新着情報

新着記事一覧

  • コンテンツマーケティングとは?効果・目的
    2024.02.26
    WEB制作

    コンテンツマーケティングとは?目的や効果、成功するためのコツを伝授!

    最近何かと注目を集めている「コンテンツマーケティング」。よく聞く言葉ではありますが、そもそもコンテンツマーケティングとは何か、どんな効果があるのか理解できているでしょうか?記事や動画などのコンテンツを通じて集客するマーケティング手法のことで、中小企業・大企業問わず、BtoBでもBtoCでもWebサイトやSNSのアカウントがあれば気軽に始めることができます。しかし、むやみに「コンテンツマーケティングを始めてみよう」と手を付けてみても成果には結びつかないかもしれません。根底的な考え方・目的を理解し、順序を踏んで時間をかけてコンテンツを作ることが大切です。この記事では、コンテンツマーケティングの基本情報と成功するための戦略をプロの視点からお伝えします。1.コンテンツマーケティングとは?目的・効果コンテンツマーケティングは顧客にとって価値のある情報(コンテンツ)を提供することで、集客や売上の向上につなげるマーケティング手法のことです。言葉の意味としては雑誌などの紙媒体での発信も含まれていますが、現在は主に「Webやインターネットを用いたコンテンツによる集客方法」を指します。新規参入する企業が始めるコンテンツとしてはオウンドメディアを利用したコンテンツSEOやメルマガ、ホワイトペーパーの導入が一般的でしょう。コンテンツマーケティングが注目されている背景かつてはマーケティングといえば顧客に商品を直接宣伝する「売り込み型」が一般的でした。企業が自社の情報を外部に大きく発信するにはテレビや街頭の広告などで多額の費用をかけて売り込みにいくことが最も効果的だったからです。しかし、インターネットの普及などの要因により、企業と消費者との接点は徐々に増加していきます。また、顧客は広告で発信される情報を受動的に見るだけでなく、買う前の商品の情報を自分で調べることができるようになりました。このような経緯から、自ら売り込むのではなく見込み顧客の求める情報を発信して間接的にユーザーを増やすコンテンツマーケティングが注目されるようになったのです。コンテンツマーケティングの目的コンテンツマーケティングの主な目的は、顧客となりうる人にとって有益な情報を発信し、自社や商品との接触の機会を増やし、売り上げを伸ばすことです。購買までのプロセスと関心度でユーザーを分類すると、以下のような小目的があります。フェーズ小目的①非認知層(関心度低)商品について知ってもらう、ニーズに気付いてもらう②潜在層(関心度中)商品を思い出してもらう、購入を検討してもらう③顕在層(関心度高)購入を後押しする、再購入につなげる段階によってアプローチが異なる場合もありますが、最終的に「コンテンツを見たユーザーの行動変容を促す」ことが目標である点は共通しています。コンテンツマーケティングには効果があるのか?コンテンツマーケティングは自社製品について知っているか否かに関わらず幅広く集客できる手法です。例えばコンテンツSEOはWebサイトさえあれば簡単に始めることができます。しかし、その手軽さゆえに十分な施策を用意せずにスタートして失敗してしまう事例も少なくありません。他のマーケティング手法と同じく見込み顧客に合わないアプローチをしていては結果に結び付かないので、「コンテンツマーケティングには効果がない」と言われてしまう場面も散見します。もちろん、適切な方法を用いてユーザーに接触すれば成果もついてきます。ただし、広告費を払って宣伝したときと比較すると結果が出るまでに時間がかかるのは事実です。短期的な売上アップを求める施策ではないことには留意しましょう。2.コンテンツマーケティングのメリットコンテンツマーケティングを行うことでいくつかのメリットが見込めます。見込み顧客を増やせる見込み顧客とはニーズがあるものの購買には至っていない顧客のことを指します。コンテンツマーケティングを通じて自社製品の情報を発信することで、ニーズに適合した見込み顧客を効果的に増やすことができます。コンテンツが資産になる一度作ったコンテンツは情報としてインターネット上に蓄積され、長期的に利益をもたらす資産となります。コンテンツを作ってからしばらく経ってコンバージョンするケースも少なくありません。ただし、何もしていない状態では資産としての価値が劣化する恐れもあるでしょう。定期的な更新や改善は必須です。比較的取り組みやすい広告で十分な効果を出すためには数十万~数千万かかることも珍しくありませんが、コンテンツマーケティングは無料もしくは安価に始めることができます。ただし、一見安価に見えたとしても成果を出すには相応のコストがかかる点には注意しましょう。[word_balloon id="unset" src="https://www.ecmarketing.co.jp/contents/wp-content/uploads/2024/02/icon_white-1-1.webp" size="M" position="L" radius="true" name="" balloon="talk" balloon_shadow="true"]〈WEB広告/コンテンツマーケティング担当・ニャーケッターより〉無料・安価でコンテンツマーケティングを展開するには知見のある人間が社内にいて内製できる状態でなければならないにゃ。文章書くだけならできそう、と手を出すと残念なコンテンツSEO事例で紹介したような費用と工数を無駄にする自己満マーケティングに陥るので注意して欲しいにゃん。[/word_balloon]顧客のデータを収集できるコンテンツを見たユーザーのデータを収集すれば、それが見込み顧客のデータになります。Webサイトならアクセスしたユーザーのうちどのくらいが資料請求したのか、購入に至ったのかツール等を使って分析することで、新たな戦略を生み出すことができるのは大きなメリットです。3.コンテンツマーケティングのデメリット・注意点先んじて注釈をつけた箇所もありますが、コンテンツマーケティングにはいくつかの注意点があります。「取り組めばすぐに利益が発生する」という魔法ではないので、相応のデメリットを理解したうえで臨みましょう。効果が出るまでに時間がかかるコンテンツマーケティングの最大の注意点は売り上げに直結せず、長期的な施策が必要なことです。安価で始められるからと言ってサイトを作って記事を数本出して終わりではありません。中途半端な導入は却って損害になる可能性すらあります。最低でも半年、商材によっては数年単位で見る必要があるかもしれません。一定期間こつこつコンテンツを更新し続けて費用、時間、工数を確保し続ける覚悟が必要です。効果検証しづらい「Webサイトからの集客」というと購入や問合せなどのCV(コンバージョン)で効果を測るイメージが強いかと思いますが、コンテンツマーケティングの場合は分かりやすいゴールに直結するとは限りません。SNSで美味しそうな食べ物やオシャレな洋服の情報を見て、リンク先のネット通販ではなく実店舗へ買いに行った経験はないでしょうか?検索からサイトにアクセスしたことがきっかけで社名を知り、しばらくしてからふと思い出してサービスを利用するケースもあるかもしれません。成果に至らずとも自社名や事業内容、実績など認知してもらうことで後のコンバージョンにつながるパターンも往々にしてあります。特にBtoBではその傾向は顕著でしょう。(かくいう当社もBtoB企業ですので、実際の体感でも時間差でお問い合わせをいただくケースは非常に多いです)直接なきっかけではなかったとしても、成約に至るまでのフェーズのいずれかに貢献しうるのがコンテンツマーケティングです。効果検証しづらいというデメリットゆえ上層部に効果を理解してもらえず、道半ばで断念してしまうような事例も中にはあります。スキルが必要ここまで述べてきた注意点を包括すると、「スキルを持った人材による専門的なフォローが必要」ということになります。顧客の分析やコンテンツの制作方法を理解したWeb担当者はもちろん、Webサイトであればセキュリティ管理のための保守なども必要です。>>>Webサイトの保守についてはこちらから<<<4.コンテンツマーケティングとコンテンツSEOの違い「コンテンツマーケティング」と「コンテンツSEO」は領域が類似しているため間違われがちですが、正確には意味合いが異なります。コンテンツSEOは特定の検索ワードでの検索結果で上位表示することで、より多くの検索ユーザーにページやコンテンツを見てもらうための施策です。検索流入に特化しているマーケティング手法だと言えるでしょう。一方、コンテンツマーケティングはコンテンツSEOを含む「コンテンツを利用したマーケティング全体」を指します。5.コンテンツマーケティングで効果を出すコツ3選大切なことなので繰り返し説明しますが、「とりあえずコンテンツマーケティング」「とりあえずSEO」では効果的な集客はできません。コンテンツマーケティングを専門に扱う当社が考えるに、上手く結果を出すには少なくとも以下のコツを押さえておくべきでしょう。顧客がほしい情報を分析するコンテンツを制作する前にまずは「自社製品をほしがるのはどんなお客様か」「見込み顧客はどんな情報を求めているか」を考え、整理しましょう。既存顧客、営業担当へのアンケート・インタビュー既存顧客データの分析研究機関、政府組織が取ったデータなどを分析し、顧客のニーズを把握できるとよいでしょう。価値のある情報を提供するコンテンツマーケティングにおいて大切なのは「企業側が提供したい情報」ではなく「顧客が知りたい情報」です。ニーズを分析したら、求める情報に沿った方法でコンテンツを制作しましょう。昨今ではコンテンツの中身をより充実させたリッチなコンテンツが好まれ、需要が高まっています。内容に富んだ専門性・独自性のある記事コンテンツは検索エンジンにも高く評価されるため、同時にSEO対策もできます。>>>リッチコンテンツについて詳しくはこちらから<<<誰にとって価値あるコンテンツを作るべきか一つ注意すべきは、多くの場合自社の商品について全く知らない人(非認知層)と実際に購入を検討している人(顕在層)では求めている情報が異なることです。冷蔵庫を売るためのコンテンツを制作すると仮定して考えてみましょう。自社製品のことを全く知らず、買い替えも考えていない非認知層の顧客には「キャベツを長持ちさせる方法」という内容の記事コンテンツを用意すれば機能の高い冷蔵庫に興味を持ってもらえるかもしれません。実際に買い替えを考えてくれる可能性もあるでしょう。一方、既に自社製品のことを知っている顕在層の顧客に対してはどうアプローチすべきでしょうか。実際に購入を検討しているユーザーに対して野菜を長持ちさせる方法を発信しても、売り上げにはつながりません。この場合は、第三者に近い立場から冷蔵庫の性能や価格を詳しく比較する記事を制作するのがよいでしょう。複数の顧客像(ペルソナ)が考えられる場合には、基本的に購入に近い顕在層のニーズに寄り添ったコンテンツ制作から始めるのがよいでしょう。そこから徐々に購買から遠い潜在層→非認知層にもリーチを広げていくと、説得力を持って施策を推し進めることができます。継続的にコンテンツを更新するコンテンツマーケティングはすぐに結果が出るものではありません。効果を感じられたかに関係なく、最低でも半年~1年程度はコンテンツの更新を継続することが大切です。また、既に制作したコンテンツも情報が古くなってしまうと資産として機能しなくなるケースもあります。例えば法律改正時に更新せず古い情報のまま放置したコンテンツは、情報資産どころかむしろマイナスの評価を受ける可能性すらあるでしょう。出したら終わり、ではなく定期的に内容を見直すことが大切です。6.まとめコンテンツマーケティングとは、記事やメルマガ、ホワイトペーパーなどのコンテンツを通じて見込み顧客の求める情報を発信する集客方法のことです。「何を売りたいか、伝えたいか」ではなく、「誰に求められているか、どんな情報を欲しているか」を考え、ユーザーに寄り添った施策を行うことで効果をもたらします。しかし、ターゲットを狙い撃つ的確なコンテンツを制作するのは至難の業。自社製品への理解はもちろん、マーケティングの知識やコンテンツ制作スキルも必要です。内製で始めるのであれば、コンテンツマーケティングに携わった経験のある人材を用意しましょう。もし内製でコンテンツ制作が難しいようなら外部へ委託するのも一つの手です。当社ではSEOの観点から専門的なアドバイスを加えつつ、フルオーダーメイドで高品質なコンテンツ制作プランを設計します。

