webアプリケーション、CMSなどサーバ上で稼働させるWebアプリケーションを対象として行う診断のこと。攻撃者の視点に立ち手動またはツールを使って、Webアプリケーションに潜む脆弱性を見つけるのが特徴。「外側から見る脆弱性診断」と捉えると分かりやすいですね。プラットフォーム診断対象:ミドルウェア、サーバなどOS/ミドルウェア等の内部システムに潜む脆弱性への対応状況などについて検査します。脆弱性を内側から発見するタイプの診断形式です。5.推奨される脆弱性診断の頻度脆弱性診断は一度やって終わりではなく、定期的に行ってセキュリティホールが生じていないかチェックすることが重要です。情報セキュリティを推進している独立行政法人IPA(情報処理推進機構)が公式に発表している脆弱性診断の推奨頻度※は以下の通り。プラットフォーム診断:少なくとも四半期(3ヶ月)に1回Webアプリケーション診断:新機能開発や追加やシステム改修を行ったタイミング何らかの手段で定期的に脆弱性診断を行うための仕組みづくりが大切です。6.まとめ脆弱性診断は企業サイトの安全性を守り、企業全体の信頼性を維持するために必要不可欠なものです。社内で正確な脆弱性診断を行うことも可能ですが、かなり専門性の高い知識を必要とするので、これからサービスを導入したいと考えている企業は外注を検討した方がコスト的には最適でしょう。弊社ではWordPressを利用している企業様向けに現在脆弱性診断(セキュリティ診断)を無料で行っています。保守サービスに興味のある担当者様はもちろん、少しだけ話を聞いてみたいという方も是非ご相談ください。IPA+「ECサイト構築・運用セキュリティガイドライン」
  • Webサイトのセキュリティ、把握していますか?Web担125人にアンケート

    2024.02.29 WEB制作

    52.8%がセキュリティ被害に遭ったことがあると回答!サイト運営者125人にアンケート
    コーポレートサイトやオウンドメディアなど複数のWebサイトを運用するのが当たり前になった昨今、セキュリティ管理の重要性は日に日に大きくなっている。セキュリティリスクに対し予算や人的リソースを割く企業も増えているにもかかわらず、サイバー攻撃による被害は後を絶たない。特に海外、国内問わず最大シェアを誇るCMSのWordPressは無料かつ便利で使いやすいと同時に、セキュリティ保守を怠ると脆弱性を悪用した犯罪に狙われやすいCMSともいえる。内製・外部委託問わずセキュリティ人材の確保が急務だといわれているが、現実はどうなのだろうか。今回は、実際にWebサイトを運営している企業の担当者125名を対象にアンケート調査を行った。アンケート回答者:Webサイトを運営している担当者125名アンケート回答期間:2024/2/15~2024/2/16アンケート機関:ECマーケティング株式会社アンケート方法:インターネット調査WordPressの使用状況・用途Q1:サイト運用業務におけるWordPressの使用状況を教えてください。(単一選択)Webサイト運用担当者のうち92.0%はWordPressの使用経験があると回答。現在WordPressを利用している担当者は「1年未満」が全体の16.8%、「1年以上」が56.0%と、ある程度の期間WordPressの運用に携わってきた担当者が多い結果となった。Q2:WordPressを導入していたサイトの用途を教えて下さい。(複数選択)※「WordPressを利用したことがある」と回答した方への質問WordPressを使ったサイトの用途として最も多かったのは「コーポレートサイト」46.1%、次いで「ブランドサイト」が41.7%。やはり会社や自社商品の基本情報を掲載するWebサイトをWordPressで制作している企業は多いようだ。採用サイトやサービスサイトのページ制作にWordPressを利用しているケースも多くみられる。サイトセキュリティの状況把握Q3:WordPressのバージョン情報を把握していましたか。(単一選択)※「WordPressを利用したことがある」と回答した方への質問78.3%の参加者が「WordPressのバージョン情報を把握している」と回答。WordPressにおけるバージョン管理の必要性を認識している担当者は多いということだろう。Q4:WordPressの保守で実施したことがあるものを教えて下さい。(複数選択)※「WordPressを利用したことがある」と回答した方への質問全体の50.4%が保守の一環としてWordPressのコアアップデートを実施したことがあると回答。しかし、コアアップデート以外は一気に50%未満にとどまった。Q5:サイト運用におけるセキュリティリスクについて、自身は正しく認識していると思いますか?(単一選択)サイト運用におけるセキュリティリスクについて正しく認識していると思うか聞いたところ、33.6%は「そう思う」、44.0%が「どちらかといえばそう思う」と回答。合計で77.6%、およそ8割のWeb担当者がサイト運用に関わるリスクをしっかり認識していると捉えているようだ。Q6:次の単語を知っていますか?「死活監視」「サプライチェーン攻撃」「マルウェア」「ランサムウェア」「フィッシング」「DDoS」(単一選択)前項の質問で「セキュリティリスクを認識している」と回答したのは全体のおよそ8割であると述べたが、具体的なセキュリティ用語すべてを知っている人は41.6%とその半数程度にとどまっている。また、すべての単語について「完璧に説明できる」と回答したのは全体のわずか15.2%。リスクの認識に対する自己評価が高いわりに、リスクの詳細までは知らないというのが現実のようだ。セキュリティ対策の実施状況Q7:運用サイトのセキュリティ対策について、あてはまるものを答えてください。(単一選択)「全て社内で管理している」が32.0%で、「部分的に外部委託している」が46.4%。多くの企業が自社でセキュリティ対策を行っているものの、外部に委託している企業も少なくない。「部分的に」もしくは「全て」外部委託していると答えた企業は全体のおよそ6割。半数以上の企業が内部の運用担当者とは別に外部委託でセキュリティ対策を行っていることが分かる。また、「セキュリティ対策をしていない」「わからない」と回答した企業は8%いることが判明した。サイトの運営者でありながらセキュリティ対策においては、関与していない担当者も一定数いるようだ。Q8:運用サイトにおけるセキュリティ対策は万全だと思いますか?(単一選択)運用サイトにおけるセキュリティ対策は万全だと思うか聞いたところ、23.7%が「万全だと思う」、51.7%が「どちらかといえば万全だと思う」と回答。合わせて75.4%の担当者が自社のセキュリティ対策状況に自信を持っているようだ。Q9:運用サイトで実施しているセキュリティ対策を教えて下さい。(複数選択)自社サイトで行っているセキュリティ対策として一番多かったのが「定期バックアップ」63.5%。サイト運用には必須の保守作業だが、自社では管理せず外注しているケースやリソース不足で作業に手が回っていない企業が多いのかもしれない。Q10:あなたの勤め先はサイバー被害に備えた保険に加入していますか。(単一選択)サイバー被害に備えた保険に加入していると回答した参加者は60.0%。セキュリティ対策としてサイバー保険に入るという選択肢は一般的になりつつあるようだ。WordPressのアップデートについてQ11:運用サイトに導入しているツール・システムのバージョン情報や、アップデート時に想定される影響など把握できていますか。(単一選択)バージョン情報やアップデート時の影響の把握を「完全にできている」と回答した人は21.6%。次いで「どちらかといえばできている」と答えたWEB担当者は55.2%と半数以上に上っており、アップデートの影響を把握している担当者はかなり多いことがわかる。一方、全体の約4分の1にあたる23.2%のWEB担当者は「どちらかというと(把握)できていない」「(把握)できていない」と回答している。状況を把握せず運用しているケースも一定数あるようだ。Q12「表示崩れ」や「不具合」を理由にシステムやプラグインのアップデートを後回しにした経験はありますか?(単一選択)アップデートを放置した経験が「かなりある」「おそらくある」と回答したのは合計で77.6%。前項で述べたアップデート時の影響に関する意識の高さから鑑みると、バージョンによる影響をある程度理解していても、更新に手が回っていない企業も少なからずあると思われる。セキュリティ対策の予算についてQ13:サイト運用予算におけるセキュリティ維持費用(月額換算)を教えてください。(単一選択)サイト運用予算におけるセキュリティ維持費用について聞いたところ、20.8%は5万円以下、29.6%が6万円~10万円と回答。月額10万円以下に収まっている企業が半数以上、その他の企業のうち33.6%は月額11万円~50万円の費用を投じている点も興味深い。Q14:運用サイトのセキュリティ対策予算はここ数年間で変化しましたか。(単一選択)運用サイトのセキュリティ対策予算について聞いたところ、15.2%が「増えた」、40.0%が「どちらかといえば増えた」と回答した。半数以上の企業において予算増加があったと答えていることから、企業としてセキュリティリスクへの意識は高まっていると推測される。Q15:運用サイトのセキュリティ対策予算は足りていると思いますか?(単一選択)サイトのセキュリティ対策予算について、「足りていると思う」と回答した参加者は28.0%、「どちらかといえば足りていると思う」と回答した参加者は47.7%。予算の増加に伴い、現状で十分と考える担当者が多いようだ。セキュリティ被害に関する意識Q16:セキュリティ被害について「うちは大丈夫」と他人事に思った経験はありますか。(単一選択)セキュリティ被害について「うちは大丈夫」と他人事に思った経験はあるか聞いたところ、「ある」と答えた人は40.0%、「どちらかといえばある」と答えた人は31.2%。合わせて71.2%のWeb担当者がサイバー被害を他人事に思った経験があることが分かった。Q17:ウェブサイトの不正アクセスや情報漏洩、個人情報の流出などのニュースを耳にしたとき自社の対策状況を不安に思いますか。(単一選択)不正アクセスや情報漏洩、個人情報の流出などのニュースを耳にしたとき自社の対策状況を不安に思うか聞いたところ、32.0%が「そう思う」、58.4%が「どちらかといえばそう思う」と回答した。他人事に思う経験もある一方、他社のニュースを見て危機意識を抱く担当者も多いようだ。Q18:もし運用サイトがセキュリティ被害に遭った場合、心配することは何ですか。(複数選択)もしサイトがセキュリティ被害に遭ったら心配することは何か聞いたところ、最も多かったのは「サイト利用者への影響」53.6%だった。ほか選択した参加者が多かったのは「取引先への影響」36.8%、「個人情報の流出」35.2%、「ネットでの炎上」「損害賠償」33.6%など。一方、「人材の流出」「従業員からの訴訟」など、社内への影響を不安視する担当者はかなり少ない傾向だ。サイバー攻撃に関する状況Q19:これまで運用サイトがセキュリティ被害に遭ったことはありますか。(単一選択)過去に運用サイトがセキュリティ被害に遭ったことがあると回答したのは全体の52.8%。半数以上の企業がこれまでにサイバー攻撃の被害に遭った経験があることが分かった。Q20:具体的にどのような被害に遭いましたか。(複数選択)※Q19で「被害に遭ったことがある」と回答した方への質問実際に受けた被害のうち最も多かったのは「サイトの改ざん」53.0%。次いで「不正アクセス」「ランサムウェア被害」が47.0%で同率2位、4位は「情報漏洩」40.9%と続く。回答結果から、一度攻撃に遭うと複数の被害を受けやすいことが分かる。セキュリティに関する社内状況Q21:運用サイトがサイバー被害に遭った場合の対応マニュアルの構築や周知はできていますか?(単一選択)62.4%の担当者が対応マニュアルの構築・周知をしていると回答。社内のセキュリティ体制が整っている企業は多い傾向だ。Q22:社内にセキュリティ関連の知識・技術をもった人材はいますか。(単一選択)68.6%の回答者が「社内にセキュリティ関連の知識・技術をもった人材がいる」と回答。およそ7割の企業では社内にセキュリティの知識を有した人材がいるようだ。Q23:セキュリティに関して困ったときに相談できるパートナー企業はいますか。(単一選択)※前項で「社内に人材がいない」と回答した方への質問68.0%の回答者が「社内にセキュリティ関連の知識・技術をもった人材がいる」と回答。一方、社内に人材が「いない」と回答した担当者のうち、54.5%が社外においても相談できる企業がいないと回答。いざ困った時にセキュリティ対応できるリソースがない状態でサイトを運用している企業が一定数いるという実態が浮き彫りとなった。Q24:社内でセキュリティ関連に強い人材の育成は行っていますか。(単一選択)社内でセキュリティ人材の育成を行っていると回答した参加者は63.2%。およそ6割の企業でセキュリティ人材の育成が進められているようだ。また、前項の「社内にセキュリティ人材がいるか」への回答と併せて集計した結果、以下のようになった。既に社内に人材を持っている企業はさらに育成を行っており、人材がいない企業は育成もしていないという二極化が進んでいることが分かる。Q25:セキュリティ対策における社内の理解度・意識についてどう感じますか。(単一選択)セキュリティ対策における社内の理解度、意識について聞いたところ、「高いと思う」「どちらかといえば高いと思う」と回答した担当者は合計25.6%。「どちらかといえば低いと思う」「低いと思う」と回答した担当者は69.6%と過半数を超えた。サイト運営者のセキュリティ意識はあっても従業員間の意識はまだまだ低いと感じる現実が垣間見えた。最後に、セキュリティ以外も含めサイト運営全般に対する担当者の悩みを質問した。サイト運用における悩みQ26:サイト運用業務で困ることはありますか。(複数選択)サイト運用業務で困っていることとして最も多かったのは「予算が足りない」40.8%、次いで「自分自身・社内のスキル不足」「社内の理解が足りない」36.8%という結果だった。上位にあがった項目から、「自分自身・社内のスキル不足」「現状の課題が分からない」「効果的な改善ポイントが分からない」などのスキル不足・アドバイザー不足に悩みを抱える担当者も多いことが伺える。ここで前項の質問にあったセキュリティ対策の運用状況別に悩みを集計したところ傾向に差が見られた。セキュリティ対策を自社で行っている企業のうち52.5%が「自分自身・社内のスキル不足」に困っていると回答。予算は足りているものの人材が不足している状況が伺える。一方、「部分的」もしくは「全て」外部委託でセキュリティ対策を行っている企業は48.0%が「予算が足りない」と回答。また、「効果的な改善ポイントが分からない」37.3%、「現状の課題がわからない」36.0%と、リテラシーに悩む傾向も強いようだ。調査まとめ・「表示崩れ」や「不具合」を理由にWordPressのシステムやプラグインのアップデートを後回しにした経験があると回答したサイト運用者は77.6%・71.2%のサイト運用者がセキュリティ被害を「他人事に思ったことがある」と回答・52.8%がWebサイトのセキュリティ被害に遭ったと回答今回の調査でWebサイトがセキュリティ被害に遭った経験を持つ担当者が過半数を超えていた。その一方、「(被害を)他人事に思ったことがある」「保守の内容や予算を把握していない」など、Web担当者の把握が不十分であること、知識不足が散見する場面もあった。ここから推測されることは、運営担当者の業務がコンテンツ更新作業や集客効果の測定がメインでセキュリティ対策は二の次になっていることだ。それゆえ、運営はするがセキュリティ対策は責任対象外という担当者が多いように感じられた。セキュリティ対策や保守に関して外部委託しているケースや、複数部署で共同管理している企業でも、運営担当者が自社の状況を把握しておくことは重要である。「誰かがやっているだろう」という油断がセキュリティの穴となり、被害を生み出すことを忘れずに運用してほしい。ECマーケティングのWordPress保守サービス調査を通じ、セキュリティ対策や保守作業が十分にできていない企業が多いことが分かりました。また、いざというときに頼れる人材、パートナー企業がいない状態で運用している企業も一定数見られました。ECマーケティングの「WordPress丸ごとおまかせ(保守)サービス」は低コストで健全なWebサイト運用をサポートしています。【関連サービス】WordPress丸ごとお任せ保守
  • CMS セキュリティリスク 比較 WordPressの強化方法は?