  • WEBマーケティング歴20年のプロが教える!本当に実力のあるECコンサルティング
    2024.02.21
    コンサルタント

    WEBマーケティング歴20年の著者が選ぶ 本当に実力のあるECコンサルティング会社5選

    企業とユーザーの接点がデジタルへとシフトし、ECサイトが主要なチャネルになっていることは、改めていうまでもありませんが、そのECサイトにおいて、部分部分のソリューションに特化したベンダーは数多く存在しています。しかし、それらを横断して何をどのようにすべきか方向性を提示し、かつ実務レベルに落とし込んで牽引してくれる、ノウハウを持った実力のあるコンサルティング会社は限られています。この記事では、実際にECサイトの運営(特に集客及びサイトの制作更新)において、具体的な改善策の提示、PDCAを回す業務をサポートしてくれるコンサルティング会社を、どのように見つけたら良いか、選定したらよいか、また選定の際のチェックリストはなにか、そしてWebly編集部おすすめのコンサルティング会社5選をご紹介します。1.おすすめのECコンサルティング会社一覧社名ECマーケティング株式以外いつも株式会社これから売れるネット広告社ネットショップ総研コンサル領域オールジャンル(コンサルに特化)モール中心自社ECに特化美容健康、リピート商材などD2C事業者コンサル単独よりも運営代行とあわせたソリューション提供費用月間数十万円~強み・業界経験が長い・コンサルに特化・専門性が高い・モールを含めた全体サポート・楽天、Amazon出身のコンサルが多い・自社ECに特化した通販支援・数百名規模の大組織・サブスク型D2C事業におけるノウハウ・美容関連の事業者とのつながり・ECコンサルとしての経験が長い・マルチチャネル戦略をカバーできる・コンサルだけでなく運営代行も可能弱み・少数精鋭で会社規模が小さい・自社ECへの支援は平均的・規模の大きさゆえ担当者によって当たり外れあり・規模の大きさゆえ担当者によって当たり外れあり・自然検索に弱い・広告に依存しやすい・規模が小さい・運営代行が中心なのでコンサル単独の外注は優先順位が下がる2.ECサイトを育成する際に必要な、業種別のアプローチと共通するアプローチの違いについて知るECサイトを育成する際の一つのポイントとして、業種別のアプローチと、業種に関係なく共通するアプローチの2種類があります。業種別に必要なアプローチは、業種ごとに得意なコンサルタントの方がいらっしゃると思います。しかしノウハウとしてはむしろ同業他社から学ぶ事が多く、WEBマーケティングよりも、事業自体のノウハウであることが多いです。弊社では、業種横断型の基礎的なアプローチについて次の章で解説したいと思います。3.業種横断的に共通するアプローチその1(WEBマーケティングの最適化とCV獲得の最大化)一般的に月商1,000万円くらいまでは、見込み客となるユーザーに、自分達のサイトに到達してもらうことがまず重要です。そのためのアプローチは、業種ごとによる強弱の違いはあっても、概ね共通しています。その共通しているアプローチは、以下の1)~6)になりますが、月商1,000万円までは、ほぼ例外なく、1)2)3)4)を地道に、ひたすらやり抜く、というのがほとんどのケースで勝ち筋となっていますが、なかなかそれができていない企業様が多いです。一流のプロ野球選手が「走り込み・素振りなどの基本動作が結局一番大切です」と言っている感覚に近いかもしれません。なかなかそれが出来ている会社さんは少ないです。これが、ECのコンサルティングを20年やってきて実感していることです。1)検索広告ECサイト立ち上げ時のテストマーケティング手段として有効です。検索広告をしっかりと運用することで、ターゲットとなるユーザーに対してどのような検索ワードを用いれば自分たちの事業や商品を届けられるのかシミュレーションすることができます。ただし、検索広告は立ち上げ時のテストマーケティング手段としては重要ですが、売上を大きく伸ばす主要な販売チャネルにはなり得ない事が多いです。ここで得た知見を 次の「自然検索」に横展開していくことが大切です。2)自然検索(SEO)ターゲット検索ワードを設定して、その検索結果で上位表示されることですが、Googleに対して、自分たちのサイト及び事業の価値を伝えることである、と言い換えることも可能です。一部の若年層をターゲットした商材(=Google検索よりSNS検索する世代)を除くと、日本のECサイトの集客活動においては最初から最後まで、自然検索がもっとも大きなチャネルとなります。サイトコンテンツの充実、自社でしかできないことをユーザー目線で表現する、こと。同じ検索結果で表示される他のサイトにないユニークな価値を提供するように商品設計を行うこと、などがこれらの具体的なタスクになります。3)比較サイト対策(及びアフィリエイト)自然検索に続いてここ数年、重要度が大幅にあがっているのが、この比較サイト対策(及びアフィリエイト)になります。比較サイトは複数社で比較した際の強みと弱みがまとまっているため、ユーザーにとっては時短で情報収集ができて、検討が捗るお役立ちツールの位置づけとなっています。特に「****おすすめ」で検索した際に上位表示される比較サイトは、10年前の飲食店における「王様のブランチ」くらいの影響の強さを持っています。「****おすすめ」で検索した際に上位表示されるサイトに対して掲載されるために必要なことをリストアップして、そこにアプローチする地道な作業を一つ一つ実行していく、というのが具体的なタスクになります。4)SNS運用(及び広告)ECサイト立ち上げ当初、売上がまだ小さいうちはSNSアカウントのフォロワー数も少ないことが想定されるので、SNSは広告をメインに使います。SNS特有のターゲティング機能、例えばIG/FB広告 では趣味趣向あるいは職業によるターゲティング、X(Twitter)広告では、特定のアカウント(競合アカウントや、インフルエンサーのアカウントなど)をフォローしているユーザーへの広告配信、などを行います。これらGoogle広告にない機能はECサイトの初期段階の集客ツールとして、重要な武器となります。ユーザー数が増え、SNSアカウントのフォロワー数が増えたら、メールやLINEなどとあわせて、既存客のCRMの接点としての活用の度合いを高めています。5)WEB PR・コンテンツマーケティング月商1,000万円になるまでは上記1)2)3)4)を中心に行います。ほぼ例外なく、この1)2)3)4)をオーソドックスに、やり抜くことが大切です。月商1,000万円を超えてくると、WEB PR やコンテンツマーケティングを立ち上げていき、直接自分たちの商品を探しているユーザー以外へのリーチを広げていく活動をしていくことになります。6)CRM月商が1億円を超え、会員数が1万人以上になったら、CRMがEC事業の主役に躍り出ます。顧客データと購買データを分析して、LTVを高めるための分析を行い、施策を立案し、遂行します。CRMに強いおすすめコンサル会社については、別記事で詳細に説明していますので、あわせてご参照ください。ツール提供だけではない、おすすめのCRMコンサル会社7選4.業種横断的に共通するアプローチその2(サイトユーザビリティ改善とCVR向上)月商1,000万円を超えてくると、サイトユーザビリティ改善の重要度が高まります。サイトユーザビリティを改善して、CVRを上げるためのアプローチとしては、以下の4つの手法が、専門的なユーザビリティコンサルティング会社が提供しており、おすすめです。ヤコブ・ニールセン博士が確立し、日本に定着した流れといえます。ヒューリスティック評価(エキスパートレビュー):コンサルタントによる経験則による改善点の抽出方法です。ベンチマーク評価:ヒューリスティック評価を競合他社・他業界のサイトと比較して行う手法です。アクセスログ解析:アクセスログ解析を単独で行うよりも、これらのユーザビリティ改善と合わせて実施することで有効な改善点の抽出につながります。またアクセスログ解析をサイトユーザビリティ改善のKPI策定のために行うのも重要な視点です。ユーザビリティテスト:ヤコブ・ニールセンが2000年に提唱した手法で「1セグメント5人のテスト」が業界標準となっています。ヒューリスティック評価とベンチマーク評価は<仮説・セオリー寄りの手法>です。他2つの手法と比較すると根拠が弱いですが、具体的な改善事項を短納期・低コストで抽出しやすい(ただし担当するコンサルタントの経験が豊富であれば、という前提で)、というメリットがあります。アクセスログ解析とユーザビリティテストは<調査寄り>というか調査そのものです。根拠が強いですが、コストと時間がかかるため、単独で十分有効な改善点を網羅することは実務的に困難な場合が多く、ヒューリスティック評価やベンチマーク評価と併用して行われることが一般的です。5.御社にあったECコンサルティング会社の選定方法(6つのチェックリストつき)担当者の経験に依存してしまう属人的要素が多いECコンサルでは、担当者の経験を見極めることが重要です。傾向として、営業が上手な会社と実務力が優れている会社が一致しない事が多いです。プレゼンが上手いかどうかに惑わされず、実際のプロジェクト経験があるかどうかを見極めて業者を選定されることを推奨します。以下のチェックリストに沿ってお選びください。会社のビジネスモデル:メインがツール販売でコンサルティングがサブであるか、コンサルティング自体がメインであるかを確認する。納品物に使用している資料:テンプレート/独自比率を見極める。一般的に実績豊富で大きな会社ほど、テンプレート比率が高まる。納品物の質と量:納品物において、方向性を提示するだけでなく、具体的なアクションを詳細な指示書レベルで提示されるかどうか、またその量はどのくらいかを見極める。担当者の実績:プレゼンの担当者や会社の実績ではなく、プロジェクト開始後にアサインされるメイン担当者の実績、経験と得意分野を確認する。担当者の能力:プロジェクト担当者が自分の業種や商品に対する理解を十分できそうか見極める担当者の目線:担当者が、ユーザー目線を持っているかどうか、ユーザー目線と企業のニーズを別の目線で区別して見ることができるかを見極める(両方必要)6.本当に実力のあるおすすめのECコンサルティング会社5選ECマーケティング株式会社強み:コンサルティングに特化している。弱み:少数精鋭でありリストアップした他の4社と比較して会社規模が小さい。株式会社いつも強み:モール(楽天、Amazon)を含めた全体サポートが強い。特に楽天、Amazonのモール運営において、楽天、Amazon出身者がコンサルタントに多く在籍し、外部に出ないノウハウも含めてサポートしてくれる。モールのノウハウは自社ECと違って、属人性が低いため、担当者の経験がそこまでなくても商材の強みと結びつけば成果を得られる可能性が相対的に高い。(※越境も)弱み:自社ECの通販支援は平均的(悪くはない)であること。組織が大きく育ってしまったので、実際にプロジェクトが始まると経験の浅い担当者をアサインされる割合がどうしても多くなってしまう。つまり担当者によって当たり外れが大きい。株式会社これから強み:自社ECに特化している点が株式会社いつもと対照的。自社ECに特化した通販支援コンサルとして、最大規模の数百名規模の組織であること。弱み:いつもと同様、組織が大きくなってしまったので、経験の浅い担当者がアサインされることがある。つまり担当者によって当たり外れが大きい。独自ドメインECサイトは担当する個人の経験がモール以上に重要であるため、その点は致命的。もちろん経験方法な担当者にあたればよいが、規模が小さい/予算が小さい場合、その確率は下がる。売れるネット広告社強み:主に美容健康関連商品において、初回トライアル獲得からの本品定期引き上げと、継続率向上とLTVを最大化するサブスク型D2C事業におけるノウハウ蓄積がもっとも蓄積しているエージェントであると考えられる(著者見解)。また、エージェントだけでなく、美容関連のサブスク型D2C事業者達とのコミュニティにもアクセスできることも強み。弱み:日本のEC市場において、ユーザーが商品を検索する際には、Google検索自体と、Google検索で上位表示される比較サイトでの比較検討が重要である。しかし売れるネット広告社は、おそらくわかっていながら、そこから距離をおいたところにノウハウを蓄積している。売れるネット広告社のコンサルティングを受けて事業運営している事業者の多くは、インターネット経由自然検索が弱い、広告に依存する事業モデルに陥りやすい。ネットショップ総研強み:日本のEC市場の黎明期から業界をリードしてきたコンサルタント集団であること。自社ECだけでなくAmazonをはじめとしたマルチチャネル戦略をカバーできること。コンサルティングだけでなく運営代行のアウトソーシングを含めてパートナーシップを模索している企業に最適な選択肢となりうる会社。弱み:これから、売れるネット広告社、いつもと比較して規模が小さい(これはECマーケティングと同様)。運営代行をサービスの中心に据えているため、コンサルティング単独での外注を検討している場合、優先順位が下がる。7.最後にいかがでしたでしょうか?御社サイトのEC事業育成、売上向上にお役立ていただけましたら幸いです。また、関連してこのような記事を作成してほしい、などご要望がありましたら、あるいは個別のプロジェクトについてご相談がありましたら、Webly編集部まで気軽にお問い合わせください。

  • 分かりやすく解説!DoS攻撃とDDoS攻撃の違い
    2024.02.20
    WEB制作

    DoS攻撃とDDoS攻撃の違いとは?手法や対処法まで分かりやすく解説!

    「大量のデータ送信を受けてサーバがダウンした!」これはDoS攻撃またはDDoS攻撃を受けた時の症状ですが、この2つに違いはあるのでしょうか?実は、サーバに負荷を与えて妨害する点は同じですが、対応の難しさや被害規模には大きな違いがあります。対処する際はDoS攻撃とDDoS攻撃を見極めることが大切です。この記事ではDoS攻撃とDDoS攻撃の違いや特徴、代表的な手法を解説しながら、それぞれの対処法にも触れていきます。1.DoS攻撃とDDoS攻撃の違いは「攻撃元のパソコン数」サイバー攻撃を受けたときは「攻撃の種類の見極め」が最適な対処につながります。DoS攻撃とDDoS攻撃は、どちらもサーバに大量の不可を与えて正常な稼働を妨害するサイバー攻撃です。ただし、攻撃元のパソコン台数が違うため被害規模や対処法が変わってきます。DoS攻撃は攻撃者本人の1台のパソコンが発信元ですが、DDoS攻撃は不正アクセスで支配下におかれた複数のパソコンから攻撃されます。1台のIPアドレスを特定すればいいDoS攻撃にくらべ、不特定多数の端末を利用するDDoS攻撃は相手の特定や対処が難しく、下記のような障害の規模や損失も大きくなるのが特徴です。DoS攻撃やDDoS攻撃による被害・Webサイトやサービスの停止、メールの停止による機会損失や賠償の発生・サーバの大量処理による利用料金の増大・攻撃に紛れたマルウェアへの感染・社会的信頼の失墜 など次章からDoS攻撃とDDoS攻撃の特徴をくわしく解説していきます。2.DoS攻撃の特徴と手法まずは、DoS攻撃の特徴と代表的な手法からご紹介します。DoS攻撃とはDoS(Denial Of Service)攻撃とは1台のパソコンから標的のサーバに多数の要求を送信して負荷をかけ、システムダウンを強いるサイバー攻撃です。サーバは大量の情報処理にリソースを割かなければならず、運用しているWebサイトやサービスに障害が発生します。一般的なDoS攻撃のほとんどはデータ盗難や乗っ取りなどのプログラムは含まれておらず、攻撃者に利益はありません。いたずらや嫌がらせの要素が強いサイバー攻撃といえるでしょう。DoS攻撃の代表的な手法メールボム攻撃一度に大量のメールを送り続け、メールサーバのパンクを狙う攻撃。メールの送受信ができなくなる。●F5攻撃キーボードの「F5」(再読み込みキー)の入力を繰り返させてサーバに負荷を与える。3.DDoS攻撃の特徴と手法つぎにDDoS攻撃の特徴と代表的な手法をみてきましょう。DDoS攻撃とはDDoS攻撃とは「Distributed(分散型) Denial Of Service」の略称で、マルウェアで支配下においた複数のパソコンを使って大規模なDoS攻撃を仕掛ける手口です。「踏み台」とも呼ばれる攻撃用パソコンは犯人との関連性がなく、IPアドレスの特定やブロックが困難なため対応に時間がかかります。最近ではネットワークカメラやルーターなどのIoT機器が踏み台にされるケースも多く、より特定が難しくなっています。DDoS攻撃は被害規模が大きい上、不正アクセスやマルウェア攻撃の窓口としても利用されるため慎重な対処が必要です。DDoS攻撃の代表的な手法SYNフラッド攻撃支配下にある複数のパソコンからSYNパケット(接続要求)を大量に送る手法。システム障害に乗じて不正アクセスを仕掛ける。その他の攻撃SYNフラッド攻撃と同様の手口でFINパケット(切断要求)、ACKパケット、UDPフラッドを利用した攻撃もある。4.DoS攻撃とDDoS攻撃は対処法にも違いがあるDoS攻撃とDDoS攻撃は対処法にも違いがあります。DoS攻撃の対処法は相手のIPアドレスを特定し、サーバのIPアドレス制限機能でアクセスを遮断します。攻撃元の端末が1台のため、知識さえあれば特定もそれほど大変ではありません。一方で、複数の端末から攻撃してくるDDoS攻撃はすべてのIPアドレスの特定と制限は難しいのが現実です。各手法に対応したファイアウォールやIPS、DDoS攻撃対策ツールなどでの対処になるでしょう。ただし、どちらも専門知識がない場合や大規模攻撃になった場合は自社での対処は困難です。被害が大きくなる前に保守サービスへの依頼を検討しましょう。保守サービスでは現在の攻撃への的確な対処はもちろん、DoS攻撃やDDoS攻撃以外のサイバー攻撃も含めた対策や定期的な脆弱性チェックなど、Webサイト全体の保守を強化できます。最近では自社のWebサイトに遠隔操作系のマルウェアを仕掛けられ、閲覧者の端末がDDoS攻撃に使われたという事例も増えています。自社の信頼や大切なユーザーを守るためにもDoS攻撃やDDoS攻撃をきっかけに、全体の保守を見直すことが重要です。5.まとめDoS攻撃とDDoS攻撃の大きな違いは攻撃に使われるパソコンの台数です。DoS攻撃では1台、DDoS攻撃では複数のパソコンが使用されます。また、DoS攻撃はいたずら要素が強く、DDoS攻撃はさらなるサイバー攻撃の窓口にされやすいといった特徴があります。対処法としては、DoS攻撃にはIPアドレスの特定とアクセス制限が有効ですが、複数の端末が利用されるDDoS攻撃は同様の対処は困難です。使われた手法に対応できる、より専門的な方法が求められます。知識に不安がある場合や被害を最小限に抑えたい場合は、専門知識をもった保守サービスに依頼しましょう。攻撃の対処はもちろん、今後の対策においても大きな助けになるはずです。