    2024.02.28 WEB制作

    CMS製品のセキュリティリスク比較!WordPressの強化方法も紹介
    Webサイトを構築するCMSといえばWordPressが有名ですが、種類によってセキュリティリスクが違うことはご存じですか?使いやすいCMSほどサイバー攻撃に狙われやすく、手軽なCMSの普及と比例してWebサイトのマルウェアの感染事例も増えています。CMSはセキュリティリスクも考慮して選び、製品に適した対策をとっていくことが大切です。今回は代表的なCMS製品のセキュリティリスクを比較しながら、狙われやすい製品のセキュリティ強化方法を解説します。これからCMSを選ぶ人も、すでにCMSを稼働している人も参考になる内容ですので、ぜひご覧ください。1.CMSは種類によってセキュリティリスクが違うCMS(Contents Management System)は、Webサイトの画像・テキスト・テンプレートなどの情報を一元管理するシステムのことです。CSSやHTMLなどの専門知識がなくてもWebページの作成・更新が可能になるため多くの企業が導入しています。ただし、「専門知識が不要」という特性から、CMSのセキュリティ知識がないまま運用してサイバー攻撃の標的にされる事例が増えています。CMSは種類によってセキュリティリスクが異なるので注意しましょう。CMSは以下の3種類に分かれます。オープンソース型:セキュリティリスク 高プログラムのソースが公開されているCMS。安価で誰でも利用しやすい反面、もっともサイバー攻撃で狙われやすい。ベンダーのサポートがないため自主的なセキュリティ対策が必要。パッケージ型:セキュリティリスク 低ベンダーが独自開発したCMSを自社サーバーにインストールして利用する。ソースが非公開であり、セキュリティ対策もベンダーが対応するため比較的安全性が高い。自社サーバーをもつ中規模以上のサイト向けが主流。クラウド型(SaaS型):セキュリティリスク 低ベンダーが独自開発したCMSをインターネット経由で利用する。パッケージ型と同様に、ソースが非公開でベンターがセキュリティを担当するため比較的安全性が高い。サーバー不要のため個人や小規模企業でも運用しやすい。使い勝手の良いオープンソース型を利用する場合は、しっかりとしたセキュリティ対策が必須と覚えておきましょう。さらにくわしく知りたい方はこちらの記事をご覧ください。 CMSのセキュリティリスク|種類ごとの危険性・対策を紹介2.代表的なCMS製品のセキュリティ比較日本でよく利用される5つのCMS製品のセキュリティリスクを比較してみましょう。CMSの種類セキュリティリスクセキュリティ対応オープンソース型WordPress最も高い自社Drupal高い自社パッケージ型Movable Type低いベンダーMovable Type低いベンダークラウド型MTCMS Cloud低いベンダーWordPress(ワードプレス)WordPressはオープンソース型でプラグインが豊富な上、80%以上のシェア率があるためもっともサイバー攻撃に狙われやすいCMSといわれています。セキュリティ情報も豊富でますが、利用者の自己対応頼りのため脆弱性が出やすいのが特徴です。→WordPressのセキュリティリスクについて詳しくはこちらDrupal(ドゥルーパル/ドルーパル)Drupal もオープンソース型でセキュリティが自己対応のため脆弱になりやすい面があります。日本で知名度が低いこともあり、セキュリティ情報が少なく万全な対策が難しいCMSです。Movable Type(ムーバブル・タイプ)Movable Typeはソース非公開のパッケージ型CMSであり、比較的セキュリティリスクは低いでしょう。純国産でベンダーからのサポートが受けられ、セキュリティ対策やトラブル時の対処も任せられるので安心です。SiteCore(サイトコア)SiteCoreは顧客データの保護に特化したパッケージ型CMSです。ベンダーがセキュリティの対策と対処を担当し、24時間体制でセキュリティ監視・脆弱性の管理・外部侵入テストを行っています。MTCMS Cloudクラウド型CMS のMTCMS Cloudは、プラットフォームであるAmazon Web Serviceの提供元の㈱スカイアークがセキュリティを担当します。専門家に対策を任せられるため安全性は高いでしょう。このようにセキュリティに力を入れているCMSを選ぶことでリスクは下げられますが、知識を身につけて利用者自身で対策をすれば、より安全性は高まります。使い勝手の良さを優先したい場合にも役立つでしょう。次章ではCMSのセキュリティを強化する方法をご紹介します。3.WordPressのセキュリティを強化する方法もっとも利用者が多いWordPressは、もっとも狙われやすいCMSだといわれています。以下の方法でセキュリティを強化しておきましょう。→WordPressのセキュリティ対策について詳しくはこちらプラグインやテーマ、バージョンを最新に保つ古いプログラムやツールでは新たなマルウェアに対応できません。常に最新のバージョンにしておくことがセキュリティ対策の基本です。CMSの自動更新機能を過信せず自らチェックし、確実にアップデートする。不要なテーマやプラグインは削除する。PCも同様にOSやアプリケーションを常に最新バージョンに適用する。利用者が多いWordPressは、プログラムに脆弱性が見つかったその日に攻撃を仕掛ける「ゼロデイ攻撃」が起きた事例もあります。更新通知がきたらすぐに適用しましょう。→セキュリティに強いプラグインの選び方複雑なユーザー名やパスワードに設定する法則性があるユーザー名やパスワードはセキュリティリスクが高いため複雑なものに設定し直します。10桁以上の英数字を組み合わせたものか、自動生成ツールの活用がおすすめです。使用するPCも同様に設定しましょう。セキュリティ対策がしっかりしたサーバーを選ぶレンタルサーバーのセキュリティ対応は提供会社によって大きな差があります。セキュリティ規約をよく確認し、WordPress専用のセキュリティ対策機能があるなど信頼できるサーバーを利用しましょう。サイトをSSL化する「サイトのSSL化」とはデータ通信を暗号化し情報漏洩や改ざんを防ぐ方法です。WordPressの場合はレンタルサーバーにSSL化に対応したプラグインをインストールして利用するのが一般的ですが、サーバーによっては無料提供もあるので活用しましょう。→サイトのSSL化について詳しくはこちらWAFを導入するWAF(ウェブ・アプリケーション・ファイアーウォール)はファイアーウォールでは防ぎきれない攻撃に備えるセキュリティソフトです。顧客情報や金融情報を扱う場合は確実に入れた方がいいでしょう。セキュリティ対策用プラグインを導入するシェア率が高いWordPressにはセキュリティ対策用プラグインがたくさんあります。ログインページ保護に特化したSiteGuard WP Plugin、サイトのSSL化機能があるiThemes Security、スパムメールを防止するAll In One WP Security & Firewallなど、サイトの特性に合わせて導入しましょう。→WordPressのおすすめセキュリティプラグイン設定ファイルへの外部アクセスを防ぐ設定ファイルへの外部アクセスを防ぐのもセキュリティ強化に有効です。以下の設定をしましょう。FTPソフトでファイルの属性(パーミッション)を400にするwp-config.phpと同じディレクトリにある「.htaccess」ファイルにorder allow,deny deny from all」を追記するセキュリティ状況を定期的にチェックするサイバー攻撃の手口は日々巧妙化しており、プログラムの脆弱性が後から見つかることも珍しくありません。WPScans.com、WPdoctorなどの診断サービスや対策用プラグインのWordfence Securityを使って定期的に脆弱性をチェックして対策を見直すことも大切です。4.CMSのセキュリティ強化は保守サービスがおすすめCMSは事業規模や担当者のスキルに適した製品を選ぶ必要もあり、セキュリティばかり重視するわけにはいかないのが現実です。結果的に使い勝手の良いオープンソース型を選ぶ企業も多いでしょう。かといって、専門知識を学びながら自社でCMSのセキュリティ対策をしていくのは大変なことです。そんなときは保守サービスの利用がおすすめ。手ごろな費用でCMSのセキュリティを丸ごと依頼できます。例えば、ECマーケティング株式会社の「WordPress丸ごとお任せ(保守)サービス」では月額3万円から以下のようなサービスが受けられます。独自のAIを用いたセキュリティチェック脆弱性のチェック~更新まで半自動化WAFと不正アクセス検知による高いセキュリティ対策充実した監視体制による安定稼働その他、定期的なバックアップや改ざんチェック、トラブル時のデータの復元まで経験豊かなエンジニアが対応してくれるので安心です。ECマーケティング株式会社「WordPress丸ごとお任せ(保守)サービス」WordPressのほか、どんなCMSにも柔軟に対応しておりますので詳しくはお問い合わせください。CMSを選ぶ際に使いやすさや機能はとても大切です。不安なセキュリティを外部に任せられれば、本当に欲しいCMSを選べるようになるでしょう。5.まとめCMSにはオープンソース型、パッケージ型、クラウド型の3種類があり、ソースが公開されているオープンソース型はセキュリティリスクが特に高いといわれています。中でも、圧倒的なシェアをもつWordPressはサーバー攻撃の標的にされやすいため利用者自身がセキュリティ強化に積極的に取り組まなくてはいけません。WordPressのセキュリティを強化するには、プラグインやOSの更新、サイトのSSL化、WAFの導入など様々な方法がありますが、専門知識を持った保守サービスを利用するのが安心です。セキュリティを保守サービスに委ねることで、CMSの選択肢の幅も広がります。ぜひ検討してみてはいかがでしょうか?
  • 分かりやすく解説!DoS攻撃とDDoS攻撃の違い

    2024.02.20 WEB制作

    DoS攻撃とDDoS攻撃の違いとは?手法や対処法まで分かりやすく解説!
    「大量のデータ送信を受けてサーバがダウンした!」これはDoS攻撃またはDDoS攻撃を受けた時の症状ですが、この2つに違いはあるのでしょうか?実は、サーバに負荷を与えて妨害する点は同じですが、対応の難しさや被害規模には大きな違いがあります。対処する際はDoS攻撃とDDoS攻撃を見極めることが大切です。この記事ではDoS攻撃とDDoS攻撃の違いや特徴、代表的な手法を解説しながら、それぞれの対処法にも触れていきます。1.DoS攻撃とDDoS攻撃の違いは「攻撃元のパソコン数」サイバー攻撃を受けたときは「攻撃の種類の見極め」が最適な対処につながります。DoS攻撃とDDoS攻撃は、どちらもサーバに大量の不可を与えて正常な稼働を妨害するサイバー攻撃です。ただし、攻撃元のパソコン台数が違うため被害規模や対処法が変わってきます。DoS攻撃は攻撃者本人の1台のパソコンが発信元ですが、DDoS攻撃は不正アクセスで支配下におかれた複数のパソコンから攻撃されます。1台のIPアドレスを特定すればいいDoS攻撃にくらべ、不特定多数の端末を利用するDDoS攻撃は相手の特定や対処が難しく、下記のような障害の規模や損失も大きくなるのが特徴です。DoS攻撃やDDoS攻撃による被害・Webサイトやサービスの停止、メールの停止による機会損失や賠償の発生・サーバの大量処理による利用料金の増大・攻撃に紛れたマルウェアへの感染・社会的信頼の失墜 など次章からDoS攻撃とDDoS攻撃の特徴をくわしく解説していきます。2.DoS攻撃の特徴と手法まずは、DoS攻撃の特徴と代表的な手法からご紹介します。DoS攻撃とはDoS(Denial Of Service)攻撃とは1台のパソコンから標的のサーバに多数の要求を送信して負荷をかけ、システムダウンを強いるサイバー攻撃です。サーバは大量の情報処理にリソースを割かなければならず、運用しているWebサイトやサービスに障害が発生します。一般的なDoS攻撃のほとんどはデータ盗難や乗っ取りなどのプログラムは含まれておらず、攻撃者に利益はありません。いたずらや嫌がらせの要素が強いサイバー攻撃といえるでしょう。DoS攻撃の代表的な手法メールボム攻撃一度に大量のメールを送り続け、メールサーバのパンクを狙う攻撃。メールの送受信ができなくなる。●F5攻撃キーボードの「F5」(再読み込みキー)の入力を繰り返させてサーバに負荷を与える。3.DDoS攻撃の特徴と手法つぎにDDoS攻撃の特徴と代表的な手法をみてきましょう。DDoS攻撃とはDDoS攻撃とは「Distributed(分散型) Denial Of Service」の略称で、マルウェアで支配下においた複数のパソコンを使って大規模なDoS攻撃を仕掛ける手口です。「踏み台」とも呼ばれる攻撃用パソコンは犯人との関連性がなく、IPアドレスの特定やブロックが困難なため対応に時間がかかります。最近ではネットワークカメラやルーターなどのIoT機器が踏み台にされるケースも多く、より特定が難しくなっています。DDoS攻撃は被害規模が大きい上、不正アクセスやマルウェア攻撃の窓口としても利用されるため慎重な対処が必要です。DDoS攻撃の代表的な手法SYNフラッド攻撃支配下にある複数のパソコンからSYNパケット(接続要求)を大量に送る手法。システム障害に乗じて不正アクセスを仕掛ける。その他の攻撃SYNフラッド攻撃と同様の手口でFINパケット(切断要求)、ACKパケット、UDPフラッドを利用した攻撃もある。4.DoS攻撃とDDoS攻撃は対処法にも違いがあるDoS攻撃とDDoS攻撃は対処法にも違いがあります。DoS攻撃の対処法は相手のIPアドレスを特定し、サーバのIPアドレス制限機能でアクセスを遮断します。攻撃元の端末が1台のため、知識さえあれば特定もそれほど大変ではありません。一方で、複数の端末から攻撃してくるDDoS攻撃はすべてのIPアドレスの特定と制限は難しいのが現実です。各手法に対応したファイアウォールやIPS、DDoS攻撃対策ツールなどでの対処になるでしょう。ただし、どちらも専門知識がない場合や大規模攻撃になった場合は自社での対処は困難です。被害が大きくなる前に保守サービスへの依頼を検討しましょう。保守サービスでは現在の攻撃への的確な対処はもちろん、DoS攻撃やDDoS攻撃以外のサイバー攻撃も含めた対策や定期的な脆弱性チェックなど、Webサイト全体の保守を強化できます。最近では自社のWebサイトに遠隔操作系のマルウェアを仕掛けられ、閲覧者の端末がDDoS攻撃に使われたという事例も増えています。自社の信頼や大切なユーザーを守るためにもDoS攻撃やDDoS攻撃をきっかけに、全体の保守を見直すことが重要です。5.まとめDoS攻撃とDDoS攻撃の大きな違いは攻撃に使われるパソコンの台数です。DoS攻撃では1台、DDoS攻撃では複数のパソコンが使用されます。また、DoS攻撃はいたずら要素が強く、DDoS攻撃はさらなるサイバー攻撃の窓口にされやすいといった特徴があります。対処法としては、DoS攻撃にはIPアドレスの特定とアクセス制限が有効ですが、複数の端末が利用されるDDoS攻撃は同様の対処は困難です。使われた手法に対応できる、より専門的な方法が求められます。知識に不安がある場合や被害を最小限に抑えたい場合は、専門知識をもった保守サービスに依頼しましょう。攻撃の対処はもちろん、今後の対策においても大きな助けになるはずです。
  • もし不正アクセスされたら?

    2024.02.20 WEB制作

    【企業向け】不正アクセスされたらどうすべき?対処法をくわしく解説
    サイバー攻撃はもう日常です。「不正アクセスされたら、どうするか?」は、すべての企業がすべての従業員に伝えるべき最優先事項ともいえるでしょう。不正アクセスは「権限を持たない人間がシステム内部に入り込んだ」ということ。情報の盗難や改ざん、マルウェア感染、システムの異常がいつ起こってもおかしくない状態です。気が付いた本人がすぐに正しく動かなければ、大きな損害につながります。この記事では、不正アクセスされたときの対処法をくわしく解説します。落ち着いて確実に対処できるように手順を頭に入れておきましょう。1.不正アクセスされたときの対応手順まずは、すぐにネットワークから遮断しましょう。不正アクセスは「アクセス権限のない人間がシステム内部にいる」状態です。データの盗難や改ざん、マルウェアの感染と拡大、システムの停止など大きな被害を防止するために端末の隔離を優先します。被害を最小限に抑えるには不正アクセスに気づいた時点で、すばやく正しい手順で対処することが大切です。「①遮断、②パスワード変更、③報告」は特に迅速に行いましょう。不正アクセスされたときの手順サーバや端末をネットワークから遮断パスワードを変更する関係者や上司、セキュリティ担当に報告原因を調べる(マルウェア感染・情報漏洩など)被害状況を調べ・証拠を保存する復旧作業を行う警察へ連絡する再発を防ぐ対策をするこれらの手順について、次章からより詳しく解説していきます。2.不正アクセスされたら「被害の拡大防止」が最優先不正アクセスを発見して最初に考えるべきことは「被害の拡大防止」です。下記の手順を何よりも優先しましょう。サーバや端末をネットワークから遮断すぐにサーバや端末をネットワークから遮断します。「不正アクセス」と確定していない時点でも動きましょう。もし拡散型のマルウェアで攻撃されていたら、ネットワーク全体が被害を受けることになります。パスワード変更現在のパスワードは入手されている可能性が高く、攻撃者にパスワードを変更されてしまうと、こちらがログインできなくなります。早急に分かりにくいパスワードに変更しましょう。不正アクセスの報告ネットワークからの遮断とパスワードの変更が済んだら、感染拡大防止と対処のため関係各所へ連絡します。職場によって違いはありますが、企業端末の場合は下記3か所への報告が一般的です。上司同じネットワークを使用している全スタッフセキュリティ担当3.次に不正アクセスされた原因と被害を調べる端末の隔離や報告が終わったら、原因と被害状況を調べます。不正アクセスの原因を調べる不正アクセスの原因はこのような方法で調べます。不審なファイルやサイトの開封履歴はないか通信履歴のあるサイトやメール相手にも被害がでていないかセキュリティ上の脆弱性(古いOSやアプリなど)がないかIDやパスワードが漏洩する機会がなかったか(人的要素も含める)ウイルススキャンでマルウェアを検出する※※ウイルススキャンでの確認はマルウェアの種類やソフトウェアの性能によっては検出できない場合もあるので注意しましょう。被害状況を調べる覚えのないパスワード変更通知やパソコンの動作異常などで不正アクセスに気づくケースが多いようですが、その他の被害も潜んでいる可能性が高いので注意深く調べましょう。企業でよくある被害は以下の通りです。Webサイトの改ざん(マルウェアの感染経路にされる)データの改ざん・破壊・流出データ破壊による身代金要求(ランサムウェア)個人情報・機密情報の漏洩遠隔操作による不正送金企業アカウント盗難による「なりすまし被害」 など通報のために証拠を保存する不正アクセスは「不正アクセス禁止法違反」にあたる犯罪です。各都道府県の警察に設置されたサイバー犯罪相談窓口への届け出が必要となります。証拠保存のためサーバログのバックアップをとりましょう。警察のサイバー犯罪相談窓口は不正アクセスの対処や復旧の相談にものってくれます。4.不正アクセスの復旧と防止対策は専門家へ不正アクセスが日常的に増えているとはいえ、オフラインにした後の対応は自分では難しいと感じる方も多いでしょう。不正アクセスの被害の確認はデータの異常有無やメールの送受信点検など多岐にわたり、「マルウェア感染があった」ともなれば駆除や復旧にさらなる専門知識が必要です。また、復旧後は再発防止のために脆弱性を見直し、新たな対策をたてなければなりません。社内にセキュリティ部門がない場合は、外部の保守サービスの利用がおすすめです。月3万円程度の費用で不正アクセスの被害検証からサイトの死活監視、今後のセキュリティ対策まで丸ごと任せられます。オプションで障害発生時の復旧まで受けられる手厚いサービスもあります。日々手口が巧妙化している不正アクセスに、通常業務をこなしながら万全の対策をするのは難しいものです。専門家の手を借りることも視野に入れましょう。5.まとめ不正アクセスをされたら、まずネットワークから遮断しましょう。乗っ取りやマルウェアの被害拡大を防ぐために「遮断→パスワード変更→報告」の手順で対処することが大切です。それらが済んだら、落ち着いて原因の究明や被害状況の把握を行います。セキュリティ対策ソフトウェアでのマルウェア検出や人的要因の可能性までしっかりと調べ、警察へ届け出るときの証拠としてログの記録もとっておきましょう。これらの不正アクセスへの対応は専門知識がないと難しい場合もあります。不安がある場合は保守サービスの利用も検討しましょう。対処復旧から今後の対策まで、かなり頼りになるはずです。
  • CMSセキュリティリスク

    2024.02.16 WEB制作

    CMSのセキュリティリスク|種類ごとの危険性・対策を紹介
    CMSはContents Management Systemの略。Webサイトの更新と管理を助けてくれるシステムのことです。代表的な例としてWordPressをご存知の方も多いのではないでしょうか。基本的にインターネットを通じて利用するシステムなので、サイバー攻撃や内部の情報漏えいなどのセキュリティリスクにさらされることもあります。CMSでも種類によって生じやすいリスクや対策が若干変わってきますので、しっかり把握しておくことが大切です。この記事ではCMSのセキュリティリスクについて、種類ごとに分かりやすく解説します。1.CMSは種類によってセキュリティリスクが異なる?CMSは日本語で言うと「コンテンツ管理システム」の略称です。CSSやHTMLへの専門知識が必要なサイト制作を管理システム内で簡単に行えることから、現在ではサイト作りのために多くの人が導入しています。しかし、運用者の中にはセキュリティリスクに無知な人もおり、サイバー攻撃の被害に遭うケースも少なくありません。企業のサイト運用でありがちなのは、担当者が売上アップを狙えるコンテンツ(記事など)の制作にリソースを割きすぎて保守に手が回っていないパターン。特にWordPressなどのオープンソース型CMSでは自主的なセキュリティ管理が肝要です。>>>WordPressのセキュリティリスクについてはこちらから<<<CMSの種類・メリットとデメリット種類メリットデメリットオープンソース型カスタマイズ性が高い自主的なセキュリティ対策が必要パッケージ型ベンダーによる安全対策が整っている自主サーバーの整備が必要クラウド型サーバーがなくても安価or無料カスタマイズ性が低いCMSは大きく分けてこの3種類。それぞれの特徴について詳しくは後述しますが、最もシェアが大きいのは無料で誰でも使えてカスタマイズもしやすいオープンソース型のCMSです。2.オープンソース型CMSのセキュリティリスクオープンソース型CMSにもさまざまな種類がありますが、その中でも一番多くの人に使われているのはWordPressです。W3Techsのデータ※によれば、CMSで制作したサイトのうち62.8%はWordPressを使っているそうです。シェアが大きい上、以下のような問題点があるためセキュリティリスクは比較的高いと言えます。もちろん安全に利用しているユーザーもたくさんいますし、必ずしも危険というわけではありません。WordPress向けの保守サービスを提供している会社としては、セキュリティ対策を認識せず脆弱性を突かれて攻撃を受けるWebサイトが多いことは非常にもったいなく思います。「サイトを作ったら終わり」ではなく、以下のようなセキュリティリスクを踏まえたうえで一定の対策を講じる必要があることは認識しておきましょう。コードが公開されているオープンソース型CMSの特徴はカスタマイズ性の高さです。Webサイトを構築するためのコード(具の中身)は基本的にどのサイトも同じで誰にでも見られる状態になっています。攻撃者から見ると脆弱性を突きやすい状況だと言えるでしょう。プラグイン・モジュールなどから侵入されやすいオープンソース型CMSはあらかじめサイトを作るための基本的な機能を搭載した状態で誰でもダウンロードできるよう公開されていますが、便利に使うためにはカスタマイズが必要になります。オープンソース型では、追加で機能が必要になった時のために拡張機能が使えるようになっていることがほとんどです。ツールによってプラグイン・モジュールなどさまざまな言い方はありますが、「誰でも作れる」「他の人とも共有できる」拡張機能であることは共通しています。拡張機能はCMSの開発者でなくとも自由に作ることができますし、中には作るだけ作って更新を放置してしまう人もいます。オープンソース型の場合、こういったプラグインやモジュールの脆弱性から攻撃を受けるリスクがあるのです。対策を十分にしていない人が多いオープンソース型CMSのサイトで被害を受ける人が多い一番の理由は、シェアの大きさと参入のハードルの低さゆえに対策のやり方を分かっていない初心者でも簡単に導入できてしまうためです。特にWordPressは対策の浅さが原因でセキュリティが甘い状態になっているサイトが多く見られるので、「狙われやすい」と言われがちです。実際、バージョンの管理をしていないようなサイトがどんどん標的になっています。>>>WordPressの脆弱性事例<<<3.パッケージ型・クラウド型(SaaS型)CMSのセキュリティリスクパッケージ型、クラウド型のCMSはオープンソース型CMSと違い、制作と管理を担う企業(ベンダー)が存在します。そのため、基本的には自社でセキュリティ対策に割くリソースは少なくなるでしょう。その分カスタマイズ性が下がり、高度な拡張機能の搭載には比較的高額なオプション代が必要になります。パッケージ型CMSの特徴ベンダーが独自に開発したCMSライセンスを購入し、自社サーバーにインストールするタイプのCMSです。オープンソース型はフォーム機能やデザインのカスタマイズなどの基本要素を拡張機能によって補う必要がありますが、パッケージ型の場合はあらかじめ必要な機能が搭載されています。CMSをインストールするサーバーを運用側で調達・管理することが前提になっているので、サーバーを自社で用意できる中~大規模サイトに利用されることが多いのが特徴です。クラウド型(SaaS型)CMSの特徴ベンダーが制作したCMSをインターネット(ブラウザ)経由で利用できるのが特徴です。パッケージ型と違って自前でサーバーを用意する必要がないので、小規模なサイトや個人ブログ運用にも手軽に利用できます。ただし、カスタマイズの自由度はかなり下がることには注意が必要です。代表的なクラウド型CMSといえば、「WordPress.com」。初心者には混同されがちですが、「.com」の方はWordPressと同じ開発者がオープンソース型のWordPressをクラウドで使える形にしたサービスです。オープンソース型CMSとの違い、セキュリティリスクパッケージ型CMSもクラウド型CMSもベンダーが提供するシステムを利用するという点が共通しています。オープンソースと比較すると自由度が低くなる分、比較的セキュリティリスクは低いと言えるでしょう。ただし、セキュリティリスクがゼロになるわけではありません。パッケージ型はサーバー等への不正アクセスの対策やアップデートなどのメンテナンスは自社で行う必要があります。クラウド型は自社サーバーがなくても利用できますが、サービスを提供しているベンダーのセキュリティ対策や有事のサポート制度によるところが大きいのがセキュリティ的なデメリットになりうるでしょう。サイト制作が終わった後にCMSを乗り換えるのは至難の業なので、これからサイトを作る方は熟慮して利用するCMSを決めるべきでしょう。4.CMSのセキュリティリスクを回避する対策CMSはインターネットを通じてサイト制作を管理するシステムなので、利用するうえではどうしてもセキュリティリスクが生じてしまいます。では、どんな方法を取ればリスクを回避できるのでしょうか。自社に合ったタイプのCMSを取り入れるどのタイプのCMSも一長一短。「これを選んだら安全」ということもないので、作りたいサイトの形式や制作環境に応じて使い分けるのが大切です。それぞれのCMSの特徴を把握して、自社の求めるコンテンツに沿ったものを取り入れましょう。セキュリティ対策ソフトを導入する特に自分で環境を整えなければならないオープンソース型では、WAFやファイアウォールを設置して自分の身を守ることが重要です。例えばWordPressにはWAFをサイトのシステムに組み込めるプラグインなどもあるので、利用する場合は導入しておいた方がいいでしょう。(セキュリティ対策のプラグインについては「WordPressの安全を守る!セキュリティ対策プラグイン7選」で詳しく解説しています。)脆弱性情報を収集する脆弱性情報の収集も非常に重要です。特にオープンソースCMSの運用者は誰かが定期的にチェックしておくことをおすすめします。システム内の脆弱性は時間が経ってから見つかることもあるので、更新される情報についていかなければどんどん穴のあるサイトになっていってしまいます。セキュリティ対策をして終わりではなく、日々移り変わる情報を集めて対策することが大切です。アップデートを管理するアップデート(バージョンアップ)は新しい機能の追加のほか、セキュリティの脆弱性を修正する目的で実施されることも多々あります。そのため、アップデート情報が出たら可能な限り早く実装するようにしましょう。特にオープンソース型ではアップデート後に拡張機能との互換性の問題で表示崩れなどが発生するケースがかなりの確率(弊社エンジニアの体感だとメジャーアップデート時は40%くらい)で起こります。「サイトの表示を保ちたいから」という理由でバージョンをそのままにしてしまう事例が散見されますが、しっかり管理されていないサイトはサイバー攻撃を受けるリスクを増大させてしまいます。表示崩れ等が起こるのはある程度仕方のない現象ですので、放置せずしっかり対応するのが重要です。自社のリソースでアップデートの管理が難しいようなら、保守サービスの利用も検討してみましょう。定期的にサイトのセキュリティ診断を行うどんな形式のサイトでも、脆弱性診断を行うことでセキュリティの課題点を洗い出して改善することができます。また検索流入を増やしてコンバージョンを上げるには、表示スピードの改善などの対策も必要です。セキュリティ保守と並行してSEOの内部対策を行うのもおすすめです。5.まとめCMSにはオープンソース型パッケージ型クラウド型(SaaS型)の3種類があります。特にシェアの大きいオープンソース型はカスタマイズ性が高い分、対策を怠るとセキュリティリスクが高まります。しかし、どんなCMSであっても基本的なセキュリティ対策は非常に大切です。もし自社サイトのセキュリティへの対策が十分でないとお考えでしたら、保守サービスの利用をおすすめします。当社のサービスでは、WordPressはもちろんご相談次第で他のCMSの保守も代行できます。「自社のCMSに対応してくれるか知りたい」という方はまずお問い合わせください。当社の専門家が丁寧にヒアリングいたします。→WordPressサイトの無料セキュリティ診断はこちら※W3Techs+「Usage statistics of content management systems」
  • WordPressは狙われる?仕組みを解説

    2024.02.13 WEB制作

    WordPressが狙われるのはなぜ?仕組みを分かりやすく解説します
    「WordPressはセキュリティ的に危ない」「やめとけ」という言説はたびたび流布します。WordPressの保守運用サービスを提供する会社として本当のところは違うと考えていますが、実際のところWordPressがサイバー攻撃の標的になることが多いことは事実です。しかし仕組みを理解してどのような面に危険性が潜んでいるか知って対策できていれば、リスクをかなり低減させることができます。なぜ「狙われやすい」と言われるのか仕組みの側面から分かりやすく解説しますので、WordPressの安全性に不安がある方はぜひ参考にしてください。1.WordPressは狙われやすくて危険なのか?冒頭でも述べましたが、結論から言って「WordPressばかり狙われる」「危険だからやめるべき」というわけではありません。誰が作ったどんなツールにも弱点が存在します。攻撃を避けるために自分でコードを書いてサイトを作ったとしても、脆弱性のリスクがゼロになることは実質不可能です。しかしWordPressは構築の自由度が非常に高いため、その分リスクヘッジを自分たちでやらなければならないのも確かでしょう。サイバー攻撃の標的にならないよう、対策をしっかり行うことはとても重要です。→対策はこちら2.WordPressが狙われやすいのはなぜか?理由5選WordPressが狙われやすいと言われる原因は何でしょうか?簡単に説明すると「よく知らずに使っている人が多いから」です。具体的には、大きく分けて5つの要因があると考えています。無料ゆえにシェアが大きいW3Techsのデータ※によればWordPressの市場シェアは約62.8%。類を見ないほどシェアが大きいCMSです。利用者が多い端的な理由の一つは「無料だから」でしょう。サイトの構築にはサーバーやドメインが必要ですが、裏を返せばそれ以外の部分にはほとんどお金がかかりません。カスタマイズに必要なプラグインやテーマも無料のものがたくさんあるので、CMSの中では参入障壁がとても低いと言えるでしょう。利用者の多さゆえ、必然的に攻撃に遭うサイトのCMSを調べるとWordPressである可能性も高くなります。単純ですが、これが被害を受ける人が多いと言われる要因の一つです。更新せず放置している人が多いサイバー攻撃のターゲットにしやすいのは「セキュリティについて知らない人」です。そしてアップデート(バージョンアップ)の放置はセキュリティに無知であることを最も分かりやすく示す証拠になります。まずはWordPressの仕組みから考えてみましょう。アップデートには脆弱性を修正するという大切な役割もありますが、オープンソースという性質上強制的に適用されることはありません。バージョンの更新はあくまで自己意思によって行わなければならないということです。マーケティング担当者がSEO対策やコンテンツ作成業務の一環でWordPressを使用している企業はかなり多いはずです。本来サイトの運用担当はシステムの更新・管理を担うはずですが、マーケティング担当者の最終ミッションは集客効果・売上効果アップなので、直接利益につながらない保守業務を怠りがちになります。したがって、何らかのエラーや表示崩れが起きるまで更新・管理を放置してしまう担当者が多いのが現実です。セキュリティリスクを考えると脆弱性を放置すべきではありませんが、シェアの大きさ故どうしても安全管理の重要性に気付かない運用者が一定数出てきます。そういう意味では、攻撃者から見たWordPressはネギをしょったカモがたくさんいる状態に近いのかもしれません。プラグイン・テーマに脆弱性があるWordPress本体(コア)は脆弱性が見つかってもすぐに修正されるため、2017年以降大規模なサイバー攻撃は起こっていません。しかしプラグインやテーマなどの拡張機能は誰でも作れるので、深刻な脆弱性が元から存在するパターンや後から見つかった問題を放置してしまうパターンも多いです。テーマとプラグインに生じる脆弱性は攻撃者に狙われやすい一因を作っていると言えるでしょう。プログラムの仕組みが分かりやすいWordPressはオープンソースのCMSです。「オープンソース」とはプログラムのソースを公開しているという意味であり、プログラムの設計が誰でも見られる・編集できる状態にあることが特徴です。WordPressが人気なのは管理のしやすさを優先して内部ファイルの設計を簡単にカスタマイズできる仕様にしているからですが、それゆえ攻撃者側から見ても脆弱性を突きやすいという代償を生み出しています。初期設定ではログイン画面のセキュリティが甘いWordPressは初期設定のままだとURLアドレス・ログインID・パスワードの3つを揃えるだけで誰でもログインできてしまいます。管理者権限を持つユーザーの管理画面に入ることさえできれば、内部の情報を入手するのは簡単です。サイトの改ざん、コンテンツの消去などはもちろん、サイトのシステム内部を経由して他のデバイスから情報を抜き取られてしまうかもしれません。3.WordPressの仕組み・狙われるポイントWordPressは動的CMSと呼ばれる区分のツールなので、運用者がCMSのインターフェイス(管理画面)から画像やテキストなどのコンテンツを入れることができます。管理画面からプラグイン、テーマの変更することで簡単にデザインや内部の設定をサイト上に反映できるので、初心者でも簡単にページをカスタマイズできるのも特徴です。そのため、CMSのデータベースを直接編集する知識がないまま運用しているケースも少なくありません。知識のなさを狙ってハッカーが攻撃を仕掛けてくるのです。セキュリティ保全を怠った場合、自社サイトが攻撃の対象になっても気が付かない可能性があるのも恐ろしいところです。4.今すぐできる!WordPressのセキュリティ対策誤解のないよう何度も言いますが、「WordPressだから狙われやすい」ということはありません。セキュリティに予算を割き、安全にサイトを運用している企業もたくさんあります。ご自身が運営しているWordPressのサイトにセキュリティ的な懸念があるようでしたら、まずは以下の対策がきちんとできているか確かめてみましょう。プラグイン・テーマを管理するプラグイン・テーマの放置はサイトに脆弱性をもたらす一番の原因です。入れたら終わりではなく、管理する必要があることを忘れないでください。具体的には以下の項目を実行できるとよいでしょう。●使わないものは削除保守の対象となるサイトの中には使っていないプラグインを「無効化」のまま放置しているパターンが散見されますが、無効化にしたプラグインからも脆弱性をかいくぐられる可能性は十分あります。使わないことが分かったら削除するようにしてください。●長期間更新されていないものは使わないWordPressのテーマやプラグインはバージョンアップに合わせたり、発見された脆弱性を修正したりするために定期的な更新が必要になります。しかし、もちろん義務ではないので中には長期間更新されていないものもたくさんあります。おすすめ記事などで過去に紹介された有名なプラグインであっても、1年以上更新されていなければ使わないようにしましょう。●セキュリティ系のプラグインを入れる先述したように、初期設定の管理画面は不正アクセスを受ける可能性が高まります。その他にもWAFの設置などセキュリティ強化の機能が入ったプラグインの導入は必須です。>>>おすすめセキュリティ対策プラグイン記事はこちらから<<<常に最新バージョンを保つWordPress本体(コア)もプラグイン・テーマも、アップデートがあればできるだけ早くインストールするよう心がけましょう。たまに「表示崩れするから」などの理由でアップデートを放置してしまう運用者も見受けられますが、もし自分で管理が難しいなら外注での保守も検討すべきです。>>>自社サイトの更新を代行!保守サービスについて詳しく知る<<<ID・パスワードを管理する生年月日、1234など推測されやすい文字列を使ったパスワードは危険です。また、ログインのためのIDをドメイン名にしているのも危険なのでやめた方が良いでしょう。従業員のパスワード管理基準を明確にするために、規定を明文化したパスワードルールを作るのも一つの手です。セキュリティ診断をするセキュリティ診断を行うと、サイトに隠れた脆弱性を簡単に見つけることができます。特に初心者の運用はセキュリティリスクを見落としていることが多いため、企業サイトを安全に保守したい場合は定期的にプロに問題点がないか見てもらった方が安心です。>>>無料セキュリティ診断はこちらから<<<5.まとめWordPressが狙われやすいと言われる理由は、端的に説明すると「セキュリティについて知らずに運用している人がたくさんいるから」です。セキュリティ対策をしっかり行い、自分の身は自分で守る体制ができていればリスクが高すぎるということはありません。裏を返せば、セキュリティに予算を割かない企業はWordPressの運用には向いていないと言えるでしょう。「自社で運用しているWordPressサイトのセキュリティに不安がある」という方は、今からでも保守管理を行うことをおすすめします。※W3Techs+「Usage statistics of content management systems」
  • WordPress セキュリティ対策 プラグイン