  • もし不正アクセスされたら?
    2024.02.20
    WEB制作

    【企業向け】不正アクセスされたらどうすべき?対処法をくわしく解説

    サイバー攻撃はもう日常です。「不正アクセスされたら、どうするか?」は、すべての企業がすべての従業員に伝えるべき最優先事項ともいえるでしょう。不正アクセスは「権限を持たない人間がシステム内部に入り込んだ」ということ。情報の盗難や改ざん、マルウェア感染、システムの異常がいつ起こってもおかしくない状態です。気が付いた本人がすぐに正しく動かなければ、大きな損害につながります。この記事では、不正アクセスされたときの対処法をくわしく解説します。落ち着いて確実に対処できるように手順を頭に入れておきましょう。1.不正アクセスされたときの対応手順まずは、すぐにネットワークから遮断しましょう。不正アクセスは「アクセス権限のない人間がシステム内部にいる」状態です。データの盗難や改ざん、マルウェアの感染と拡大、システムの停止など大きな被害を防止するために端末の隔離を優先します。被害を最小限に抑えるには不正アクセスに気づいた時点で、すばやく正しい手順で対処することが大切です。「①遮断、②パスワード変更、③報告」は特に迅速に行いましょう。不正アクセスされたときの手順サーバや端末をネットワークから遮断パスワードを変更する関係者や上司、セキュリティ担当に報告原因を調べる(マルウェア感染・情報漏洩など)被害状況を調べ・証拠を保存する復旧作業を行う警察へ連絡する再発を防ぐ対策をするこれらの手順について、次章からより詳しく解説していきます。2.不正アクセスされたら「被害の拡大防止」が最優先不正アクセスを発見して最初に考えるべきことは「被害の拡大防止」です。下記の手順を何よりも優先しましょう。サーバや端末をネットワークから遮断すぐにサーバや端末をネットワークから遮断します。「不正アクセス」と確定していない時点でも動きましょう。もし拡散型のマルウェアで攻撃されていたら、ネットワーク全体が被害を受けることになります。パスワード変更現在のパスワードは入手されている可能性が高く、攻撃者にパスワードを変更されてしまうと、こちらがログインできなくなります。早急に分かりにくいパスワードに変更しましょう。不正アクセスの報告ネットワークからの遮断とパスワードの変更が済んだら、感染拡大防止と対処のため関係各所へ連絡します。職場によって違いはありますが、企業端末の場合は下記3か所への報告が一般的です。上司同じネットワークを使用している全スタッフセキュリティ担当3.次に不正アクセスされた原因と被害を調べる端末の隔離や報告が終わったら、原因と被害状況を調べます。不正アクセスの原因を調べる不正アクセスの原因はこのような方法で調べます。不審なファイルやサイトの開封履歴はないか通信履歴のあるサイトやメール相手にも被害がでていないかセキュリティ上の脆弱性(古いOSやアプリなど)がないかIDやパスワードが漏洩する機会がなかったか(人的要素も含める)ウイルススキャンでマルウェアを検出する※※ウイルススキャンでの確認はマルウェアの種類やソフトウェアの性能によっては検出できない場合もあるので注意しましょう。被害状況を調べる覚えのないパスワード変更通知やパソコンの動作異常などで不正アクセスに気づくケースが多いようですが、その他の被害も潜んでいる可能性が高いので注意深く調べましょう。企業でよくある被害は以下の通りです。Webサイトの改ざん(マルウェアの感染経路にされる)データの改ざん・破壊・流出データ破壊による身代金要求(ランサムウェア)個人情報・機密情報の漏洩遠隔操作による不正送金企業アカウント盗難による「なりすまし被害」 など通報のために証拠を保存する不正アクセスは「不正アクセス禁止法違反」にあたる犯罪です。各都道府県の警察に設置されたサイバー犯罪相談窓口への届け出が必要となります。証拠保存のためサーバログのバックアップをとりましょう。警察のサイバー犯罪相談窓口は不正アクセスの対処や復旧の相談にものってくれます。4.不正アクセスの復旧と防止対策は専門家へ不正アクセスが日常的に増えているとはいえ、オフラインにした後の対応は自分では難しいと感じる方も多いでしょう。不正アクセスの被害の確認はデータの異常有無やメールの送受信点検など多岐にわたり、「マルウェア感染があった」ともなれば駆除や復旧にさらなる専門知識が必要です。また、復旧後は再発防止のために脆弱性を見直し、新たな対策をたてなければなりません。社内にセキュリティ部門がない場合は、外部の保守サービスの利用がおすすめです。月3万円程度の費用で不正アクセスの被害検証からサイトの死活監視、今後のセキュリティ対策まで丸ごと任せられます。オプションで障害発生時の復旧まで受けられる手厚いサービスもあります。日々手口が巧妙化している不正アクセスに、通常業務をこなしながら万全の対策をするのは難しいものです。専門家の手を借りることも視野に入れましょう。5.まとめ不正アクセスをされたら、まずネットワークから遮断しましょう。乗っ取りやマルウェアの被害拡大を防ぐために「遮断→パスワード変更→報告」の手順で対処することが大切です。それらが済んだら、落ち着いて原因の究明や被害状況の把握を行います。セキュリティ対策ソフトウェアでのマルウェア検出や人的要因の可能性までしっかりと調べ、警察へ届け出るときの証拠としてログの記録もとっておきましょう。これらの不正アクセスへの対応は専門知識がないと難しい場合もあります。不安がある場合は保守サービスの利用も検討しましょう。対処復旧から今後の対策まで、かなり頼りになるはずです。

  • CMSセキュリティリスク
    2024.02.16
    WEB制作

    CMSのセキュリティリスク|種類ごとの危険性・対策を紹介

    CMSはContents Management Systemの略。Webサイトの更新と管理を助けてくれるシステムのことです。代表的な例としてWordPressをご存知の方も多いのではないでしょうか。基本的にインターネットを通じて利用するシステムなので、サイバー攻撃や内部の情報漏えいなどのセキュリティリスクにさらされることもあります。CMSでも種類によって生じやすいリスクや対策が若干変わってきますので、しっかり把握しておくことが大切です。この記事ではCMSのセキュリティリスクについて、種類ごとに分かりやすく解説します。1.CMSは種類によってセキュリティリスクが異なる?CMSは日本語で言うと「コンテンツ管理システム」の略称です。CSSやHTMLへの専門知識が必要なサイト制作を管理システム内で簡単に行えることから、現在ではサイト作りのために多くの人が導入しています。しかし、運用者の中にはセキュリティリスクに無知な人もおり、サイバー攻撃の被害に遭うケースも少なくありません。企業のサイト運用でありがちなのは、担当者が売上アップを狙えるコンテンツ(記事など)の制作にリソースを割きすぎて保守に手が回っていないパターン。特にWordPressなどのオープンソース型CMSでは自主的なセキュリティ管理が肝要です。>>>WordPressのセキュリティリスクについてはこちらから<<<CMSの種類・メリットとデメリット種類メリットデメリットオープンソース型カスタマイズ性が高い自主的なセキュリティ対策が必要パッケージ型ベンダーによる安全対策が整っている自主サーバーの整備が必要クラウド型サーバーがなくても安価or無料カスタマイズ性が低いCMSは大きく分けてこの3種類。それぞれの特徴について詳しくは後述しますが、最もシェアが大きいのは無料で誰でも使えてカスタマイズもしやすいオープンソース型のCMSです。2.オープンソース型CMSのセキュリティリスクオープンソース型CMSにもさまざまな種類がありますが、その中でも一番多くの人に使われているのはWordPressです。W3Techsのデータ※によれば、CMSで制作したサイトのうち62.8%はWordPressを使っているそうです。シェアが大きい上、以下のような問題点があるためセキュリティリスクは比較的高いと言えます。もちろん安全に利用しているユーザーもたくさんいますし、必ずしも危険というわけではありません。WordPress向けの保守サービスを提供している会社としては、セキュリティ対策を認識せず脆弱性を突かれて攻撃を受けるWebサイトが多いことは非常にもったいなく思います。「サイトを作ったら終わり」ではなく、以下のようなセキュリティリスクを踏まえたうえで一定の対策を講じる必要があることは認識しておきましょう。コードが公開されているオープンソース型CMSの特徴はカスタマイズ性の高さです。Webサイトを構築するためのコード(具の中身)は基本的にどのサイトも同じで誰にでも見られる状態になっています。攻撃者から見ると脆弱性を突きやすい状況だと言えるでしょう。プラグイン・モジュールなどから侵入されやすいオープンソース型CMSはあらかじめサイトを作るための基本的な機能を搭載した状態で誰でもダウンロードできるよう公開されていますが、便利に使うためにはカスタマイズが必要になります。オープンソース型では、追加で機能が必要になった時のために拡張機能が使えるようになっていることがほとんどです。ツールによってプラグイン・モジュールなどさまざまな言い方はありますが、「誰でも作れる」「他の人とも共有できる」拡張機能であることは共通しています。拡張機能はCMSの開発者でなくとも自由に作ることができますし、中には作るだけ作って更新を放置してしまう人もいます。オープンソース型の場合、こういったプラグインやモジュールの脆弱性から攻撃を受けるリスクがあるのです。対策を十分にしていない人が多いオープンソース型CMSのサイトで被害を受ける人が多い一番の理由は、シェアの大きさと参入のハードルの低さゆえに対策のやり方を分かっていない初心者でも簡単に導入できてしまうためです。特にWordPressは対策の浅さが原因でセキュリティが甘い状態になっているサイトが多く見られるので、「狙われやすい」と言われがちです。実際、バージョンの管理をしていないようなサイトがどんどん標的になっています。>>>WordPressの脆弱性事例<<<3.パッケージ型・クラウド型(SaaS型)CMSのセキュリティリスクパッケージ型、クラウド型のCMSはオープンソース型CMSと違い、制作と管理を担う企業(ベンダー)が存在します。そのため、基本的には自社でセキュリティ対策に割くリソースは少なくなるでしょう。その分カスタマイズ性が下がり、高度な拡張機能の搭載には比較的高額なオプション代が必要になります。パッケージ型CMSの特徴ベンダーが独自に開発したCMSライセンスを購入し、自社サーバーにインストールするタイプのCMSです。オープンソース型はフォーム機能やデザインのカスタマイズなどの基本要素を拡張機能によって補う必要がありますが、パッケージ型の場合はあらかじめ必要な機能が搭載されています。CMSをインストールするサーバーを運用側で調達・管理することが前提になっているので、サーバーを自社で用意できる中~大規模サイトに利用されることが多いのが特徴です。クラウド型(SaaS型)CMSの特徴ベンダーが制作したCMSをインターネット(ブラウザ)経由で利用できるのが特徴です。パッケージ型と違って自前でサーバーを用意する必要がないので、小規模なサイトや個人ブログ運用にも手軽に利用できます。ただし、カスタマイズの自由度はかなり下がることには注意が必要です。代表的なクラウド型CMSといえば、「WordPress.com」。初心者には混同されがちですが、「.com」の方はWordPressと同じ開発者がオープンソース型のWordPressをクラウドで使える形にしたサービスです。オープンソース型CMSとの違い、セキュリティリスクパッケージ型CMSもクラウド型CMSもベンダーが提供するシステムを利用するという点が共通しています。オープンソースと比較すると自由度が低くなる分、比較的セキュリティリスクは低いと言えるでしょう。ただし、セキュリティリスクがゼロになるわけではありません。パッケージ型はサーバー等への不正アクセスの対策やアップデートなどのメンテナンスは自社で行う必要があります。クラウド型は自社サーバーがなくても利用できますが、サービスを提供しているベンダーのセキュリティ対策や有事のサポート制度によるところが大きいのがセキュリティ的なデメリットになりうるでしょう。サイト制作が終わった後にCMSを乗り換えるのは至難の業なので、これからサイトを作る方は熟慮して利用するCMSを決めるべきでしょう。4.CMSのセキュリティリスクを回避する対策CMSはインターネットを通じてサイト制作を管理するシステムなので、利用するうえではどうしてもセキュリティリスクが生じてしまいます。では、どんな方法を取ればリスクを回避できるのでしょうか。自社に合ったタイプのCMSを取り入れるどのタイプのCMSも一長一短。「これを選んだら安全」ということもないので、作りたいサイトの形式や制作環境に応じて使い分けるのが大切です。それぞれのCMSの特徴を把握して、自社の求めるコンテンツに沿ったものを取り入れましょう。セキュリティ対策ソフトを導入する特に自分で環境を整えなければならないオープンソース型では、WAFやファイアウォールを設置して自分の身を守ることが重要です。例えばWordPressにはWAFをサイトのシステムに組み込めるプラグインなどもあるので、利用する場合は導入しておいた方がいいでしょう。(セキュリティ対策のプラグインについては「WordPressの安全を守る!セキュリティ対策プラグイン7選」で詳しく解説しています。)脆弱性情報を収集する脆弱性情報の収集も非常に重要です。特にオープンソースCMSの運用者は誰かが定期的にチェックしておくことをおすすめします。システム内の脆弱性は時間が経ってから見つかることもあるので、更新される情報についていかなければどんどん穴のあるサイトになっていってしまいます。セキュリティ対策をして終わりではなく、日々移り変わる情報を集めて対策することが大切です。アップデートを管理するアップデート(バージョンアップ)は新しい機能の追加のほか、セキュリティの脆弱性を修正する目的で実施されることも多々あります。そのため、アップデート情報が出たら可能な限り早く実装するようにしましょう。特にオープンソース型ではアップデート後に拡張機能との互換性の問題で表示崩れなどが発生するケースがかなりの確率(弊社エンジニアの体感だとメジャーアップデート時は40%くらい)で起こります。「サイトの表示を保ちたいから」という理由でバージョンをそのままにしてしまう事例が散見されますが、しっかり管理されていないサイトはサイバー攻撃を受けるリスクを増大させてしまいます。表示崩れ等が起こるのはある程度仕方のない現象ですので、放置せずしっかり対応するのが重要です。自社のリソースでアップデートの管理が難しいようなら、保守サービスの利用も検討してみましょう。定期的にサイトのセキュリティ診断を行うどんな形式のサイトでも、脆弱性診断を行うことでセキュリティの課題点を洗い出して改善することができます。また検索流入を増やしてコンバージョンを上げるには、表示スピードの改善などの対策も必要です。セキュリティ保守と並行してSEOの内部対策を行うのもおすすめです。5.まとめCMSにはオープンソース型パッケージ型クラウド型(SaaS型)の3種類があります。特にシェアの大きいオープンソース型はカスタマイズ性が高い分、対策を怠るとセキュリティリスクが高まります。しかし、どんなCMSであっても基本的なセキュリティ対策は非常に大切です。もし自社サイトのセキュリティへの対策が十分でないとお考えでしたら、保守サービスの利用をおすすめします。当社のサービスでは、WordPressはもちろんご相談次第で他のCMSの保守も代行できます。「自社のCMSに対応してくれるか知りたい」という方はまずお問い合わせください。当社の専門家が丁寧にヒアリングいたします。→WordPressサイトの無料セキュリティ診断はこちら※W3Techs+「Usage statistics of content management systems」