    2024.02.13 WEB制作

    WordPressの安全を守る!セキュリティ対策プラグイン7選
    WordPressを安全に運用するにはさまざまな面でのセキュリティ対策が不可欠です。しかしサイト運用の初心者にとっては難しい対策方法もあり、どうすればいいか分からないと悩んでいるWEB担当者は多いのではないでしょうか。「何の対策もできていない」とお思いでしたら、まずWordPressの拡張機能であるプラグインを利用して基本的なセキュリティを整備しましょう。1.セキュリティ対策プラグインは必要不可欠WordPressは何の対策もしていない初期設定だとセキュリティが十分とは言えません。例えば、WordPressの管理画面へのURLは初期設定だとサイトのドメインから簡単に推測できる仕様になっています。ログインページから不正アクセスを試みるサイバー攻撃(ブルートフォース攻撃など)は管理画面に入らなければ実行できないため、ログインURLを変更することが一定のセキュリティ保護につながるでしょう。サイバー攻撃についての詳細は「サイバー攻撃の種類をカテゴリごとに分かりやすく解説!」でもご紹介しています。興味があればぜひこちらもご覧ください。ログイン画面のカスタマイズは内部のファイル(.htaccess)を編集することでも可能になりますが、知識のない人がコードを直接いじるのはおすすめできません。WordPressはプラグインの導入であらゆる機能を強化できるのが利点でもあるので、どんどん入れて使いましょう。(ただし入れすぎは脆弱性を生む要因になりますし、サイトの表示スピードが遅くなるリスクもあります。必要ないものは入れないようにすることも重要です。)今回紹介するプラグインだと「SiteGuard WP Plugin」で管理画面をカスタマイズできます。特にセキュリティ関連のプラグインはどんなサイトにも適用できるので、もし入っていないプラグインがあれば導入しておくことをおすすめします。おすすめセキュリティ対策プラグイン一覧おすすめ度プラグイン名主な機能★★★★★SiteGuard管理画面のカスタマイズ★★★★★Wordfenceサイバー攻撃防止★★★★☆BackWPupデータのバックアップ★★★★☆Easy Updates Manager自動更新アシスト★★★★☆Akismetスパムコメント防止★★★☆☆Meta Generator and Version Info Removerバージョン非表示★★★☆☆Two-Factorログイン二段階認証2.【導入必須編】WordPressセキュリティ対策プラグインまずは導入ほぼ必須の基本プラグインをご紹介しましょう。これから挙げるもの以外にも類似するプラグインはいくつかありますが、今回は当社のセキュリティ保守エンジニアが実際に導入しているものをピックアップします。SiteGuard:管理画面のカスタマイズ管理画面をカスタマイズすることができるプラグインです。先述したようにデフォルト設定だとログイン画面から不正アクセスされやすいので、ぜひインストールしておきましょう。●主な機能URL変更管理ページへのアクセス制限画像認証追加ログインアラート(メールでの通知) などWordfence:サイバー攻撃防止セキュリティ全般を保護してくれる便利なプラグイン。セキュリティ機能を提供しているプラグインは多種ありますが、当サイトではWordfenceを使っています。さまざまなセキュリティを一括で実装してくれる上、アップデートも頻繁にあるので安心して使えるプラグインです。●主な機能WAFの設置ファイアウォールの設置マルウェアスキャンログイン二段階認証RECAPTCHA(フォームの不正アクセス防止)侵入アラートテーマ、プラグインの脆弱性監視、通知 など有料版と無料版がありますが、基本的な機能は無料版でも揃っています。3.【導入推奨編】WordPressセキュリティ対策プラグイン導入推奨編のプラグインは利用している機能やサーバーの仕様によっては導入をおすすめしているものです。必要なければ入れなくても問題ない場合もありますが、基本的には入れておいたほうがよいでしょう。当社の保守サービスでは、サイトの状況を見つつ基本的にBackWPupとEasy Updates Managerの導入をおすすめしています。BackWPup:データのバックアップアップデート時の障害やサイバー攻撃の被害にあったときなどには、まず元あったデータを復元する必要があります。レンタルサーバー(ホスティング)と契約している場合は利用しているサービスによってバックアップ機能がついていることもありますが、自社サーバーを使っている場合や契約サーバーにバックアップ機能がない場合は導入必須のプラグインです。Easy Updates Manager:自動更新アシストWordPressの本体(コア)は自動更新設定が可能で、プラグインとテーマも自動更新機能がついているものも多くあります。しかし中には自動更新機能がデフォルトでついていないものもあるので、このプラグインを使って自動更新を管理しておくとよいでしょう。自動更新によってアップデートのし忘れによる脆弱性の発生を防ぐことができます。プラグインの自動更新については「【WordPress担当者必見】プラグインの自動更新機能について!停止方法も解説」もご覧ください。Akismet:スパムコメント防止スパムコメントを自動的にスパムフォルダへ振り分けるプラグイン。ブログやオウンドメディアなどを運用していてコメント欄を実装している場合は導入必須です。コメント欄がない場合は入れなくてもよいでしょう。4.【あったら便利編】WordPressセキュリティ対策プラグインここからはサイトのセキュリティをさらに強化するためにあったら便利なプラグインをご紹介します。先述しましたが、プラグインはたくさん入れすぎるとサイトが重くなってしまう可能性もあります。デメリットも考慮したうえで導入してください。Meta Generator and Version Info Remover:バージョン非表示WordPressのバージョンを外部から非表示にしてくれるプラグイン。バージョンの非表示はプラグインを使わなくてもテーマのファイル(functions.php)の記述を変更すれば比較的簡単に実装できます。しかし、「コードを編集するのは怖い」という人は導入しておくといいかもしれません。ただし24年2月時点で半年間アップデートの通知がないので、これ以上未更新の状態が続くようならインストールはやめておいた方がいいでしょう。導入を検討している方は最新の更新情報を確認してみることをおすすめします。Two-Factor:ログイン二段階認証現在はWordFenceに二段階認証システムが搭載されているため、基本的には必要ないプラグインです。ただし、Wordfenceの二段階認証はアプリを導入しなければならないワンタイムパスワード式で少し手間がかかるので、メール認証、セキュリティキーの認証など違う手段でログインしたい方におすすめです。5.まとめWordPressのセキュリティ対策にはプラグインの導入が欠かせません。管理画面のカスタマイズやWAFを設置できるプラグインをインストールすることで、ある程度のセキュリティを確保することができます。まだ対策がきちんとできていない方は早めに導入しておきましょう。ただし中には機能が被っている場合や、サイトの軽量化などを考えるとプラグインではない方法で実装した方がよい場合もあります。また、「入れたから安全」というわけでもありません。プラグインだけでは回避しきれない攻撃がある点にも注意しましょう。管理が難しいと思うのであれば、サイト保守に代行してもらうのも一つの手です。特に自社サイトの運用に手が回っていないようなら導入を検討してみてください。
  • WordPress エラーの原因 解決方法

    2024.02.13 WEB制作

    【初心者向け】WordPressでエラーが発生する原因と解決方法を解説
    WordPressでエラーが起こってしまい、困った経験はないでしょうか?自社サイトの運用では、特にマーケティングやコンテンツ制作の担当がエラーに遭遇して立ち往生してしまう場面をよく見かけます。WordPressに詳しいシステム担当がいなかったとしても、意外と簡単に解決できることがあります。まずはこの記事で紹介する方法を試してみましょう。この記事で紹介するのはあくまで初心者向けのエラー解決方法です。サイトの構築に深刻な問題がある場合、外部から攻撃を受けた場合などはむやみにサイトを触らず専門家に相談してみましょう。WordPressのサイトにエラーが発生する原因エラーの発生原因は大きく分けて5つ。もし原因が分かっていれば、生じている問題に合わせた解決方法を試してみましょう。もし分からない場合は①から順に確かめてください。また、WordPress側でエラーを検出した場合は管理者宛てにメールが届くかもしれません。まずはメールボックスを確認することをおすすめします。→メールが届いている場合の対処法はこちら①プラグイン、テーマに問題があるWordPressに何らかの異常があるときはまずプラグインとテーマが原因であることを疑ってみましょう。互換性の問題やバージョンが古いなどの理由でエラーが発生している可能性があります。まずは管理画面のプラグイン設定からプラグインを全て無効化し、エラーが解消するか試してみてください。(管理画面に入れない場合はデータベース内の情報を変更することで無効化させるという手段もあります。ファイルの編集ができる方は「wp-content/」>「plugins」のフォルダ名を別の名前に変更してみましょう。)プラグインを無効化によってエラーが解消した場合はいずれかのプラグインに問題があったということになります。テーマの場合は一旦テーマ設定をデフォルトにしてみましょう。それで解決すればテーマがエラーの原因です。→解決方法はこちら②メモリ制限がかかっているWordPressではデータを保存するためにメモリを使用するのですが、サイト規模が大きい場合や複雑なプログラムを実行するとより多くのPHPメモリを消費する場合があります。あらかじめ設定されているメモリ上限を超えると、サイトに紐づいているPHPが操作を実行できずにエラーが発生してしまいます。プラグイン・テーマが原因ではなかった場合はメモリの上限を超えていないか確認してみましょう。WordPressのPHPメモリ上限は、管理画面の「ツール」>「サイトヘルス」>「情報」>「サーバー」で確認することができます。多くのサーバーのデフォルト設定が256Mなので、それを下回っている場合はPHPメモリ上限がエラーの原因になっているかもしれません。→解決方法はこちら③サーバーにエラーが起こっているWebサーバー内でプログラムが正しく動作しない場合に発生するエラーです。サイトを表示しようとすると500エラーが出てくるようなら一時的な負荷が原因かもしれません。その場合は数分待てば解消されることも多いです。時間をおいても解決しないタイプのエラーは多くの場合ファイル内の記述ミスで発生します。特に「.htaccessファイル」はアクセスの制御ができるファイルなので、入力エラーが発生するとサイトにアクセスできなくなるなどの異変が起こりやすい傾向にあります。→解決方法はこちら④入力するログイン画面のURLを間違えているサイトは正常に表示されるのにログイン画面にエラーが出ている場合は、ログインのURLを間違えている可能性があります。かなり初歩的なことかもしれませんが、管理画面へのログイン設定をいじったときなどは意外とありがちなミスです。心当たりがあれば一度確かめてみるとよいでしょう。→解決方法はこちら⑤サイバー攻撃を受けた可能性を疑う①~④までの原因に当てはまらない場合、サイバー攻撃の影響を受けている可能性も考えられます。不正アクセスを受けてサイトを乗っ取られた不正ログインを試みた攻撃者によって制限がかかったという場合は、初心者では対応しきれないことがほとんどです。むやみにサイトを触るとマルウェアに感染するなど被害が拡大することもあるので、心当たりがあれば自分で解決しようとせず専門家に相談することが重要です。WordPressからメールが届いている場合の解決方法技術的なエラーが発生した旨のメールが管理者宛てに届いた場合は、メールの指示通りリカバリーモードで修復しましょう。リカバリーモードにアクセスできるリンクは有効期限1日しかありません。セッションが切れた後もう一度エラー画面を表示させると再度リカバリーモードのページに入ることができますが、いずれにせよなるべく早急に修復しましょう。原因①「プラグイン・テーマに問題がある」の解決方法その場合は一つずつ有効化していき、都度サイトを更新していってください。有効化してエラーが発生したら、そのプラグインが原因だったということになります。該当プラグインは削除し、代替を探すなどして解決しましょう。カスタマイズしている場合はデータ内の問題を探るか、親テーマそのものに問題があった場合は新しいテーマに変更するしかないでしょう。原因②「メモリ制限がかかっている」の解決方法容量の少ないサーバーを契約している場合はリソースが不足している可能性があるので、ホスティングの場合は契約しているサーバーに問合せてみるとよいでしょう。自分でPHPメモリを増やしたい場合はwp-config.php というファイルを編集すれば上限を増やすことができます。原因③「サーバーにエラーが起こっている」の解決方法サーバー内部のデータ記述に問題がある場合はログを確認したり、データベースを確認・編集したりする必要があるので、初心者が自力で解決を試みるのはおすすめしません。疑わしい事態の場合は専門家に相談すべきでしょう。ただし、レンタルサーバー(ホスティング)の有効期限が切れていたという場合は再更新すればすぐに解消できます。契約しているサーバーを一度確認してみましょう。また、一時的にサーバーがダウンする「500エラー」が頻繁に起こる場合はサーバーのスペックが足りていない可能性があります。スペックの高いサーバーに乗り換える検討をしてください。原因④「入力するログイン画面のURLを間違えている」の解決方法通常、ログイン画面のURLはhttps://ドメイン名/wp-login.phphttps://ドメイン名/サブディレクトリ名/wp-login.phpになっているはずです。タイプミスで入力を間違えるパターンは意外とあるので、入力しているものが間違っていないか確認しましょう。またセキュリティ対策でログイン画面のURLを変更したあと気付かずに前のURLを入力してしまうパターンもたびたび見られます。ログインURLを変えた場合はWordPressからメールが届いているはずなので、一度確かめてみてください。まとめWordPressでエラーが発生した場合は原因に合わせて簡単な対処法から試してみましょう。ただし、「サイバー攻撃を受けた」「復旧が難しい」「原因が分からない」といった場合は初心者では解決が難しいと思いますので、プロによる診断・復旧をおすすめします。当社でもサイト復旧やエラーを未然に防ぐ保守サービスを提供しておりますので、お困りの際はぜひお問い合わせください。
  • 標的型攻撃攻撃とは?手口・対策