  • WordPressは狙われる?仕組みを解説
    2024.02.13
    WEB制作

    WordPressが狙われるのはなぜ?仕組みを分かりやすく解説します

    「WordPressはセキュリティ的に危ない」「やめとけ」という言説はたびたび流布します。WordPressの保守運用サービスを提供する会社として本当のところは違うと考えていますが、実際のところWordPressがサイバー攻撃の標的になることが多いことは事実です。しかし仕組みを理解してどのような面に危険性が潜んでいるか知って対策できていれば、リスクをかなり低減させることができます。なぜ「狙われやすい」と言われるのか仕組みの側面から分かりやすく解説しますので、WordPressの安全性に不安がある方はぜひ参考にしてください。1.WordPressは狙われやすくて危険なのか?冒頭でも述べましたが、結論から言って「WordPressばかり狙われる」「危険だからやめるべき」というわけではありません。誰が作ったどんなツールにも弱点が存在します。攻撃を避けるために自分でコードを書いてサイトを作ったとしても、脆弱性のリスクがゼロになることは実質不可能です。しかしWordPressは構築の自由度が非常に高いため、その分リスクヘッジを自分たちでやらなければならないのも確かでしょう。サイバー攻撃の標的にならないよう、対策をしっかり行うことはとても重要です。→対策はこちら2.WordPressが狙われやすいのはなぜか?理由5選WordPressが狙われやすいと言われる原因は何でしょうか?簡単に説明すると「よく知らずに使っている人が多いから」です。具体的には、大きく分けて5つの要因があると考えています。無料ゆえにシェアが大きいW3Techsのデータ※によればWordPressの市場シェアは約62.8%。類を見ないほどシェアが大きいCMSです。利用者が多い端的な理由の一つは「無料だから」でしょう。サイトの構築にはサーバーやドメインが必要ですが、裏を返せばそれ以外の部分にはほとんどお金がかかりません。カスタマイズに必要なプラグインやテーマも無料のものがたくさんあるので、CMSの中では参入障壁がとても低いと言えるでしょう。利用者の多さゆえ、必然的に攻撃に遭うサイトのCMSを調べるとWordPressである可能性も高くなります。単純ですが、これが被害を受ける人が多いと言われる要因の一つです。更新せず放置している人が多いサイバー攻撃のターゲットにしやすいのは「セキュリティについて知らない人」です。そしてアップデート(バージョンアップ)の放置はセキュリティに無知であることを最も分かりやすく示す証拠になります。まずはWordPressの仕組みから考えてみましょう。アップデートには脆弱性を修正するという大切な役割もありますが、オープンソースという性質上強制的に適用されることはありません。バージョンの更新はあくまで自己意思によって行わなければならないということです。マーケティング担当者がSEO対策やコンテンツ作成業務の一環でWordPressを使用している企業はかなり多いはずです。本来サイトの運用担当はシステムの更新・管理を担うはずですが、マーケティング担当者の最終ミッションは集客効果・売上効果アップなので、直接利益につながらない保守業務を怠りがちになります。したがって、何らかのエラーや表示崩れが起きるまで更新・管理を放置してしまう担当者が多いのが現実です。セキュリティリスクを考えると脆弱性を放置すべきではありませんが、シェアの大きさ故どうしても安全管理の重要性に気付かない運用者が一定数出てきます。そういう意味では、攻撃者から見たWordPressはネギをしょったカモがたくさんいる状態に近いのかもしれません。プラグイン・テーマに脆弱性があるWordPress本体(コア)は脆弱性が見つかってもすぐに修正されるため、2017年以降大規模なサイバー攻撃は起こっていません。しかしプラグインやテーマなどの拡張機能は誰でも作れるので、深刻な脆弱性が元から存在するパターンや後から見つかった問題を放置してしまうパターンも多いです。テーマとプラグインに生じる脆弱性は攻撃者に狙われやすい一因を作っていると言えるでしょう。プログラムの仕組みが分かりやすいWordPressはオープンソースのCMSです。「オープンソース」とはプログラムのソースを公開しているという意味であり、プログラムの設計が誰でも見られる・編集できる状態にあることが特徴です。WordPressが人気なのは管理のしやすさを優先して内部ファイルの設計を簡単にカスタマイズできる仕様にしているからですが、それゆえ攻撃者側から見ても脆弱性を突きやすいという代償を生み出しています。初期設定ではログイン画面のセキュリティが甘いWordPressは初期設定のままだとURLアドレス・ログインID・パスワードの3つを揃えるだけで誰でもログインできてしまいます。管理者権限を持つユーザーの管理画面に入ることさえできれば、内部の情報を入手するのは簡単です。サイトの改ざん、コンテンツの消去などはもちろん、サイトのシステム内部を経由して他のデバイスから情報を抜き取られてしまうかもしれません。3.WordPressの仕組み・狙われるポイントWordPressは動的CMSと呼ばれる区分のツールなので、運用者がCMSのインターフェイス(管理画面)から画像やテキストなどのコンテンツを入れることができます。管理画面からプラグイン、テーマの変更することで簡単にデザインや内部の設定をサイト上に反映できるので、初心者でも簡単にページをカスタマイズできるのも特徴です。そのため、CMSのデータベースを直接編集する知識がないまま運用しているケースも少なくありません。知識のなさを狙ってハッカーが攻撃を仕掛けてくるのです。セキュリティ保全を怠った場合、自社サイトが攻撃の対象になっても気が付かない可能性があるのも恐ろしいところです。4.今すぐできる!WordPressのセキュリティ対策誤解のないよう何度も言いますが、「WordPressだから狙われやすい」ということはありません。セキュリティに予算を割き、安全にサイトを運用している企業もたくさんあります。ご自身が運営しているWordPressのサイトにセキュリティ的な懸念があるようでしたら、まずは以下の対策がきちんとできているか確かめてみましょう。プラグイン・テーマを管理するプラグイン・テーマの放置はサイトに脆弱性をもたらす一番の原因です。入れたら終わりではなく、管理する必要があることを忘れないでください。具体的には以下の項目を実行できるとよいでしょう。●使わないものは削除保守の対象となるサイトの中には使っていないプラグインを「無効化」のまま放置しているパターンが散見されますが、無効化にしたプラグインからも脆弱性をかいくぐられる可能性は十分あります。使わないことが分かったら削除するようにしてください。●長期間更新されていないものは使わないWordPressのテーマやプラグインはバージョンアップに合わせたり、発見された脆弱性を修正したりするために定期的な更新が必要になります。しかし、もちろん義務ではないので中には長期間更新されていないものもたくさんあります。おすすめ記事などで過去に紹介された有名なプラグインであっても、1年以上更新されていなければ使わないようにしましょう。●セキュリティ系のプラグインを入れる先述したように、初期設定の管理画面は不正アクセスを受ける可能性が高まります。その他にもWAFの設置などセキュリティ強化の機能が入ったプラグインの導入は必須です。>>>おすすめセキュリティ対策プラグイン記事はこちらから<<<常に最新バージョンを保つWordPress本体(コア)もプラグイン・テーマも、アップデートがあればできるだけ早くインストールするよう心がけましょう。たまに「表示崩れするから」などの理由でアップデートを放置してしまう運用者も見受けられますが、もし自分で管理が難しいなら外注での保守も検討すべきです。>>>自社サイトの更新を代行!保守サービスについて詳しく知る<<<ID・パスワードを管理する生年月日、1234など推測されやすい文字列を使ったパスワードは危険です。また、ログインのためのIDをドメイン名にしているのも危険なのでやめた方が良いでしょう。従業員のパスワード管理基準を明確にするために、規定を明文化したパスワードルールを作るのも一つの手です。セキュリティ診断をするセキュリティ診断を行うと、サイトに隠れた脆弱性を簡単に見つけることができます。特に初心者の運用はセキュリティリスクを見落としていることが多いため、企業サイトを安全に保守したい場合は定期的にプロに問題点がないか見てもらった方が安心です。>>>無料セキュリティ診断はこちらから<<<5.まとめWordPressが狙われやすいと言われる理由は、端的に説明すると「セキュリティについて知らずに運用している人がたくさんいるから」です。セキュリティ対策をしっかり行い、自分の身は自分で守る体制ができていればリスクが高すぎるということはありません。裏を返せば、セキュリティに予算を割かない企業はWordPressの運用には向いていないと言えるでしょう。「自社で運用しているWordPressサイトのセキュリティに不安がある」という方は、今からでも保守管理を行うことをおすすめします。※W3Techs+「Usage statistics of content management systems」