    2024.02.08 WEB制作

    標的型攻撃とは?種類や手口、企業が行うべき対策を教えます
    サイバー攻撃の手法は日々複雑化してきており、その中でも標的型攻撃は見分けがつきづらく悪質です。あなたはどんな手段で攻撃者がセキュリティの穴を潜り抜けるか知っていますか?「自分の会社は大丈夫」などと他人事に考えている人も多く、会社組織として対策を講じず担当者の裁量に任せた結果、多額の損害を抱えてしまう事案もたびたび見られます。手口を学んで想定される被害に応じて対策をすれば最悪の事態に及ぶリスクを減らすことができますが、なかなか周知されていないのが現状です。この記事ではサイバー攻撃の一種である「標的型攻撃」について、種類や手口をくわしく解説します。企業が行っておくべき対策もお伝えしますので、ぜひ参考にしてください。1.標的型攻撃とは?|手口と特徴標的型攻撃は特定の組織・個人をターゲットにしてサイバー攻撃を行う手口のこと。無作為にメールを送る「ばらまき型攻撃」と比較すると、攻撃の見分けがつきにくいのが特徴です。>>>サイバー攻撃の種類について詳しくはこちら<<<IPAが2023年に発表した情報セキュリティ10大脅威ランキング※1では、3位に「標的型攻撃による機密情報の窃取」がランクインしていることからも、攻撃としての危険性が分かります。具体的な攻撃の手口メール等を利用し特定組織のPCをウイルスに感染させる組織の機密情報窃取やシステムの破壊を行う などシステムに侵入後すぐに被害をもたらす攻撃以外にも、内部システムに潜入して攻撃の範囲を徐々に広げる「潜伏型」と呼ばれる手法もあります。2.標的型攻撃の種類あらかじめターゲットを定めてからサイバー攻撃を行うことをおおまかに「標的型攻撃」と呼びますが、さらに具体的な攻撃の種類を細かく分けることもできます。メールによる攻撃(標的型攻撃メール・スピアフィッシング)不正な添付ファイルを開かせる不正なウェブサイトへのリンクをクリックさせる など何者かになりすまして標的にメールを送信し、情報の窃取などを行う攻撃を「標的型攻撃メール」「スピアフィッシング」と呼びます。オーストラリアのITセキュリティ企業バラクーダが行った調査※2によれば、およそ75%の企業が過去12ヶ月以内にメール攻撃の被害に遭ったと回答したそうです。そのうち55%が「機器のマルウェア/ウイルスへの感染」、49%が「機器データの盗難(情報漏えい)」の被害に遭ったと答えていることからも、スピアフィッシングの悪質さがうかがえます。→対策はこちらビジネスメール詐欺関連会社やベンダー、内部の従業員などの信頼できそうな人物になりすましてメールを送る攻撃手法を特に「ビジネスメール詐欺」と呼びます。ビジネスメール詐欺の恐ろしいところは実在する組織や人物からメールが送られてくる点です。何の関係もない企業から来たメールは「怪しい」と一目見て判別できますが、実際の取引先の企業の実在する人物から不審なメールが届いたら思わず信用してしまうのではないでしょうか?最近のフィルタリングサービスは不審なサイトのURLやマルウェアを仕込んだファイルが添付されていた場合、ツールが自動でスパム認定する機能がついています。明らかに不審な内容が含まれていればうっかり開かないようフィルタリングで除外できますが、ビジネスメール詐欺の中にはツールによる検知を防ぐために対策されたものもあるのが厄介なポイントです。悪意あるプログラムをあえて含まず、メッセージのやり取りのみで内部情報やアクセス情報を聞き出す手法を「ソーシャルエンジニアリング」と呼びます。ソーシャルエンジニアリング型の攻撃はツールでの察知が非常に難しいため、一人ひとりのリテラシーが重要になってきます。→対策はこちらサイト経由での攻撃(水飲み場攻撃)ターゲットとなる企業や組織をあらかじめ調査し、頻繁に利用するウェブサイトを閲覧するとマルウェアに感染するよう改ざんする手法を「水飲み場攻撃」と呼びます。自社の内部システムを強化している企業であっても、従業員がうっかりリンクを開いてしまうとそこから攻撃が広まってしまうという仕組みです。「いつも開くサイトだから大丈夫」「知っている企業のサイトだから安心」という心理を逆手に取った悪質な攻撃だと言えるでしょう。→対策はこちら不正アクセスによる攻撃サーバーの脆弱性を突いて不正にアクセスし、個人情報を盗んだりする攻撃手法もあります。最初の攻撃で内部システムへの侵入口を発見し、そこからさらに他の端末やサーバーに危害を加えることも。攻撃を受けた際「まずはインターネットから遮断してオフラインの環境にするべき」と言われるのはそのためです。→対策はこちら実際の事例①航空会社大手がビジネスメール詐欺で3.8億円の被害2017年、大手航空会社として知られる日本航空(JAL)がビジネスメール詐欺の被害に遭い、累計3.8億円の被害を受けたことが明らかになりました※3。普段やり取りしている取引先になりすまし、同じ名前とメールアドレスから請求書を送ってきたため詐欺に気が付かず、偽の銀行口座に送金してしまったとのこと。セキュリティ管理が比較的しっかりしている大手企業を巧妙に騙す悪質性の高い事例だと言えるでしょう。実際の事例②:不正アクセスからなりすましの二次被害発生2023年9月、人材採用サービスなどを手掛ける仕事旅行社が内部のサーバーに不正アクセスされるというサイバー攻撃を受けました※4。サービス利用者の個人情報33,670 件が流出した恐れがあるほか、会員の氏名を名乗る人物によって別の人のメールアドレスやオンライン掲示板に「爆破予告」など不安をあおる文言が送信されていたとのこと。窃取した個人情報をもとに別の二次被害が発生していることが分かります。このように一度サイバー攻撃を受けて盗んだ情報を踏み台に別の攻撃を行うパターンもあるので、未然に防ぐための対策だけでなく被害にいち早く気づくシステムづくりも重要です。3.標的型攻撃の対策攻撃手法ごとにとるべき対策は変わってきます。あらゆる可能性に備えておくようにしましょう。メール攻撃への対策スピアフィッシング、ビジネスメール詐欺などのメール攻撃を防ぐには、とにかく「来たメールに触らない」「報告する」ことが一番です。具体的には以下のような対策をとっておくべきでしょう。●社内ルールを徹底する怪しいメールは開かない受信した場合、誤って開いてしまった場合は報告する などどこの誰であってもアドレスさえ分かっていれば誰でもメールを送ることができるのはメリットでもありますが、「悪意ある人物からのメッセージを防ぎきれない」という弱点はどうしてもできてしまいます。まずは社内ルールを決め、リスクの周知と対策方法の共有を行うことが重要です。>>>社内ルールの策定方法について詳しくはこちらから<<<●対策ソフトを導入する社内ルールは重要ですが、攻撃を受けた際の報告と調査には手間と時間がかかります。対策ソフトを導入して「悪意あるものを振り分ける、共有する」作業を自動化することで、コスト・タスク削減にもつながるでしょう。WAF、ファイアウォールなどのセキュリティソフトフィルタリングサービスはメール等の安全性を担保するためにも最低限導入しておきましょう。近年のメールサービスの中には自動でフィッシングメールを振り分ける以上の機能をつけているものもあります。ユーザーが受信したメールを「攻撃」と判断して報告する機能や、不審なURLをクリックしてしまったときなどに自動でアラートを発動させる機能を搭載したフィルタリングサービスを利用すれば、管理の手間とリスクを減らすことができるのでおすすめです。●従業員向けのメール訓練を実施する標的型攻撃を想定してメール訓練を各従業員に送信します。正規のメールと区別がつくか、誤ってURLや添付ファイルを開いていないかなど、従業員のセキュリティ意識を実際にチェックすることができます。サイト攻撃・不正アクセスへの対策サイト攻撃への対策は個人レベル・端末レベルの保守では不十分です。エンジニアによる定期的な管理が前提となっていることは頭に入れておきましょう。●端末・サーバー等のアップデート端末・アプリ・サーバー何であってもアップデートの放置は脆弱性を生みます。「サイトへの不正アクセスを防ぐ」「閲覧者として不審なサイトに入らない」両方への対策としてこまめな更新が必要です。●対策ソフトを導入するサイト経由での攻撃は「運用側」「見る側」両方に被害を生みます。もちろん閲覧するサイトに注意するのも重要ですが、不正アクセスを受けて改ざんされた自社サイトが攻撃者になってしまう、といった被害を生むリスクも避けなければいけません。端末だけでなく、運用しているサイトや接続しているサーバーにも対策ソフトを導入しておきましょう。●アカウント管理を徹底するID・パスワードの使いまわしをしていないか、推測されやすいものをしていないか、など。特に乗っ取りが起きた場合に大きな被害を生む管理者権限アカウントは厳重に管理すべきです。●改ざん検知・監視ツールを入れるサイトが不正ログイン・改ざんされているかどうかは手動で判別するのは困難です。仮に手動で改ざん検知をしていたら余計な時間がかかることは必至でしょう。改ざん検知・死活監視のツールを入れて、異変が起こっていないか常に監視する体制を取るようにしましょう。●定期的なセキュリティ診断を行う上記の項目がきちんと達成されているか、更新された脆弱性に対応できているかは定期的にセキュリティ診断を行わなければ分かりません。「保守管理を外注に任せていたつもりが、脆弱性だらけだったことに攻撃を受けてから気付いた」というのは意外とありがちなパターンです。定期的な診断をするのが一番ですが、全くやっていないという企業は一度セキュリティ診断をしてみましょう。無料セキュリティ診断はこちらから。セキュリティ診断について詳しく知りたい方は「Webサイトのセキュリティ診断は必要?種類や価格の相場、チェック項目を紹介」をご覧ください。4.まとめターゲットをあらかじめ決めてから計画立てて攻撃を行う「標的型攻撃」は非常に悪質で、無差別なばらまき型よりも対策が困難です。しかし、従業員一人ひとりへの教育や強固なシステム構築によってリスクを最小限に抑えることはできます。どのような攻撃があるのか知っておくのも有効な対策です。サーバーやサイトの保守など、エンジニアによるセキュリティ管理が不十分だとお考えでしたら、ぜひ今からでも保守サービスの利用を検討してみてください。※1 IPA+「情報セキュリティ10大脅威2023 組織編」※2 Barracuda+「2023年 スピアフィッシングの動向」※3 日経クロステック+「JALが「信じ込んでしまった」手口とは、振り込め詐欺で3.8億円被害」※4 仕事旅行社+「不正アクセス者による情報の不正利⽤について」
  • あなたの会社は大丈夫?情報セキュリティインシデント

    2024.02.08 WEB制作

    情報セキュリティインシデントとは|企業がとるべき対策・発生時の対応
    企業が抱えるサイバーリスクは日々増加しています。従業員による情報漏えいからマルウェアなどを用いたサイバー攻撃まで、さまざまなインシデント(事故)に備えて対策しなければなりません。情報セキュリティインシデントについて知り、被害を未然に防ぐ対処法を学びましょう。1.情報セキュリティインシデントとは情報セキュリティインシデントとは、会社の情報管理について、重大な被害に進展しうる事故・事件を指します。セキュリティにおける脅威をただ単に「セキュリティインシデント」と呼ぶこともあります。情報セキュリティインシデントの具体例マルウェアに感染させるパソコンやサーバーなどへの不正アクセス従業員による情報漏えい(機密情報の誤公開・不正な情報持ち出しなど)従業員による情報漏えいの場合は悪意のない過失である可能性もありますが、それ以外は基本的にどれもサイバーセキュリティの穴から悪意ある攻撃が原因で発生します。インシデントの規模によっては業務に大きな支障が出ることもありますし、会社の存続を脅かす損害を与える可能性もあるでしょう。例えば不正アクセスを受けて顧客の個人情報を漏えいした場合、訴えられて損害賠償を負うリスクが生じます。情報漏えいのリスクについて、詳しくは「情報漏えいのセキュリティリスクを知っておこう|実際の事例・対策を紹介」で紹介していますのでそちらもご参照ください。[word_balloon id="unset" src="https://www.ecmarketing.co.jp/contents/wp-content/uploads/2024/02/icon_white-1-1.webp" size="M" position="L" radius="true" name="" balloon="talk" balloon_shadow="true"]WEB広告運用担当・ニャーケッターからのひとこと企業間においても、新規取引開始の際にインシデントについて確認される場面はとても増えている。とくにコンペ形式の場合、インシデントに対する管理体制で比較されることも多いから営業的観点でも重要なポイントにゃ。[/word_balloon]2.情報セキュリティインシデントの発生原因情報セキュリティインシデントが起こる原因は大きく分けて2つ。社内に問題があったか外部から攻撃を受けたかに分類されます。それぞれ具体的に何が原因になるのか見ていきましょう。①社内の人員に問題がある(内部要因)社内の人員が不注意によって情報を公開(漏えい)してしまったり、故意に持ち出したりといったインシデントは、従業員のセキュリティ意識が不十分であることが大きな原因となっていることが多いです。情報端末の紛失・盗難なども内部要因のインシデントにあたります。②外部の攻撃を受けた(外部要因)外部から攻撃を受けて情報を窃取されたり、システム障害が起こったりするパターンは外部要因に分類されます。直接的な要因は外部攻撃ですが、社外からの不正な行動を監視・排除できていない社内の体制が要因になっているとも言えるでしょう。3.情報セキュリティインシデントを防ぐ対策IPAが2021年に行った実態調査※1では、「情報セキュリティに関する専門部署(担当者を設置している)」と回答したのは全体のわずか7.7%。半数以上が「組織的には行っていない(各自の対応)」「わからない」と回答しています。つまり、日本の企業はまだまだ「セキュリティを組織的に向上させる」意識が低いということです。個人としての意識は徐々に向上しているものの、企業全体でのアプローチをもっと強めるべきでしょう。ここからは、社内でできる基礎的なセキュリティ対策をご紹介します。社内のデータ・情報を確認する情報漏えいへの対策として内部に保管されているデータや情報を把握し、管理できるような体制を作りましょう。ここでいう「データや情報」はコンピューター内に保管されている情報のことだけではありません。紙媒体やUSBなどに保管されているデータに関しても取り扱いのルールを決めましょう。確認後は重要性を分類し、それに応じた対策基準を決めるのが基本です。クレジットカード情報や宗教・病歴など機密性が高く、漏えいした際のリスクが大きいものは特にしっかりと対策をする必要があります。組織体制を整備する先述したように、セキュリティ部署を設置している企業はまだまだ少ないのが現状です。社内の規模にもよりますが、セキュリティ対策専門の部署を設置できるなら整備を進めた方がよいでしょう。セキュリティ対策に割ける専門のリソースがない場合は外部への委託を検討するのも一つの手です。ネットワークやシステムをすぐに復旧させられる人員・チームの配置は欠かさず行ってください。有事の連絡方法や指揮系統を明文化し、従業員同士で共有するのも大切です。端末やサーバーのセキュリティを高める業務用PC、サーバーで定期的にバックアップを取るセキュリティ対策ソフトを入れるデータの送受信時は暗号化通信を用いる(VPNを使用する)私用の端末で社内のネットワークに接続できないようにするなど、内部のシステムで被害を未然に防ぐ対策を行うことも非常に重要です。また、脆弱性に関する情報を定期的に収集して、セキュリティに新たな穴ができていないかチェックしておくのもよいでしょう。>>>脆弱性対策について詳しくはこちらから<<<4.情報セキュリティインシデントが起こった際の対応実際にインシデントが起こってしまった場合も「発生してからどう動くか」が被害の最小化に大きくかかわってきます。情報漏えいなどが起こってしまったときに求められる対応をあらかじめ知っておくことで、万が一の事態に備えましょう。①インシデントの発見・初動検知ツールや社内外からの通知でインシデントの発生に気付くパターンが多いでしょう。専門知識がない社員は通報があっても不用意に操作しないのが基本です。システム上に残された証拠が消えてしまわないよう注意を払ってください。●セキュリティ担当が行うべき初動対応サイトを閉鎖する端末をネットワークから遮断する(マルウェアの被害に遭っていることが想定される場合)セキュリティ対策機関への情報提供(同様の被害防止)取引先、顧客への情報提供警察への連絡(特に不注意による紛失、盗難の場合は早い方がよい)パスワードの変更、アカウントの停止重要な情報のバックアップ など求められる初動対応は発生したインシデントの種類によっても変わってきます。被害想定のマニュアルを作るのであれば、何種類かパターンを想定しておきましょう。②原因の調査・公表残された記録から被害をなるべく正確に把握します。「誰が」「いつ」「どこで」「何を」「なぜ」「どうしたのか」、この6項目を分析、記録するよう心がけてください。情報漏えいによる被害が大きくなると、別途公表する手続きを取る場合もあります。お知らせ文の作成や法律に照らし合わせた判断が必要になってくるので、公表には外部委託の専門家によるアドバイスを求めるパターンが多いでしょう。公表する場合、一般的には以下のような項目を含みます。インシデント発生の経緯、原因調査方法、システムの状況漏えいした情報の内容当面の対応策再発防止策問い合わせ窓口③システム・端末の復旧インシデントの影響を受けて停止したサービスやアカウントがあれば、復旧作業を行います。サイバー攻撃を受けた場合は特に復旧が困難です。セキュリティ保守の専門家が社内にいなければ、外部に委託することになるでしょう。④再発防止策の決定建物への侵入防止情報の保管・持ち出し方法の見直しウイルス対策製品の導入通信の暗号化やアクセス制御 など原因となった部分を改善する形で再発防止策を決定します。外部に大きな被害が及んでいる場合は再発防止策も公表するのが一般的です。5.まとめ情報セキュリティインシデントへの対策は現代の企業に不可欠です。まずは基本的な対処法を実践し、安全性を高めていきましょう。また、自社サイトの保守運用をしっかりと行うことがインシデント対策のアピールにもなります。サイト運用にはコンバージョンや流入数が重要なのも確かですが、セキュリティに無知なマーケティング担当のみで維持するのはあまりにも危険です。もし自社サイトのセキュリティ管理ができていないようでしたら、保守サービスの利用も検討してみるべきでしょう。万が一サイト経由で攻撃を受けた場合も適切に対応しやすいのもメリットです。※IPA+「2021年度 中小企業における情報セキュリティ対策に関する実態調査」
  • 2024.02.07 WEB制作