  • WordPress セキュリティ対策 プラグイン
    2024.02.13
    WEB制作

    WordPressの安全を守る!セキュリティ対策プラグイン7選

    WordPressを安全に運用するにはさまざまな面でのセキュリティ対策が不可欠です。しかしサイト運用の初心者にとっては難しい対策方法もあり、どうすればいいか分からないと悩んでいるWEB担当者は多いのではないでしょうか。「何の対策もできていない」とお思いでしたら、まずWordPressの拡張機能であるプラグインを利用して基本的なセキュリティを整備しましょう。1.セキュリティ対策プラグインは必要不可欠WordPressは何の対策もしていない初期設定だとセキュリティが十分とは言えません。例えば、WordPressの管理画面へのURLは初期設定だとサイトのドメインから簡単に推測できる仕様になっています。ログインページから不正アクセスを試みるサイバー攻撃(ブルートフォース攻撃など)は管理画面に入らなければ実行できないため、ログインURLを変更することが一定のセキュリティ保護につながるでしょう。サイバー攻撃についての詳細は「サイバー攻撃の種類をカテゴリごとに分かりやすく解説!」でもご紹介しています。興味があればぜひこちらもご覧ください。ログイン画面のカスタマイズは内部のファイル(.htaccess)を編集することでも可能になりますが、知識のない人がコードを直接いじるのはおすすめできません。WordPressはプラグインの導入であらゆる機能を強化できるのが利点でもあるので、どんどん入れて使いましょう。(ただし入れすぎは脆弱性を生む要因になりますし、サイトの表示スピードが遅くなるリスクもあります。必要ないものは入れないようにすることも重要です。)今回紹介するプラグインだと「SiteGuard WP Plugin」で管理画面をカスタマイズできます。特にセキュリティ関連のプラグインはどんなサイトにも適用できるので、もし入っていないプラグインがあれば導入しておくことをおすすめします。おすすめセキュリティ対策プラグイン一覧おすすめ度プラグイン名主な機能★★★★★SiteGuard管理画面のカスタマイズ★★★★★Wordfenceサイバー攻撃防止★★★★☆BackWPupデータのバックアップ★★★★☆Easy Updates Manager自動更新アシスト★★★★☆Akismetスパムコメント防止★★★☆☆Meta Generator and Version Info Removerバージョン非表示★★★☆☆Two-Factorログイン二段階認証2.【導入必須編】WordPressセキュリティ対策プラグインまずは導入ほぼ必須の基本プラグインをご紹介しましょう。これから挙げるもの以外にも類似するプラグインはいくつかありますが、今回は当社のセキュリティ保守エンジニアが実際に導入しているものをピックアップします。SiteGuard:管理画面のカスタマイズ管理画面をカスタマイズすることができるプラグインです。先述したようにデフォルト設定だとログイン画面から不正アクセスされやすいので、ぜひインストールしておきましょう。●主な機能URL変更管理ページへのアクセス制限画像認証追加ログインアラート(メールでの通知) などWordfence:サイバー攻撃防止セキュリティ全般を保護してくれる便利なプラグイン。セキュリティ機能を提供しているプラグインは多種ありますが、当サイトではWordfenceを使っています。さまざまなセキュリティを一括で実装してくれる上、アップデートも頻繁にあるので安心して使えるプラグインです。●主な機能WAFの設置ファイアウォールの設置マルウェアスキャンログイン二段階認証RECAPTCHA(フォームの不正アクセス防止)侵入アラートテーマ、プラグインの脆弱性監視、通知 など有料版と無料版がありますが、基本的な機能は無料版でも揃っています。3.【導入推奨編】WordPressセキュリティ対策プラグイン導入推奨編のプラグインは利用している機能やサーバーの仕様によっては導入をおすすめしているものです。必要なければ入れなくても問題ない場合もありますが、基本的には入れておいたほうがよいでしょう。当社の保守サービスでは、サイトの状況を見つつ基本的にBackWPupとEasy Updates Managerの導入をおすすめしています。BackWPup:データのバックアップアップデート時の障害やサイバー攻撃の被害にあったときなどには、まず元あったデータを復元する必要があります。レンタルサーバー(ホスティング)と契約している場合は利用しているサービスによってバックアップ機能がついていることもありますが、自社サーバーを使っている場合や契約サーバーにバックアップ機能がない場合は導入必須のプラグインです。Easy Updates Manager:自動更新アシストWordPressの本体(コア)は自動更新設定が可能で、プラグインとテーマも自動更新機能がついているものも多くあります。しかし中には自動更新機能がデフォルトでついていないものもあるので、このプラグインを使って自動更新を管理しておくとよいでしょう。自動更新によってアップデートのし忘れによる脆弱性の発生を防ぐことができます。プラグインの自動更新については「【WordPress担当者必見】プラグインの自動更新機能について!停止方法も解説」もご覧ください。Akismet:スパムコメント防止スパムコメントを自動的にスパムフォルダへ振り分けるプラグイン。ブログやオウンドメディアなどを運用していてコメント欄を実装している場合は導入必須です。コメント欄がない場合は入れなくてもよいでしょう。4.【あったら便利編】WordPressセキュリティ対策プラグインここからはサイトのセキュリティをさらに強化するためにあったら便利なプラグインをご紹介します。先述しましたが、プラグインはたくさん入れすぎるとサイトが重くなってしまう可能性もあります。デメリットも考慮したうえで導入してください。Meta Generator and Version Info Remover:バージョン非表示WordPressのバージョンを外部から非表示にしてくれるプラグイン。バージョンの非表示はプラグインを使わなくてもテーマのファイル(functions.php)の記述を変更すれば比較的簡単に実装できます。しかし、「コードを編集するのは怖い」という人は導入しておくといいかもしれません。ただし24年2月時点で半年間アップデートの通知がないので、これ以上未更新の状態が続くようならインストールはやめておいた方がいいでしょう。導入を検討している方は最新の更新情報を確認してみるのをおすすめします。Two-Factor:ログイン二段階認証現在はWordFenceに二段階認証システムが搭載されているため、基本的には必要ないプラグインです。ただし、Wordfenceの二段階認証はアプリを導入しなければならないワンタイムパスワード式で少し手間がかかるので、メール認証、セキュリティキーの認証など違う手段でログインしたい方におすすめです。5.まとめWordPressのセキュリティ対策にはプラグインの導入が欠かせません。管理画面のカスタマイズやWAFを設置できるプラグインをインストールすることで、ある程度のセキュリティを確保することができます。まだ対策がきちんとできていない方は早めに導入しておきましょう。ただし中には機能が被っている場合や、サイトの軽量化などを考えるとプラグインではない方法で実装した方がよい場合もあります。また、「入れたから安全」というわけでもありません。プラグインだけでは回避しきれない攻撃がある点にも注意しましょう。管理が難しいと思うのであれば、サイト保守に代行してもらうのも一つの手です。特に自社サイトの運用に手が回っていないようなら導入を検討してみてください。

  • WordPress エラーの原因 解決方法
    2024.02.13
    WEB制作

    【初心者向け】WordPressでエラーが発生する原因と解決方法を解説

    WordPressでエラーが起こってしまい、困った経験はないでしょうか?自社サイトの運用では、特にマーケティングやコンテンツ制作の担当がエラーに遭遇して立ち往生してしまう場面をよく見かけます。WordPressに詳しいシステム担当がいなかったとしても、意外と簡単に解決できることがあります。まずはこの記事で紹介する方法を試してみましょう。この記事で紹介するのはあくまで初心者向けのエラー解決方法です。サイトの構築に深刻な問題がある場合、外部から攻撃を受けた場合などはむやみにサイトを触らず専門家に相談してみましょう。WordPressのサイトにエラーが発生する原因エラーの発生原因は大きく分けて5つ。もし原因が分かっていれば、生じている問題に合わせた解決方法を試してみましょう。もし分からない場合は①から順に確かめてください。また、WordPress側でエラーを検出した場合は管理者宛てにメールが届くかもしれません。まずはメールボックスを確認することをおすすめします。→メールが届いている場合の対処法はこちら①プラグイン、テーマに問題があるWordPressに何らかの異常があるときはまずプラグインとテーマが原因であることを疑ってみましょう。互換性の問題やバージョンが古いなどの理由でエラーが発生している可能性があります。まずは管理画面のプラグイン設定からプラグインを全て無効化し、エラーが解消するか試してみてください。(管理画面に入れない場合はデータベース内の情報を変更することで無効化させるという手段もあります。ファイルの編集ができる方は「wp-content/」>「plugins」のフォルダ名を別の名前に変更してみましょう。)プラグインを無効化によってエラーが解消した場合はいずれかのプラグインに問題があったということになります。テーマの場合は一旦テーマ設定をデフォルトにしてみましょう。それで解決すればテーマがエラーの原因です。→解決方法はこちら②メモリ制限がかかっているWordPressではデータを保存するためにメモリを使用するのですが、サイト規模が大きい場合や複雑なプログラムを実行するとより多くのPHPメモリを消費する場合があります。あらかじめ設定されているメモリ上限を超えると、サイトに紐づいているPHPが操作を実行できずにエラーが発生してしまいます。プラグイン・テーマが原因ではなかった場合はメモリの上限を超えていないか確認してみましょう。WordPressのPHPメモリ上限は、管理画面の「ツール」>「サイトヘルス」>「情報」>「サーバー」で確認することができます。多くのサーバーのデフォルト設定が256Mなので、それを下回っている場合はPHPメモリ上限がエラーの原因になっているかもしれません。→解決方法はこちら③サーバーにエラーが起こっているWebサーバー内でプログラムが正しく動作しない場合に発生するエラーです。サイトを表示しようとすると500エラーが出てくるようなら一時的な負荷が原因かもしれません。その場合は数分待てば解消されることも多いです。時間をおいても解決しないタイプのエラーは多くの場合ファイル内の記述ミスで発生します。特に「.htaccessファイル」はアクセスの制御ができるファイルなので、入力エラーが発生するとサイトにアクセスできなくなるなどの異変が起こりやすい傾向にあります。→解決方法はこちら④入力するログイン画面のURLを間違えているサイトは正常に表示されるのにログイン画面にエラーが出ている場合は、ログインのURLを間違えている可能性があります。かなり初歩的なことかもしれませんが、管理画面へのログイン設定をいじったときなどは意外とありがちなミスです。心当たりがあれば一度確かめてみるとよいでしょう。→解決方法はこちら⑤サイバー攻撃を受けた可能性を疑う①~④までの原因に当てはまらない場合、サイバー攻撃の影響を受けている可能性も考えられます。不正アクセスを受けてサイトを乗っ取られた不正ログインを試みた攻撃者によって制限がかかったという場合は、初心者では対応しきれないことがほとんどです。むやみにサイトを触るとマルウェアに感染するなど被害が拡大することもあるので、心当たりがあれば自分で解決しようとせず専門家に相談することが重要です。WordPressからメールが届いている場合の解決方法技術的なエラーが発生した旨のメールが管理者宛てに届いた場合は、メールの指示通りリカバリーモードで修復しましょう。リカバリーモードにアクセスできるリンクは有効期限1日しかありません。セッションが切れた後もう一度エラー画面を表示させると再度リカバリーモードのページに入ることができますが、いずれにせよなるべく早急に修復しましょう。原因①「プラグイン・テーマに問題がある」の解決方法その場合は一つずつ有効化していき、都度サイトを更新していってください。有効化してエラーが発生したら、そのプラグインが原因だったということになります。該当プラグインは削除し、代替を探すなどして解決しましょう。カスタマイズしている場合はデータ内の問題を探るか、親テーマそのものに問題があった場合は新しいテーマに変更するしかないでしょう。原因②「メモリ制限がかかっている」の解決方法容量の少ないサーバーを契約している場合はリソースが不足している可能性があるので、ホスティングの場合は契約しているサーバーに問合せてみるとよいでしょう。自分でPHPメモリを増やしたい場合はwp-config.php というファイルを編集すれば上限を増やすことができます。原因③「サーバーにエラーが起こっている」の解決方法サーバー内部のデータ記述に問題がある場合はログを確認したり、データベースを確認・編集したりする必要があるので、初心者が自力で解決を試みるのはおすすめしません。疑わしい事態の場合は専門家に相談すべきでしょう。ただし、レンタルサーバー(ホスティング)の有効期限が切れていたという場合は再更新すればすぐに解消できます。契約しているサーバーを一度確認してみましょう。また、一時的にサーバーがダウンする「500エラー」が頻繁に起こる場合はサーバーのスペックが足りていない可能性があります。スペックの高いサーバーに乗り換える検討をしてください。原因④「入力するログイン画面のURLを間違えている」の解決方法通常、ログイン画面のURLはhttps://ドメイン名/wp-login.phphttps://ドメイン名/サブディレクトリ名/wp-login.phpになっているはずです。タイプミスで入力を間違えるパターンは意外とあるので、入力しているものが間違っていないか確認しましょう。またセキュリティ対策でログイン画面のURLを変更したあと気付かずに前のURLを入力してしまうパターンもたびたび見られます。ログインURLを変えた場合はWordPressからメールが届いているはずなので、一度確かめてみてください。まとめWordPressでエラーが発生した場合は原因に合わせて簡単な対処法から試してみましょう。ただし、「サイバー攻撃を受けた」「復旧が難しい」「原因が分からない」といった場合は初心者では解決が難しいと思いますので、プロによる診断・復旧をおすすめします。当社でもサイト復旧やエラーを未然に防ぐ保守サービスを提供しておりますので、お困りの際はぜひお問い合わせください。