    マルウェアに感染した?診断と対処の方法を分かりやすく解説
    マルウェア感染が急拡大している今、少しでも違和感を覚えたらすぐに診断したいですよね。でもまずは、デバイスを「隔離」しましょう。マルウェアを検出している間にも感染は拡大します。隔離後に落ち着いて対処することが何より大切です。この記事では、マルウェア感染の診断方法と感染していた場合の対処手順をご紹介します。あせらずに対処すれば被害を最小限に抑えられるはずです。1.マルウェアは診断前にまず「隔離」と「報告」少しでもマルウェアに感染した可能性があったら、すぐにネットワークから隔離し、上司に報告しましょう。診断前の不確実な段階でも「隔離と報告」を優先し、被害を最小限にすることが重要です。デバイスに以下のような症状がみられたら、マルウェア感染を疑っていいでしょう。マルウェア感染の症状動作の遅延や前触れのないクラッシュ突然のシャットダウンや再起動不自然なバッテリーやメモリの消費エラーメッセージやポップアップの頻発サイトへアクセスできない、無関係なサイトへの移動覚えのない動作や送信がある覚えのないデータの変更や削除がある 見覚えのないファイルやスクリプトがある などこのような症状がでないマルウェアもあるため、当てはまらないからと安心してはいけません。何気ない違和感や同じネットワーク上のデバイスの不具合、不審な共有ファイルなどにも注意しましょう。2.マルウェアの診断方法マルウェア感染が疑われたら、隔離後にセキュリティツールでマルウェアの検知と感染箇所の特定を行います。マルウェアの主な診断方法は以下の4つです。無料セキュリティソフトでのスキャンパソコンに標準搭載されている無料ウイルス対策ソフトのスキャンを行います。Windowsの場合、「Windowsセキュリティ→ウイルス&脅威の保護→スキャン→オフライン スキャンWindows Defender→今すぐスキャン」の流れで実行できます。無料オンラインスキャンを利用するMicrosoftやトレンドマイクロなどPCやソフトウェアのメーカーホームページでは、Windows用マルウェア検知・駆除ツールを無料で提供しています。「無料オンラインスキャン」「無料ウイルススキャン」などで検索してみましょう。有料のセキュリティソフトを購入する無料のスキャンツールは性能が低いためマルウェアの種類によっては検知できない場合があります。確実に診断したいなら有料のセキュリティ対策ソフトの購入がおすすめです。オンラインでも提供されていますが高性能ツールは非常に少なく、新たなマルウェアの感染経路になる悪質なものも存在します。信頼できる店舗で手に入れる方が安全でしょう。保守サービスへ検知を依頼するマルウェアの中には、トロイの木馬やファイルレスマルウェアな検出や駆除が難しいものも増えています。確実に検知・駆除するのであれば保守サービスの利用が効果的です。マルウェアの診断はもちろん、感染対処や復旧、自社の環境に最適な対策まで依頼できるため今後の感染リスクを大幅に下げられるでしょう。3.マルウェア診断後の対処手順マルウェア診断で感染が確定された後は、以下の手順で対処します。【ステップ1】セキュリティツールで駆除する多くのマルウェアはセキュリティツールで検出後、自動駆除できます。しかし、マルウェアの種類によっては必要なプログラムが違うケースがあるので注意しましょう。マルウェアの種類と駆除に必要なセキュリティツールの一例●アドウェアアドウェア駆除機能があるアンチマルウェアプログラムが必要。●ウイルスまたはトロイの木馬ディープスキャンを実行できるウイルス対策プログラムまたはマルウェア対策プログラムが必要。●ワームワームを検出できる強力なアンチマルウェアソフトウェアが必要。マルウェアの種類について詳しく知りたい方は「マルウェアにはどんな種類がある?感染経路や症状、対策を解説」をご覧ください。【ステップ2】残った感染ファイルの駆除・隔離セキュリティツールで自動削除できなかった感染ファイルは、手動で隔離か駆除をします。確実に駆除するは専門知識が必要なため、セキュリティ部門や保守サービスなどに依頼すると安心です。完全に駆除できなかった場合はPCの初期化をすることになります。【ステップ3】マルウェア対策を強化するマルウェアの駆除が完了したら、再び感染しないように対策を強化しましょう。基本的な対策は以下の6つです。OSを常に最新に保つ定期的なウイルススキャン定期的なバックアップとサーバーログの保管社内ルールの見直し、周知と徹底最新セキュリティソフトの導入保守サービスの利用 これらを全社員で実行できるように社内ルールを設けて周知すること、保守サービスなどを活用し、いつでもプロに相談できる体制を整えておくことも重要です。4.マルウェアは診断も対処も保守サービスがおすすめマルウェアにはさまざまな種類があり手口も巧妙化しています。ファイルレスマルウェアやワームのように、一般的なセキュリティソフトでは診断・駆除できないものも多く、専門知識のない人が効果的な対策をとるのは非常に難しくなっています。セキュリティ部門がない場合は、マルウェアの検知や対処は外部の保守サービスの利用も視野に入れるといいでしょう。定期的なマルウェア診断やアップデート、脆弱性のスキャンと改善の他、感染時の対処まで丸ごと任せられます。費用も月額数万円程度からと手ごろなサービスも多いため、被害コストや日頃のマルウェア対策の労力も考慮して前向きに検討してみましょう。5.まとめ「マルウェアに感染したかも」と思ったらまず隔離と報告を行い、それから診断を始めましょう。感染拡大を防止することが何より大切です。マルウェアの診断方法は標準搭載のセキュリティソフトや無料オンラインスキャンを利用する方法もありますが、確実性や性能を考慮すると有料セキュリティソフトの購入や保守サービスへの依頼がおすすめです。マルウェアは種類によって駆除に必要なソフトウェアや手順が異なり、安全に行うには専門知識が必要です。今後の感染リスクを減らすためにも保守サービスの利用を検討してみましょう。
  • 知っておこう マルウェア 種類

    2024.02.07 WEB制作

    マルウェアにはどんな種類がある?感染経路や症状、対策を解説
    「マルウェア」は「悪意のあるソフトウェア(malicious software)」の略称です。ウイルスやワームなど様々なプログラムがあり手口の巧妙化に伴って種類が増え続けています。マルウェアの被害にあわないためには、よく使われるマルウェアの種類や特徴、感染経路を把握することが重要です。今回はいま知っておくべきマルウェアの種類と特徴について解説します。主な感染経路と感染時の症状、効果的な対策をご紹介するのでぜひお役立てください。1.2024年に知っておくべきマルウェアの種類13選2024年に注意すべきマルウェアの種類をご紹介します。特に1~5のウイルス、ワーム、トロイの木馬、ランサムウェア、ファイルレスマルウェアは被害件数が特に多く、内容も悪質なので対策は必須です。マルウェアの種類特徴主な被害1ウイルス感染例が最も多いマルウェア。自己増殖し、他のサイバー攻撃の引き金にもなる感染ファイルの実行によって行動を開始する。データ破壊システム停止情報の盗難 など2ワーム・自己完結型のマルウェアで急速に拡散・対策が非常に困難・ファイルの実行や宿主がなくとも自己増殖する・システムの占拠・アクセスの遮断・メモリの搾取・データの盗難・削除・改ざん・悪質ソフトの自動インストール など3トロイの木馬・正常なファイルやプログラム、サイトになりすまし実行させる・自己複製はしないが拡散しやすく防御が困難・よくハッキングの窓口に使用される・システムやデバイスの乗っ取り・機密情報の盗難・ネットワーク全体の感染 など4ランサムウェア・デバイスに自動でインストール・データを暗号化して復旧と引き換えに身代金を要求・1台の感染でネットワーク全体が標的になり、復旧はほぼ不可能・組織や企業の被害も急増中・データの暗号化・身代金被害・ハッキングによるサイト訪問者の誘導 など5ファイルレスマルウェア・正規のプログラムを利用して侵入・ファイル保存やインストールが不要で、メモリに直接入り込みコードをリモートで注入し拡散する・追跡や駆除が極めて困難・データの盗難・改ざん・レジストリ操作・他のマルウェアの検知・駆除の妨害 など6Gootloader・感染したWebサイトを信頼できると偽装させ感染拡散・複数サイトのCMSを変更し、検索上位表示を埋めて罠を仕掛ける・サイトのページファイルの改ざん・偽コンテンツの大量ダウンロード・サイト訪問者の誘導 など7スパイウェア・PCに限らずすべてのデバイスに自動インストールし情報を収集・盗難・デバイス本体に害はなく情報収集を目的とする・機密情報の漏洩、盗難・サイバー攻撃リスクの増加 など8アドウェア・広告作成を目的に閲覧履歴などの情報を収集・同意なしに広告主に情報を販売される可能性がある・個人情報の漏洩・ブラウザや検索エンジンの設定変更偽警告や広告の表示 など9マルバタイジング・金銭を支払った正規広告に仕込まれるマルウェア・クリックによってマルウェアのインストールや悪質サイトへのリダイレクトが実行される・広告表示のみで実行される場合も・他マルウェアの感染拡散 など10キーロガー・感染したユーザーの行動監視に利用・デバイスやオンライン上の行動追跡や機密情報の盗難にも・機密情報の盗難・行動や取引情報の漏洩など11ボット(ボットネット)・リモートでコマンドを実行するソフトウェア・アプリケーション・ボットの集まりを形成してすべての機器にアクセスし、遠隔で多くの攻撃を実行できる自己増殖型・遠隔操作によるシシステムの実行・DDoS攻撃 など12ルートキット・最も危険なマルウェアともいわれるバックドア・プログラム・管理者権限を含め完全にアクセスし、外部からのリモート制御が可能に・他のマルウェアの隠ぺいにも利用。・管理者権限を含めた乗っ取り・設定やデータの変更・機密情報の盗難・他マルウェアの拡散 など13SQLインジェクション(SQLi)・ウェブサイトの入力フィールドに悪意のあるSQLクエリを挿入・機密データへのアクセスやシステムファイルの復元、コア・データベースなどへのハッキングに利用アクセス権限・システム情報の変更機密情報の盗難ファイルの削除・復元・改ざんなど2.マルウェアの感染経路と症状マルウェアの主な感染経路と感染症状は対策する上で必須の知識です。効果的な対策と素早い対応が被害を最小限にくい止めます。主なマルウェアの感染経路●メールやSNSの添付ファイルやリンクメールやSNSからの事例がマルウェア感染の約9割を占めます。添付されたファイルやURLは信頼性をよく確認しましょう。●ソフトウェアのダウンロードソフトウェアのダウンロードと同時に感染するケースも後を絶ちません。特に無料ソフトウェアやアプリケーションには注意しましょう。●P2Pでのファイル共有P2P(ピア・ツー・ピア)とはサーバーを利用せず直接データのやりとりを行う通信方式です。脆弱性がある先との接続が感染源になり、不特定多数の端末が接続されているため感染拡大リスクが高いといわれています。 ●ローカルネットワーク1台のデバイスが感染するとネットワーク上のデバイス全体が一瞬で感染します。ネットワークに上げたファイル共有が感染源になるケースも多くみられます。●感染したデバイスやUSBの接続感染したデバイスやUSBを知らずに持ち込み、接続して感染する場合もあります。不特定多数の人間が使用するデバイスやそれに接続したUSB、出所が不明な記録媒体などは利用を控えましょう。●ソーシャルエンジニアリングソーシャルエンジニアリングは心理的な働きかけでユーザーを騙し、機密情報やデバイスへのアクセス権を手にする方法です。フィッシングメールや関係者に感染源になるUSBを拾わせるなど様々な手法があり、オフラインでも狙われる可能性があります。マルウェアに感染したときの症状以下のような症状がみられたらマルウェア感染を疑いましょう。パフォーマンスの低下不審なポップアップの表示電源が落ちる、起動しない、再起動を繰り返す覚えのない動きをするバッテーリーやストレージの容量が激減している覚えのないデータの消失や変更がある 特定のファイルが削除できない など症状が現れずにコードの実行やデータ抽出をするファイルレスマルウェアやスパイウェアなどもあるため、症状がなくても油断は禁物です。違和感がある場合はすぐに接続を切り、セキュリティソフトで検出してみましょう。3.駆除方法はマルウェアの種類によって異なることもマルウェア感染が疑われる場合は以下のように対処・駆除するのが基本です。ネットワークの接続を切り隔離→アンチウィルスソフトで検知・駆除しかし、マルウェアの種類によっては一般的アンチウィルスソフトで対応できない場合があるためマルウェアの種類を特定し、対処できるソフトウェアを準備しましょう。<マルウェアの種類別 対応例>●ウイルスまたはトロイの木馬ディープスキャンを実行できるウイルス対策プログラムまたはマルウェア対策プログラムをインストール。●ワームワームを検出する強力なアンチマルウェアソフトウェアをインストール。●ランサムウェア要求には応じず、証拠を保存し警察へ連絡。サイバーセキュリティソフトウェアで除去し、バックアップデータから復旧。(暗号化データの復旧は難しい)ランサムウェアの詳しい対処法はこちらの記事をご覧ください。https://www.ecmarketing.co.jp/contents/archives/28014.効果的なマルウェアの感染対策とはマルウェアの効果的な感染対策は以下の6つを平行して実践することです。セキュリティソフトの導入OSは常に最新に保つ定期的なバックアップとサーバーログの保管不審なリンクや添付ファイルは開かないダウンロードやインストールは信頼性を確認する専門家に相談・委託する上記の1~5は基本的なマルウェア対策として必須項目です。全社員で実行できるように社内ルールを設けて周知しましょう。しかし、様々な種類があるマルウェアは環境や状況によって最適な対策や対処法が異なり、本格的な取り組みには専門知識と手間が必要になります。通常業務をこなしながら万全に備えるのは難しい企業がほとんどでしょう。マルウェア対策は検討する段階から専門家に相談し、保守を委託するのがおすすめです。悩みや環境に即した対策ができる他、定期的な脆弱性の検証や見直し、感染時の対処まで丸ごと任せられます。マルウェア被害にあった場合の損害や通常業務の効率を考えれば、コストパフォーマンスも決して悪くありません。マルウェア対策について詳しく知りたい方はこちらの記事もご覧ください。https://www.ecmarketing.co.jp/contents/archives/26575.まとめマルウェアの種類は日々巧妙化して増え続け、被害も拡大しています。ウイルスやワーム、ランサムウェアなど代表的なマルウェアの特徴を押さえてしっかりと対策しましょう。主な感染経路はメールの添付ファイルや外部のUSB、ソフトウェアのダウンロードなどある程度共通していますが、駆除となると種類によって有効な対処法が変わってきます。セキュリティソフトの導入やOSのアップロード、定期的なバックアップなど基本対策に加えて、専門知識をもった保守サービスを利用すると安心です。ぜひ検討してみましょう。
  • Webサイト 改ざん検知 ツール・サービス

    2024.02.06 WEB制作

    Webサイトの改ざん検知とは?仕組みやおすすめツールの選び方を紹介
    Webサイトの運用において、サイバー攻撃への備えは必要不可欠です。「サイトの表記がおかしい」「急に全く違うサイトに差し代わってしまった」などの改ざん被害に遭った場合、想定しうる損害は大きなものになります。自社サイトが攻撃に遭うだけでなく、ユーザーを巻き添えにした被害が起こってしまった場合は加害者として損害賠償をしなければならないかもしれません。サイトの改ざん検知ツールを導入するのは被害を最小限に食い止めるための有効な対策です。この記事ではWebサイトにおける改ざん検知について、仕組みやツール・サービスの選び方、改ざんを未然に防ぐ対策方法をお伝えします。1.Webサイト改ざん検知とはコンテンツや管理設定など、Webサイト内のデータの改ざんが起こったときに検知・通報するシステムのことを「改ざん検知」と呼びます。サイバー攻撃を受けた場合、異変に気付いていち早く対応することが重要です。そのため、セキュリティリスクの管理には欠かせないツールであると言えます。Webサイトに限らずシステム内部、アプリなどにも改ざん検知をつけることができますが、今回は特にWebサイトが改ざんされたかどうかチェックするシステムに着目してご紹介します。2.改ざん検知のやり方・仕組みサイトが改ざんされたかどうか判断する方法はいくつかあり、やり方によって検知できる範囲に違いが出ることもあります。仕組みを知り、自社サイトに適したツールを選ぶ材料にしましょう。サーバー内部監視型内部のシステムまで監視対象に入れられる改ざん発生時迅速に対応しやすい外形監視パターンマッチ型過去のパターンをもとに分析するハッシュリスト比較型ハッシュ値を分析することで改ざんされたファイルを特定しやすい原本比較型Webサイトの原本を保管し、実際のWebサイトと比較することで改ざんを検知サーバー内部監視型改ざん検知を行いたいWEBサーバーの内部に検知ツールを設置して監視します。サーバー内のデータに変更が加えられていないかチェックすることで改ざんを検知するという仕組みとなっていて、内部のシステムまで監視対象に入れられるのがメリットです。また、設定によっては改ざんが起こった瞬間リアルタイムで通知されるシステムにすることも可能なので、有事に迅速な対応を行いやすい点も長所だと言えます。ただし、内部監視型の改ざん検知ツールを入れるにはサーバー運用側の設定が必要です。共用サーバーを使っている場合は提供者の都合によって使えないこともあるので注意しましょう。パターンマッチ型(ソース解析型)外部の別サーバーから該当するWebサイトにアクセスし、過去に行われた改ざん事例と照らし合わせる形で検知する方法です。WordPress等の動的コンテンツに対応しています。過去のパターンをもとに分析するため、よく使われる手法の攻撃には高い効果を発揮しますが、未知の攻撃に対しては対処できないこともある点には注意が必要です。また、画像ファイルなど未対応フォーマットのファイルや公開されていない内部ファイルも改ざん検知の領域に含まれていないことには留意しておきましょう。ハッシュリスト(ハッシュ値)比較型定期的に監視対象ファイルのハッシュ値を計算し、誤差が出ていないかどうか比較する方法。運用側がカスタマイズ等で意図的にファイルを変更した場合に誤作動しやすいものの、ハッシュ値を分析することで改ざんされたファイルを特定しやすいというメリットがあります。原本比較型監視対象となるWebサイトの原本を保管し、実際のWebサイトと比較することで改ざんを検知します。原本比較型のツールは内容を更新するたびに改めて原本を用意し直さなければならないのがややネックです。3.改ざん検知ツール・サービスの選び方ここまでご紹介してきた通り、改ざん検知にはさまざまな種類があります。「何を基準に選べばよいか分からない」という方は、以下のポイントを押さえて自分に合ったサービスを選びましょう。改ざん検知の頻度検知方法によって改ざんチェックの頻度はかなり異なってきます。もちろん同じ方法を取っていても価格帯やエンジニアによって検知の周期が変わることもありますが、一つの基準にはなるでしょう。サーバー内部監視型であればファイルの変更があった瞬間に検知する常時監視システムを採用できるので、セキュリティ的には一番確実です。その他の検知方法は外部のサーバーから監視するシステムのため「外形監視」と呼ばれます。仕組み上改ざんが起きた瞬間に通知することは不可能ですが、改ざんの頻度を上げれば「すぐに改ざんに気が付く」システムにすることは可能です。契約するサービスやツールによってはタイムラグが発生する場合もあるので、どのくらいの頻度で改ざんチェックするのかは必ず検討項目に入れるようにしましょう。監視する対象ツールによっては内部の設定ファイルなども改ざんの対象になることもあります。「表には分からないが内部のファイルが改ざんされている」という事態まで考慮して対策したいのであれば、監視対象の範囲が広いサーバー内部監視型がおすすめです。外部からの侵入に備えるという意味では外形監視型でも問題ないでしょう。改ざん発覚時の対応ツールの中には「改ざんがありました」と通知するだけのものもあります。特に無料・安価なサービスは改ざん等の被害が発生したときに自分で修復できる人向けなので、対応できる人がいない状況ではおすすめできません。原因の特定や修正まで行うのが困難であれば、サイトの復旧や再発防止策の提案などの事後対応までサービスに含まれたものを選ぶべきでしょう。4.改ざん検知以外の対策方法も改ざん検知はあくまで「改ざんが起こってからの初動を早める」目的で導入するツールです。セキュリティを強化したいのであれば、まず改ざんが起こる前の対策ができているかチェックしましょう。ファイアウォールなどの対策ソフトの導入不審なアクセスをブロックする役割を持つ対策ソフトの導入が第一です。ファイアウォールWAFなどがサイトと紐づいているサーバーに設置されているかどうか確かめてみましょう。侵入検知システム(IDS)の導入IDSは不正アクセスを検知するためのツールです。改ざんが起こる前には不正アクセス攻撃を受けていることが多いので、サイトの改ざんがあったかどうかよりも先に不正なアクセスを検知するシステムを導入しておきましょう。不正な通信を遮断するIPS(侵入防止システム)というセキュリティツールもあります。こちらを導入すれば検知だけでなくブロックまでしてくれるので、まだインストールしていないようであればいち早く導入しておくことをおすすめします。アップデート、脆弱性情報の管理WordPressなどのオープンソースCMSは特にアップデートが頻繁にあるので、更新しないで放置していると脆弱性が見つかって改ざん被害に遭う可能性が高まります。こまめにアップデートを行い、脆弱性に関する情報を収集することでリスクを軽減できることを頭に入れておきましょう。しかし、アップデートに対応するとサイトが表示崩れを起こしたりレイアウトが変わってしまったりと何かと手間が多いもの。「管理しきれない…」という場合は、保守サービスの利用もおすすめです。改ざん検知システムの導入や定期的な診断レポートの作成なども一括で代行できるので、自社サイトの状態を把握しながらプロに管理を任せることができます。>>>WordPress保守サービスについて詳しくはこちらから<<<5.まとめサイトが改ざんされたかどうか検知するツールを導入するのは被害を最小限に食い止めるのに必要です。また、改ざん検知だけでなく多方面からしっかりとセキュリティ対策を行うことで、自分のサイトを守ることになります。もし導入がお済みでなければ、早急に対応することをおすすめします。
  • 情報漏えい セキュリティリスク 事例も紹介

    2024.02.06 WEB制作

    情報漏えいのセキュリティリスクを知っておこう|実際の事例・対策を紹介
    企業で情報漏えいが発生した場合のリスクは近年徐々に知られるようになってきました。しかし、実際にセキュリティインシデントが発生したらどのような損害が生じるかはご存知でしょうか?情報漏えいによって損害賠償が発生した場合、企業全体に大きな打撃を与える可能性は極めて高いと言えます。 この記事では企業の情報漏えいの事例から、被害を防ぐための対策をご紹介します。情報漏えいの損害賠償リスク情報漏えいによって被害を受けた顧客へ損害賠償をしなければならない場合は、1人当たりの賠償額を算出し、被害者数から総額を決定します。重大な被害が発生しなかった場合の1人当たりの金額は3,000円 ~ 5,000円だとされています。仮に1万件の個人情報が流出して1人5,000円賠償したとすれば、5,000円×1万人=5,000万円の損害賠償となります。1人5,000円というとたいしたことはないように聞こえますが、被害に遭った人数が多ければかなり大きな賠償額になることが分かると思います。とくに自社サイトで会員登録させている場合、会員数で被害額をイメージしてみてください。セキュリティ対策にかかるコストと天秤にかけるまでもなく、管理を蔑ろにできないことは明確です。1人当たりの賠償額決定基準は主に以下の3つです。これらの基準に則って基本的な賠償額が決まりますが、何らかの要因によってより重大な過失が認められた場合はさらに金額が上がることも考えられます。漏えいした情報の内訳クレジットカードの情報などの情報が含まれていると賠償額は高額化します。住所と氏名が紐づいた情報の流出など、個人が特定するのが容易なレベルまで漏えい被害が発生した場合も額が高くなるでしょう。また、情報の流出に精神的苦痛が伴う「手術歴」「看護記録」「宗教」などの情報が含まれていた場合も重篤な漏えいとみなされます。二次被害の有無流出したメールアドレスに迷惑メールが送られてくる流出した住所に身に覚えのないダイレクトメールが送られてくるクレジットカード情報の不正利用が発生しているなどの二次被害が発生している場合は賠償額がさらに高くなります。インシデント後の対応賠償額を決定する要因は実際に起きた被害の規模だけではありません。情報漏えいが発生した後の対応が適切であったかどうかも最終的な額に影響してきます。具体的には、被害者への速やかな連絡不具合の原因への迅速な対応再発防止策の策定などが挙げられます。2022年に施行された改正個人情報保護法で、個人の権利・利益を害する可能性が高い情報漏えいが発生した場合は「個人情報保護委員会への報告および本人への通知」が義務になりました。適切な対応を行わなかった場合は「法令を遵守する意識がない」とみなされて賠償額が高まる可能性もあるため、有事の際は誠実な対応を心掛けなければなりません。情報漏洩時に想定される損害賠償以外のリスク情報漏えい時に発生する被害額は損害賠償だけではありません。日本ネットワークセキュリティ協会(JNSA)が2023年に実施したアンケート※によれば、Webサイトからの情報漏えいで生じた被害金額は平均2,955万円、クレジットカード情報を含む情報漏えいだった場合は3,843万円でした。不正利用に対するカード会社からの賠償請求などが発生するため、比較的金額が高くなることが分かります。また、漏えい被害に遭ったと回答した中の7割超が中小企業だったとのデータも出ています。大きい会社が攻撃を受けやすいわけではなく、会社の規模を問わず莫大な額の被害に遭っていることにも注目すべきです。被害金額の内訳として、具体的には以下のような被害が想定されます。詐欺・脅迫などによる損害例えば「顧客情報を公開されたくなければ●千万円払え」といった脅迫が届くなど、攻撃者からのアクションによって損害を被ることも少なくありません。また、インターネットバンキングを乗っ取って直接金銭を盗み取るパターンなども想定できます。脅迫の場合は拒否したときにも新たな損害が起こる可能性があるため、慎重に対処する必要があります。イメージ低下・顧客の喪失情報漏えいが起こったとなるとイメージが低下し、顧客からの信頼も下がってしまいます。上場企業であればイメージの低下が株価の下落につながる可能性も高いでしょう。具体的な数値として被害額を出すことは難しいかもしれませんが、イメージ低下によってユーザーの離反が起こることも考えるとかなりの打撃になると考えられます。サイト停止による機会損失サイト経由で不正アクセスや情報漏えいが起こった場合、一時的にサイトを閉鎖しなければならない可能性が高いです。サイトの閉鎖期間中、本来ならば得られたはずの機会損失も被害の一部と捉えられます。閉鎖したサイトが売り上げに直結するECサイトだった場合は特に甚大な損害を生むでしょう。被害額としての算出が難しい項目ですが、イメージダウンによる損失も併せて考えると決して無視できない被害になります。問題解決までの業務にかかる費用情報漏えいが発覚してから全ての問題を解決するまでには多大な時間と人件費がかかります。外部に委託しなければならない業務も多々あるため、こちらも損害としては大きくなるでしょう。①調査費用・復旧費用特にサイバー攻撃による漏えい被害が発生した場合、残ったデータを詳しく調査して原因を特定しなければなりません。また、セキュリティの専門家がいない場合は復旧作業を外部のサービスに頼ることになるでしょう。対応費用はインシデントの被害規模によりますが、数十万~数百万円はかかると想定されます。また、端末やサーバーの入れ替えが必要となればさらに高額な費用が発生します。②法律相談、裁判費用顧客から賠償請求があった場合の対応、行政への手続きには法律の専門家によるアドバイスが必要です。裁判に発展した場合は弁護士費用もかなり高額になってくる可能性があります。③顧客対応のコールセンター費用、広告宣伝費被害者の規模によって対応は変わってくるものの、顧客へのケアにもかなりの費用がかかるでしょう。具体的には、一人一人にDMを送る、マスコミを通じて被害の通知と謝罪を行うなどの対応が挙げられます。実際の事例では、賠償とは別にお詫びの品を送る対応を行う企業もありました。また、情報漏えいによって被害を受けた顧客が多かった場合は外部のコールセンターに委託して専用の対応窓口を設けるパターンも存在します。事例①関連会社での情報漏えいによる損害賠償ここからは実際に起こった損害賠償の事例についてご紹介します。まずは2014年に発覚したベネッセコーポレーションの顧客情報流出事件。(参考:日本経済新聞※1)社員による情報の持ち出しが発覚したのはベネッセ本社ではなく委託先の関連会社ですが、運営元であるベネッセに監督義務違反があったとして訴訟に発展しました。情報漏えい被害に遭った顧客約5700人がベネッセを相手に訴訟を起こし、1人当たり3,300円・総額約1,300万円の賠償が決定しました。流出した情報についてはそこまで秘匿性が高くないと判断されたため1人当たりの金額は比較的少額ですが、機密情報を有するサプライチェーン企業のセキュリティ保全の必要性が分かる事例です。事例②情報漏えいの責任を巡って委託先へ損害賠償を求める2018年に群馬県前橋市の学校で発生したこの事例で発生した賠償金は一審時点で約1億4,200万円とかなり高額です。(参考:前橋地方裁判所判例※2)なぜこんなに高額な賠償になったのかというと、顧客への賠償ではなく「情報漏えいによって受けた損害すべて」を委託先であるNTT東日本に請求した事案だからです。先述したように、情報漏えいが発生した場合は多額の損害が発生します。この事例では学校ネットワークを管理していたNTT東日本に責任があるとして、前橋市が同社を提訴したという形です。裁判所の資料では、当初前橋市が請求していた賠償金約1億7,000万円の内訳を以下のように記しています。調査・システム復旧費用:(外部・内部あわせて)約6360万円端末復旧費用:約8260万円保護者対応費用、職員の時間外勤務手当など:約1470万円第三者委員会、弁護士への報酬:約1720万円※金額は10万の位で四捨五入して各項目をまとめた概算です。学校組織で発生したインシデントなので内訳の細かい部分は違ってくるかもしれませんが、45,000件以上の個人情報が流出したサイバー攻撃の事例でかかった費用の例としてはかなり具体的で参考になると思います。企業で起きた情報漏えい事例だと委託先を提訴することは少ないため、ここまできっちりと被害金額を公表しているパターンはほとんどありません。そのため、「実際にこのくらいの費用が発生する」という金銭的被害を具体的に算出・公表した貴重な一例であると言えます。情報漏えいリスクを避けるためのセキュリティ対策情報漏えいが起こる前の対策をしっかりしておけば、リスクは圧倒的に軽減されます。まずは基本的な対策がきちんとできているかチェックしましょう。もっと詳しくセキュリティ対策について知りたい方は「サイバー攻撃とは?企業が行うべき対策を分かりやすく解説」もご覧ください。怪しいURLやファイルを開かない特にサイバー攻撃はフィッシングメールを通じたマルウェアへの感染、不正アクセスが原因であることが多いです。不審なメールに記載されたURLやファイルは開かないようにしましょう。ブラウザにフィルタリング設定を入れるのも有効です。セキュリティ対策ソフトを入れるファイアウォール、WAFなどのソフトでの対策も必要不可欠です。個人が所有するデバイスだけでなく、サイトを管理するツールやサーバーにも設置するようにしましょう。パスワードを厳密に管理する推測されやすいPWは使わない、使いまわしはしないなど。簡易的なパスワードを使っていると、攻撃者が認証を突破してしまうリスクが高まります。十分に注意しましょう。Webサイトのセキュリティを強化するバックアップを取る、アップデートの管理を行うなど。例えばWordPressのサイトならセキュリティ用のプラグインを入れるといった対策も考えられます。もし保守しきれていないようであれば、外部サービスの利用も検討すべきです。また、先述したようにセキュリティ会社の保守に抜けがある可能性もあります。定期的なセキュリティ診断を欠かさないことが大切です。>>>保守サービス・無料セキュリティ診断についてはこちらから<<<まとめ情報漏えいによって発生する損害は数百万円~場合によっては数億円にまでのぼる可能性があります。自社が大きな被害をこうむることがないよう、普段からセキュリティ対策を怠らないようにしましょう。もし自社のサイトやサーバーの状態に不安がある場合は当社の保守サービスも検討してみてください。※1 JNSA+「サイバー攻撃被害組織のアンケート調査(速報版)」※2 前橋地方裁判所民事第2部「令和2(ワ)145 損害賠償請求事件」
  • WordPress 表示速度 改善

    2024.02.06 WEB制作

    WordPressサイトの表示速度が遅い原因はこれだ!改善方法や必須プラグインをご紹介
    たくさんの人に見てもらえるようなサイトを作っていくには何が必要だと思いますか?ページのレイアウトやコンテンツの内容ももちろんとても重要ですが、「サイトが早く表示されるかどうか」という点もユーザーの満足度を維持するのに欠かせない要素です。特にWordPressは対策をせずそのまま運用していると表示スピードに関する悩みを抱えがちです。自社サイトの表示が遅いと感じているようであれば、原因を分析してサクサク表示されるサイトを目指しましょう。1.WordPressの表示速度が遅くなる原因WordPressで制作したサイトが重くなる原因はいくつかあります。原因ごとに対策も変わってきますので、まずは自分のサイトを見て表示が遅い原因をチェックしましょう。画像サイズが大きすぎる・フォーマットが悪い画像はそのままだとサイズが非常に大きい場合もあります。デスクトップでの閲覧を想定しても最も大きい場合で1920px×1080pxくらい。それ以上であれば、画像が大きすぎると判断してよいでしょう。表示する場所によっても適切なサイズは違うことにも注意すべきです。小さいアイコン画像なのに必要以上に大きいサイズで表示していないかなどにも気を配ってください。また、画像のフォーマットにも注目してみても良いかもしれません。例えば写真の現像時に使われるRAWファイルは容量が極端に大きいので、サイトにアップするには不向きです。一般的に使われているPNG・JPEGのほか、最近はWEBPと呼ばれる軽量化された画像ファイル形式も知られてきています。2024年現在ではまだブラウザカバー率が低いため積極的な導入は推奨されていませんが、必要であればフォーマットの変更も検討するのも一つの手です。HTML・JavaScript・CSSが最適化されていないWordPress内部のファイルをHTML等でカスタマイズしている場合に考えられる原因です。例えば「WordPressをカスタマイズした形跡があるが、何度か担当者が変わってどのようにファイルをいじったか分からない」といった場合は、不要なコードがあって処理に時間がかかっている可能性が想定されます。サーバーの処理速度が遅いWordPressなどの動的サイトはデータベースからサーバーを介して情報をやり取りするので、サーバーのスペックが悪いと処理速度が遅くなる可能性があります。「データ量の多い大規模なコンテンツを運用しているのにレンタルサーバーの一番安いプランを契約している」といったケースでは、サーバーの処理速度が追いついていないのが原因になっていることも考えられるでしょう。2.表示スピードの改善に必要な対策実際に表示スピードを改善するのに必要な対策は以下の通りです。原因が分からないという方は、最初に紹介する「Page Speed Insightsでサイトの速度をチェック」をまず試してみましょう。Page Speed Insightsでサイトの速度をチェックサイト速度のチェックは厳密には対策ではありませんが、具体的な対策を練る前の現状分析に必要です。まずは何らかの手段でサイトの表示速度を分析してみましょう。今回紹介する「Page Speed Insights」はGoogleが提供している表示速度分析ツールですが、表示速度を測るツールは複数あるのでどれを使っても構いません。項目ごとにスコアを見ることで、表示速度を効果的に改善することができます。Largest Contentful Paint(LCP):ページ内で一番サイズが大きいデータ(画像や動画など)が表示されるまでの時間First Input Delay(FID):ページで何らかの動作を行ったときに反応にかかる時間Cumulative Layout Shift(CLS):ページを読み込んだ後のレイアウトのずれFirst Contentful Paint(FCP):ページを読み込み始めてから何らかのコンテンツが表示されるまでの時間Interaction to Next Paint(INP):ブラウザの応答に最も時間がかかったアクションTime to First Byte(TTFB):ブラウザがサイトのサーバーから1バイトを最初に受信するまでの時間例に挙げたこのサイトでは特に「FCP」と「TTFB」のスコアが悪いことが見てわかると思います。TTFBの読み込みが遅いということは、サーバーの応答に時間がかかっていることが原因の一つでしょう。ですので、キャッシュ系のプラグインを入れたり、サーバーをアップグレードしたりといった対処法が考えられます。サイズ画像の圧縮画像を適切なサイズに圧縮すると表示速度が改善されます。画像サイズを圧縮できるツールやサイトもありますが、WordPressであれば後述するようにプラグインを入れるのが簡単です。画像を遅延読み込みさせる画面外の画像(オフスクリーン画像)を後から読み込むことで、ユーザーから見える表示スピードが向上します。画像などの読み込みを遅延させる仕様をLazy-loadと呼びますが、WordPressならプラグインなどを入れなくてもデフォルトで対応可能です。バージョン5.5以降はLazy-loadが標準で実装されるようになっているので普通にメディア追加機能を使っていれば遅延読み込みされるはずですが、古いバージョンを使っているなどの要因があれば改善の余地があるかもしれません。キャッシュを活用するキャッシュとは、閲覧履歴のあるWebページをブラウザに保存させて、再度読み込む際の動作や時間を短縮する機能です。キャッシュの活用もWordPressならプラグインの導入で対応できます。使っていないコードの削除不要なコードの処理を減らすことで表示速度が改善することもあります。ただし、内部ファイルの編集にはJavaScriptやCSSの知識が必要です。仕組みをよく分かっていない初心者がいきなり内容をいじってしまうと、サイトの表示崩れなどさらに重篤な不具合をもたらす可能性があることには留意しておきましょう。もし周囲に知識を持った人がいないのであれば、専門家に相談してみるのもおすすめです。>>>WordPressの保守をプロに相談<<<サーバーを変えるレンタルサーバーを利用しているようであれば、契約しているプランがコンテンツの大きさと合っていない可能性もあります。多くの場合コストは上がりますが、サイトの規模感に合っていないようならよりパフォーマンスの高いサーバーに乗り換えるのも一つの手です。 3.表示スピードを改善しないことによるデメリットそもそも「表示スピード」はWebサイトの要素として重要なのでしょうか?答えはYESです。コンテンツ内容に直接かかわるものではないかもしれませんが、ユーザーの流入数や直帰率には大きな影響を及ぼします。デメリットを認識し、表示速度を高める工夫をしましょう。ユーザーの満足度が低下するスマホで情報を調べているとき、サイトがなかなか表示されなくてイライラした経験はないでしょうか?あまりに長いこと表示されなければそのまま「戻る」ボタンを押してしまう人も多いと思います。表示スピードが遅いとユーザーの満足度が低下してしまいます。満足度が下がるだけでなく、求める情報にたどり着く前にあきらめて離脱してしまう可能性も高まるでしょう。サイトの評価を上げてユーザーの直帰率を下げるための施策として、表示スピード対策は非常に重要だと言えます。検索順位に悪影響を及ぼすGoogleはサイトの表示スピードが検索順位を決める基準の一つとなっていることを公表しています。サイト内のコンテンツ内容と直接の関係はありませんが、ユーザーの利便性を考えて基準の一つとして採用しているものと推測されます。表示が遅いサイトは検索順位が上がらない、つまり顧客の満足度以前にアクセスしてもらえない可能性があるということです。4.WordPress表示スピード高速化に役立つおすすめプラグイン2選以下は当サイトの表示速度改善にも導入している必須プラグインです。WordPressサイトの表示スピードにお悩みでしたら、まずは導入してみましょう。※画像の遅延読み込み(Lazy-load)はバージョン5.5から標準機能として搭載されているため、現在はプラグイン非推奨です。キャッシュ高速化:W3 Total Cacheキャッシュの高速化を行えるプラグイン。キャッシュを保存しておくことでその手順を省くことができ、結果的に表示速度が上がります。画像圧縮:EWWW Image Optimizer画像を自動的に圧縮してくれるプラグイン。ページに画像が表示される際にファイルサイズが小さくなるため、WordPressを高速化できます。通常画像の圧縮にはやや手間がかかるので、一括で置換してくれる便利なツールです。5.まとめWordPressの表示速度改善はサイトの健全な運用に不可欠です。Page Speed Insightsのスコアが悪い場合は何らかの対策を取ることをおすすめします。プラグインの導入など簡単な対策で解決することもありますが、根本的な原因の解消にはプロの分析を頼った方がいいかもしれません。当社のサービスではWordPressの表示スピード改善も承っています。セキュリティ保守と一括で柔軟に対応しますので、「管理周りのことは全部プロに頼みたい」という方にもおすすめです。
  • セキュリティ診断 種類、相場など

    2024.01.31 WEB制作

    Webサイトのセキュリティ診断は必要?種類や価格の相場、チェック項目を紹介
    インターネットに関わる技術が進歩したことで、今やWordPressなどのツールを使えば誰でもWebサイトを制作できる時代になりつつあります。Webサイトの運用にはセキュリティ管理が必要不可欠ですが、コンテンツの中身にばかり意識が向いて「よく分からないから…」と放置してしまう会社も多いのではないでしょうか。作るだけ作ってセキュリティ対策を怠った状態になっているようであれば、何らかの改善策が必要です。「何から始めたらいいか分からない」「セキュリティ対策はしているつもりだけど、課題点があるかもしれない」そういった方にはセキュリティ診断をおすすめします。種類はさまざまですが、無料でしっかりとした診断を受けられるものもあります。参考にしたうえで、ぜひ自社に合ったサービスを選んでください。1.Webサイトのセキュリティ診断(脆弱性診断)とはセキュリティ診断とは「システムやネットワークのセキュリティ状況を評価する診断」のこと。サイトだけでなく、アプリや内部システムもセキュリティ診断の対象になります。Webサイトの診断においては、脆弱性を見つけて対策するための診断という意味で「脆弱性診断」とも呼ばれます。サイバー攻撃に遭う可能性のある脆弱性がないかどうかチェックし、対策を講じるために利用するのが一般的です。2.セキュリティ診断の種類・価格相場セキュリティ診断にもさまざまな種類があり、価格の相場は方法によって大きく異なります。大きく分けて「ツール診断」「マニュアル(手動)診断」に分類されますが、どちらか一方だけでなく両方を併用するようなサービスも多くあります。どの診断を利用するか迷っている場合は、診断方法をチェックしてみましょう。ツール診断自動検知ツールなどを使って脆弱性を測る方法。自動ツールを使って診断するため、手動よりも低コストかつ短時間で実施できるのが長所です。ツール診断は無料~数十万と比較的安価ですが、内部システムに関わる専門的な知識を要する脆弱性の検知など、ツールのみの診断では見落としが発生するリスクがあることには注意した方がよいでしょう。ツール診断の中でも以下の3種類の方法に分けられます。クラウド型インターネットを経由して診断を行います。ツールをインストールしたり管理したりする手間が省けるため、比較的手軽に利用できるのがメリットです。ソフトウェア型自社のパソコン・サーバーにツールを入れて診断するサービス。オフライン環境でも利用できるのがメリットです。オープンソース型インターネット上に公開されているソースコードを利用して診断できるツール。カスタマイズ性が高く無料で利用できるのがメリットですが、使いこなすには専門性が必要なので初心者向けではありません。マニュアル(手動)診断セキュリティの専門家に依頼し、人力で細かくセキュリティの穴がないかチェックします。相場は数万円~数百万と幅広いのが特徴です。ツール診断と組み合わせて診断するサービスであれば数万円、大規模なWebサイトをプロの手で網羅的に診断したい場合は数百万円かかるケースもあります。多くの場合は有料ですが、WordPressに特化したセキュリティ診断であれば無料で受けられるパターンも存在します。リモート診断遠隔地から外部からアクセスできるサーバーなどにアクセスし、脆弱性をチェックします。サーバーに設置されているファイアウォールが機能しているかなど、外部からの攻撃を想定した脆弱性を見つけることができます。オンサイト診断外部に公開されていないサーバーなども診断対象として、内部システムの脆弱性を測ります。万が一外部から侵入された後に攻撃を防ぐシステムができているか、社内のセキュリティシステムに問題がないかまでチェックすることができるのがメリットです。3.WordPressセキュリティ診断サービスの主なチェック項目WordPressで制作したサイトがセキュリティ対策の落とし穴になりやすいのはご存知でしょうか。初心者でも簡単に作れるがゆえに、「表示崩れが怖くてアップデートしていない」など、判別がつきやすい部分で脆弱性が生じているパターンが多いので注意が必要です。もしWordPressを使って運用しているサイトのセキュリティに不安があるようなら、WordPressのサイトを専門に診断できるサービスを受けてみましょう。具体的な診断項目は以下のようになっていることが多いです。内部システムの脆弱性コアファイルプラグインテーマなど、WordPressの内部を構築するファイルに脆弱性がないかチェックします。バージョンアップせず放置していたり、何年も更新していないプラグインが残っていたりする場合はセキュリティが甘いと判断されます。ユーザー情報・管理画面WordPressを運用するユーザーの管理も重要です。具体的には、パスワード、IDが推測されやすいもの(生年月日、ドメイン名など)でないか各ユーザーに適切な権限を与えているかパスワード画面が適切に保護されているかなどをチェックします。内部のシステムをしっかり警備していても、管理ユーザーのセキュリティが甘いとサイバー攻撃の標的になりやすいので注意が必要です。その他バックアップの有無通信の暗号化(SSL化)などもチェック項目に含まれていることが多いです。>>>通信の暗号化について詳しくはこちらから<<<バックアップは不具合発生時の復旧に必須なので、セキュリティ対策としては基本中の基本です。診断前にしっかりできているかチェックしておくとよいでしょう。4.セキュリティ診断を受けるべきサイトの特徴どんなWebサイトも定期的なセキュリティ診断を受けるのが最良ですが、特に以下の特徴に当てはまる場合は今すぐ一度セキュリティ診断を受けてみることをおすすめします。しばらくアップデートしていないどんなツールを使って作ったサイトであれ、アップデートの管理を怠った状態は一番攻撃者につけこまれやすいものだと認識しておきましょう。特にWordPressなどのオープンソースCMSは脆弱性への対策がアップデートを通じた自己対応に任せられているので、放置した場合の危険性はひときわ高いと言えます。アップデートを放置しているようなWebサイトには他の問題が生じている可能性もあるので、まずは何が問題なのか診断を通じてチェックしてみるべきでしょう。担当者が変わってしまったセキュリティ対策が甘いことに悩みを抱えている方は、当初と担当が変わって設定の情報などが分からなくなっているパターンも多いのではないでしょうか。担当者の変更が原因で放置してしまっているのであれば、一度セキュリティ診断を行って何が問題なのか可視化してからサイトの改善を行うのが近道です。セキュリティについて分かる人がいない場合でも、セキュリティ診断を専門家に頼めば適切なアドバイスがもらえます。>>>WordPress無料診断を依頼する<<<セキュリティ保守の予算が下りないサイト保守をしっかり行うとなると、自社でやるにも外注するにもある程度予算がかかります。しかし、特に中小企業ではサイバーセキュリティの重要性、情報漏えいなどのリスクが共有されず重要性が看過されがちです。上層部がセキュリティリスクを認識していないため対策に割く予算が下りず、現場で悩みを持つパターンも多いのが現状です。セキュリティ対策を外部に委託する保守サービスも実はそこまで高額ではありませんが、利益が生じる投資ではないため導入を渋るケースも見られます。「自分は関係ない」という思い込みがサイバー攻撃の被害を生み出すのです。まずは実際にセキュリティ診断を受けてみて、具体的な課題点やリスクが見えると予算を割く説得材料になります。もしセキュリティ対策にお悩みのようでしたら、一度診断を受けてみましょう。>>>無料セキュリティ診断はこちら<<<5.まとめセキュリティ診断サービスは多種多様で、サイトの規模や診断の適用範囲によって価格やサービス内容も大きく異なります。脆弱性情報は日々更新されるため定期的な診断を行うのが一番ですが、課題点を認識するにはまず一度診断を受けてみるのがよいでしょう。当社では、WordPressのセキュリティ保守サービスの一環として定期的なセキュリティ診断とレポート提出を行っています。「診断されても解決策が分からない…」という場合は、プロがセキュリティ管理まで一括でサポートします。自社サイトの課題点を認識するために無料セキュリティ診断を受けてみたいという方は、WordPress丸ごとお任せ(保守)サービスのページをご覧ください。
  • ランサムウェア 対策

    2024.01.31 WEB制作

    ランサムウェアに有効な7つの対策!感染したときの対処法まで解説
    突然データが暗号化され、復旧と引き換えに金銭を要求するメールが届くランサムウェア。データが戻ることはなく被害コストも甚大であり、事前対策が特に重要とされるマルウェアです。ランサムウェアの被害は事業規模や業種を問わず急拡大しており、被害にあった法人の累計被害額は3年間で平均1億7689万円※といわれています。どの企業においても早急な対応が必要です。 今回はランサムウェアに有効な対策と感染した場合の対処法をご紹介します。1.いますぐランサムウェア対策が必要な理由トレンドマイクロ㈱が2023年に行った「サイバー攻撃による法人組織の被害状況調査」※によると、この3年間のランサムウェア被害を受けた法人の累計被害額は平均1億7689万円。復旧にかかった業務停止期間は、通常のサイバー攻撃が平均4.5日のところランサムウェア攻撃では平均13日と3倍近い日数が報告されています。この数年でランサムウェア被害が急増した主な理由は、新型コロナ感染症や働き方改革によって社外へのネットワーク接続が増えたことです。テレワークやSaaS、RDS(遠隔操作サービス)の利用が急速に進められた中で、多くの企業が新たな環境に適したセキュリティへの移行が間に合わず、その脆弱性がランサムウェアに狙われています。ランサムウェアに一度感染すると完全な復元は不可能であり、事業存続にかかわる大きな被害を出す場合もあります。早急に対策を検討しましょう。2.ランサムウェアに有効な7つの対策ランサムウェアはネットワークの脆弱性やメールの添付ファイル、ソフトウェアのダウンロードなどから侵入します。以下の7つの対策を同時に行いましょう。定期的なバックアップ感染に備えて常にバックアップをとることが最も重要です。ランサムウェアにデータを暗号化されても最新情報をしていれば被害を最小限に抑えられます。バックアップへの感染を防ぐため複数コピーして外部からアクセスできない場所に保管しましょう。OSやアプリケーションを最新に保つOSやアプリケーションは時間が経つと脆弱性が見つかることがある上、ランサムウェアをはじめとしたマルウェアは日々進化します。OSやアプリケーションの更新連絡がきたらすぐに適用して最新のプログラムにしましょう。使用していない古いアプリの削除も必要です。セキュリティ対策ソフトの導入と更新ほかのマルウェアもランサムウェアの侵入経路になるため総合セキュリティ対策ソフトの導入は必須です。すでにセキュリティソフトを導入している場合は更新状況や十分な性能があるか見直します。ランサムウェアは従来型のソフトでは検知できないケースも多くあります。EDRも含めて導入を検討しましょう。パスワードの管理徹底・多要素認証の導入パスワード管理は基本ですが、慣れや作業性を優先して簡易化されやすいものです。定期的な変更、法則性のない並び、十分な長さなど改めて徹底させましょう。SMS認証や生態認証など多要素認証の導入もおすすめです。アクセス権限の最小化感染の予防と拡大防止のため、ユーザアカウントのアクセス権限や範囲などは必要最低限にします。特に、外部に公開されているアカウントは攻撃対象になりやすいので、内部への接続を可能な限り制限しましょう。ネットワークの監視とログの保存ネットワークの監視はランサムウェア感染時の不審な挙動の早期発見、ネットワークログの保存は侵入経路の特定につながります。感染時の被害をいち早く収めるために必ず行いましょう。全社員での警戒と危機意識の共有マルウェア対策はネットワーク全体で行わなければなりません。以下のようなセキュリティルールを作成し、全社員で情報共有・警戒を徹底しましょう。偽装メールやSNS、不審なUSB、公衆Wi-Fiへの警戒メールのスキャンやフィルタリング機能の活用不審な添付ファイルやURLをクリックしないダウンロード前に信頼性の確認を行うデバイス持ち込みは事前スクリーニングと報告 など>>>サイバー攻撃への対策について詳しくはこちらから<<<3.ランサムウェアに感染したときの対処法巧妙な手口が次々と生まれるランサムウェアは万全な対策をとっていても感染が避けられない場合があります。被害を最小限に抑えるために感染時の対処法も合わせて周知しておきましょう。ランサムウェアに感染した場合の対処は以下の手順で行います。①ネットワークの遮断感染が疑われたら、すぐに端末をネットワークから遮断して隔離します。同じネットワークを使用している端末はすべて感染の可能性があるため、早急に連絡して同様に対処させます。検出や駆除作業より優先させましょう。絶対に要求には応じないランサムウェアはデータを奪うまたは暗号化するなどして、その漏洩防止や普及と引き換えに金銭や資産を要求してきます。しかし、データが安全な状態で戻ることはありません。一度要求に応えてしまうとそのデータが共有され攻撃が増えるとも言われています。「要求には絶対に応じてはならない」と周知しておきましょう。②ランサムウェアの検出と駆除端末の隔離を終えたらセキュリティ対策ソフトでランサムウェアの検出と駆除を行います。多くの対策ソフトでは自動で特定箇所の削除や隔離がされますが、最新のランサムウェアの検知や駆除は非常に難しく対応できないソフトウェアも多いようです。対処しきれない場合はセキュリティ担当者やサポートセンターへ依頼しましょう。③ファイルとデータの復号暗号型ランサムウェアは、「No More Ransom Project」などの復号化ツールでファイルとデータを復号できる場合があります。ただし、すべてのランサムウェアに対応できるわけでなく、端末に不具合が生じる可能性があるためよく検討してから使用しましょう。④バックアップデータからの復旧ランサムウェアに奪われたデータは最新のバックアップデータから復旧させます。バックアップデータの保管場所によっては感染している恐れがあるので、安全が確認できたデータを使用しましょう。⑤警察へ通報ランサムウェアはれっきとした犯罪行為です。攻撃を受けたら警察の各都道府県のサイバー犯罪相談窓口へ通報しましょう。対処に悩んだときの相談先にもなってくれます。4.ランサムウェアの対策や感染は専門家に相談するランサムウェアをはじめとしたマルウェア対策は複数の対策を同時に行わなければならず、さらに常に変化する手口に最新の知識で対応する必要があるとなると、専門職でなければ難しいでしょう。社内に専門の担当者がいない場合は、24時間体制でサイバー攻撃を監視してくれるSOC(セキュリティ対策専門部署)やwebサイトの保守サービスなど外部の専門家に委託するのがおすすめです。ランサムウェアは事前対策と感染時の迅速な対応が被害規模に大きく影響します。損失を最小限に抑えるために、万全の体制を整えておきましょう。5.まとめランサムウェアの被害はこの数年で急増しており、復旧の難しさや事業への悪影響は他のマルウェアを大きく超えています。被害を受ける前に早急に対策しましょう。検知が難しいランサムウェアを防ぐには、定期的なバックアップやアプリの更新など基本的対策に加え、ランサムウェアに対応できる高性能セキュリティソフトの導入などもう一歩踏み込んだ対策が必要です。また感染被害を最小限に抑えるために正しい対処法も周知しておきましょう。感染したらまずネットワークを遮断、要求には応じない、警察への通報の3つです。セキュリティソフトを使った検出や駆除、暗号化されたデータの復号、データの復旧などの作業は専門知識をもったSOCや保守サービスなどの利用がおすすめです。※トレンドマイクロ株式会社+「サイバー攻撃による法人組織の被害状況調査​」