  • 標的型攻撃攻撃とは?手口・対策
    2024.02.08
    WEB制作

    標的型攻撃とは?種類や手口、企業が行うべき対策を教えます

    サイバー攻撃の手法は日々複雑化してきており、その中でも標的型攻撃は見分けがつきづらく悪質です。あなたはどんな手段で攻撃者がセキュリティの穴を潜り抜けるか知っていますか?「自分の会社は大丈夫」などと他人事に考えている人も多く、会社組織として対策を講じず担当者の裁量に任せた結果、多額の損害を抱えてしまう事案もたびたび見られます。手口を学んで想定される被害に応じて対策をすれば最悪の事態に及ぶリスクを減らすことができますが、なかなか周知されていないのが現状です。この記事ではサイバー攻撃の一種である「標的型攻撃」について、種類や手口をくわしく解説します。企業が行っておくべき対策もお伝えしますので、ぜひ参考にしてください。1.標的型攻撃とは?|手口と特徴標的型攻撃は特定の組織・個人をターゲットにしてサイバー攻撃を行う手口のこと。無作為にメールを送る「ばらまき型攻撃」と比較すると、攻撃の見分けがつきにくいのが特徴です。>>>サイバー攻撃の種類について詳しくはこちら<<<IPAが2023年に発表した情報セキュリティ10大脅威ランキング※1では、3位に「標的型攻撃による機密情報の窃取」がランクインしていることからも、攻撃としての危険性が分かります。具体的な攻撃の手口メール等を利用し特定組織のPCをウイルスに感染させる組織の機密情報窃取やシステムの破壊を行う などシステムに侵入後すぐに被害をもたらす攻撃以外にも、内部システムに潜入して攻撃の範囲を徐々に広げる「潜伏型」と呼ばれる手法もあります。2.標的型攻撃の種類あらかじめターゲットを定めてからサイバー攻撃を行うことをおおまかに「標的型攻撃」と呼びますが、さらに具体的な攻撃の種類を細かく分けることもできます。メールによる攻撃(標的型攻撃メール・スピアフィッシング)不正な添付ファイルを開かせる不正なウェブサイトへのリンクをクリックさせる など何者かになりすまして標的にメールを送信し、情報の窃取などを行う攻撃を「標的型攻撃メール」「スピアフィッシング」と呼びます。オーストラリアのITセキュリティ企業バラクーダが行った調査※2によれば、およそ75%の企業が過去12ヶ月以内にメール攻撃の被害に遭ったと回答したそうです。そのうち55%が「機器のマルウェア/ウイルスへの感染」、49%が「機器データの盗難(情報漏えい)」の被害に遭ったと答えていることからも、スピアフィッシングの悪質さがうかがえます。→対策はこちらビジネスメール詐欺関連会社やベンダー、内部の従業員などの信頼できそうな人物になりすましてメールを送る攻撃手法を特に「ビジネスメール詐欺」と呼びます。ビジネスメール詐欺の恐ろしいところは実在する組織や人物からメールが送られてくる点です。何の関係もない企業から来たメールは「怪しい」と一目見て判別できますが、実際の取引先の企業の実在する人物から不審なメールが届いたら思わず信用してしまうのではないでしょうか?最近のフィルタリングサービスは不審なサイトのURLやマルウェアを仕込んだファイルが添付されていた場合、ツールが自動でスパム認定する機能がついています。明らかに不審な内容が含まれていればうっかり開かないようフィルタリングで除外できますが、ビジネスメール詐欺の中にはツールによる検知を防ぐために対策されたものもあるのが厄介なポイントです。悪意あるプログラムをあえて含まず、メッセージのやり取りのみで内部情報やアクセス情報を聞き出す手法を「ソーシャルエンジニアリング」と呼びます。ソーシャルエンジニアリング型の攻撃はツールでの察知が非常に難しいため、一人ひとりのリテラシーが重要になってきます。→対策はこちらサイト経由での攻撃(水飲み場攻撃)ターゲットとなる企業や組織をあらかじめ調査し、頻繁に利用するウェブサイトを閲覧するとマルウェアに感染するよう改ざんする手法を「水飲み場攻撃」と呼びます。自社の内部システムを強化している企業であっても、従業員がうっかりリンクを開いてしまうとそこから攻撃が広まってしまうという仕組みです。「いつも開くサイトだから大丈夫」「知っている企業のサイトだから安心」という心理を逆手に取った悪質な攻撃だと言えるでしょう。→対策はこちら不正アクセスによる攻撃サーバーの脆弱性を突いて不正にアクセスし、個人情報を盗んだりする攻撃手法もあります。最初の攻撃で内部システムへの侵入口を発見し、そこからさらに他の端末やサーバーに危害を加えることも。攻撃を受けた際「まずはインターネットから遮断してオフラインの環境にするべき」と言われるのはそのためです。→対策はこちら実際の事例①航空会社大手がビジネスメール詐欺で3.8億円の被害2017年、大手航空会社として知られる日本航空(JAL)がビジネスメール詐欺の被害に遭い、累計3.8億円の被害を受けたことが明らかになりました※3。普段やり取りしている取引先になりすまし、同じ名前とメールアドレスから請求書を送ってきたため詐欺に気が付かず、偽の銀行口座に送金してしまったとのこと。セキュリティ管理が比較的しっかりしている大手企業を巧妙に騙す悪質性の高い事例だと言えるでしょう。実際の事例②:不正アクセスからなりすましの二次被害発生2023年9月、人材採用サービスなどを手掛ける仕事旅行社が内部のサーバーに不正アクセスされるというサイバー攻撃を受けました※4。サービス利用者の個人情報33,670 件が流出した恐れがあるほか、会員の氏名を名乗る人物によって別の人のメールアドレスやオンライン掲示板に「爆破予告」など不安をあおる文言が送信されていたとのこと。窃取した個人情報をもとに別の二次被害が発生していることが分かります。このように一度サイバー攻撃を受けて盗んだ情報を踏み台に別の攻撃を行うパターンもあるので、未然に防ぐための対策だけでなく被害にいち早く気づくシステムづくりも重要です。3.標的型攻撃の対策攻撃手法ごとにとるべき対策は変わってきます。あらゆる可能性に備えておくようにしましょう。メール攻撃への対策スピアフィッシング、ビジネスメール詐欺などのメール攻撃を防ぐには、とにかく「来たメールに触らない」「報告する」ことが一番です。具体的には以下のような対策をとっておくべきでしょう。●社内ルールを徹底する怪しいメールは開かない受信した場合、誤って開いてしまった場合は報告する などどこの誰であってもアドレスさえ分かっていれば誰でもメールを送ることができるのはメリットでもありますが、「悪意ある人物からのメッセージを防ぎきれない」という弱点はどうしてもできてしまいます。まずは社内ルールを決め、リスクの周知と対策方法の共有を行うことが重要です。>>>社内ルールの策定方法について詳しくはこちらから<<<●対策ソフトを導入する社内ルールは重要ですが、攻撃を受けた際の報告と調査には手間と時間がかかります。対策ソフトを導入して「悪意あるものを振り分ける、共有する」作業を自動化することで、コスト・タスク削減にもつながるでしょう。WAF、ファイアウォールなどのセキュリティソフトフィルタリングサービスはメール等の安全性を担保するためにも最低限導入しておきましょう。近年のメールサービスの中には自動でフィッシングメールを振り分ける以上の機能をつけているものもあります。ユーザーが受信したメールを「攻撃」と判断して報告する機能や、不審なURLをクリックしてしまったときなどに自動でアラートを発動させる機能を搭載したフィルタリングサービスを利用すれば、管理の手間とリスクを減らすことができるのでおすすめです。●従業員向けのメール訓練を実施する標的型攻撃を想定してメール訓練を各従業員に送信します。正規のメールと区別がつくか、誤ってURLや添付ファイルを開いていないかなど、従業員のセキュリティ意識を実際にチェックすることができます。サイト攻撃・不正アクセスへの対策サイト攻撃への対策は個人レベル・端末レベルの保守では不十分です。エンジニアによる定期的な管理が前提となっていることは頭に入れておきましょう。●端末・サーバー等のアップデート端末・アプリ・サーバー何であってもアップデートの放置は脆弱性を生みます。「サイトへの不正アクセスを防ぐ」「閲覧者として不審なサイトに入らない」両方への対策としてこまめな更新が必要です。●対策ソフトを導入するサイト経由での攻撃は「運用側」「見る側」両方に被害を生みます。もちろん閲覧するサイトに注意するのも重要ですが、不正アクセスを受けて改ざんされた自社サイトが攻撃者になってしまう、といった被害を生むリスクも避けなければいけません。端末だけでなく、運用しているサイトや接続しているサーバーにも対策ソフトを導入しておきましょう。●アカウント管理を徹底するID・パスワードの使いまわしをしていないか、推測されやすいものをしていないか、など。特に乗っ取りが起きた場合に大きな被害を生む管理者権限アカウントは厳重に管理すべきです。●改ざん検知・監視ツールを入れるサイトが不正ログイン・改ざんされているかどうかは手動で判別するのは困難です。仮に手動で改ざん検知をしていたら余計な時間がかかることは必至でしょう。改ざん検知・死活監視のツールを入れて、異変が起こっていないか常に監視する体制を取るようにしましょう。●定期的なセキュリティ診断を行う上記の項目がきちんと達成されているか、更新された脆弱性に対応できているかは定期的にセキュリティ診断を行わなければ分かりません。「保守管理を外注に任せていたつもりが、脆弱性だらけだったことに攻撃を受けてから気付いた」というのは意外とありがちなパターンです。定期的な診断をするのが一番ですが、全くやっていないという企業は一度セキュリティ診断をしてみましょう。無料セキュリティ診断はこちらから。セキュリティ診断について詳しく知りたい方は「Webサイトのセキュリティ診断は必要?種類や価格の相場、チェック項目を紹介」をご覧ください。4.まとめターゲットをあらかじめ決めてから計画立てて攻撃を行う「標的型攻撃」は非常に悪質で、無差別なばらまき型よりも対策が困難です。しかし、従業員一人ひとりへの教育や強固なシステム構築によってリスクを最小限に抑えることはできます。どのような攻撃があるのか知っておくのも有効な対策です。サーバーやサイトの保守など、エンジニアによるセキュリティ管理が不十分だとお考えでしたら、ぜひ今からでも保守サービスの利用を検討してみてください。※1 IPA+「情報セキュリティ10大脅威2023 組織編」※2 Barracuda+「2023年 スピアフィッシングの動向」※3 日経クロステック+「JALが「信じ込んでしまった」手口とは、振り込め詐欺で3.8億円被害」※4 仕事旅行社+「不正アクセス者による情報の不正利⽤について」

  • あなたの会社は大丈夫?情報セキュリティインシデント
    2024.02.08
    WEB制作

    情報セキュリティインシデントとは|企業がとるべき対策・発生時の対応

    企業が抱えるサイバーリスクは日々増加しています。従業員による情報漏えいからマルウェアなどを用いたサイバー攻撃まで、さまざまなインシデント(事故)に備えて対策しなければなりません。情報セキュリティインシデントについて知り、被害を未然に防ぐ対処法を学びましょう。1.情報セキュリティインシデントとは情報セキュリティインシデントとは、会社の情報管理について、重大な被害に進展しうる事故・事件を指します。セキュリティにおける脅威をただ単に「セキュリティインシデント」と呼ぶこともあります。情報セキュリティインシデントの具体例マルウェアに感染させるパソコンやサーバーなどへの不正アクセス従業員による情報漏えい(機密情報の誤公開・不正な情報持ち出しなど)従業員による情報漏えいの場合は悪意のない過失である可能性もありますが、それ以外は基本的にどれもサイバーセキュリティの穴から悪意ある攻撃が原因で発生します。インシデントの規模によっては業務に大きな支障が出ることもありますし、会社の存続を脅かす損害を与える可能性もあるでしょう。例えば不正アクセスを受けて顧客の個人情報を漏えいした場合、訴えられて損害賠償を負うリスクが生じます。情報漏えいのリスクについて、詳しくは「情報漏えいのセキュリティリスクを知っておこう|実際の事例・対策を紹介」で紹介していますのでそちらもご参照ください。[word_balloon id="unset" src="https://www.ecmarketing.co.jp/contents/wp-content/uploads/2024/02/icon_white-1-1.webp" size="M" position="L" radius="true" name="" balloon="talk" balloon_shadow="true"]WEB広告運用担当・ニャーケッターからのひとこと企業間においても、新規取引開始の際にインシデントについて確認される場面はとても増えている。とくにコンペ形式の場合、インシデントに対する管理体制で比較されることも多いから営業的観点でも重要なポイントにゃ。[/word_balloon]2.情報セキュリティインシデントの発生原因情報セキュリティインシデントが起こる原因は大きく分けて2つ。社内に問題があったか外部から攻撃を受けたかに分類されます。それぞれ具体的に何が原因になるのか見ていきましょう。①社内の人員に問題がある(内部要因)社内の人員が不注意によって情報を公開(漏えい)してしまったり、故意に持ち出したりといったインシデントは、従業員のセキュリティ意識が不十分であることが大きな原因となっていることが多いです。情報端末の紛失・盗難なども内部要因のインシデントにあたります。②外部の攻撃を受けた(外部要因)外部から攻撃を受けて情報を窃取されたり、システム障害が起こったりするパターンは外部要因に分類されます。直接的な要因は外部攻撃ですが、社外からの不正な行動を監視・排除できていない社内の体制が要因になっているとも言えるでしょう。3.情報セキュリティインシデントを防ぐ対策IPAが2021年に行った実態調査※1では、「情報セキュリティに関する専門部署(担当者を設置している)」と回答したのは全体のわずか7.7%。半数以上が「組織的には行っていない(各自の対応)」「わからない」と回答しています。つまり、日本の企業はまだまだ「セキュリティを組織的に向上させる」意識が低いということです。個人としての意識は徐々に向上しているものの、企業全体でのアプローチをもっと強めるべきでしょう。ここからは、社内でできる基礎的なセキュリティ対策をご紹介します。社内のデータ・情報を確認する情報漏えいへの対策として内部に保管されているデータや情報を把握し、管理できるような体制を作りましょう。ここでいう「データや情報」はコンピューター内に保管されている情報のことだけではありません。紙媒体やUSBなどに保管されているデータに関しても取り扱いのルールを決めましょう。確認後は重要性を分類し、それに応じた対策基準を決めるのが基本です。クレジットカード情報や宗教・病歴など機密性が高く、漏えいした際のリスクが大きいものは特にしっかりと対策をする必要があります。組織体制を整備する先述したように、セキュリティ部署を設置している企業はまだまだ少ないのが現状です。社内の規模にもよりますが、セキュリティ対策専門の部署を設置できるなら整備を進めた方がよいでしょう。セキュリティ対策に割ける専門のリソースがない場合は外部への委託を検討するのも一つの手です。ネットワークやシステムをすぐに復旧させられる人員・チームの配置は欠かさず行ってください。有事の連絡方法や指揮系統を明文化し、従業員同士で共有するのも大切です。端末やサーバーのセキュリティを高める業務用PC、サーバーで定期的にバックアップを取るセキュリティ対策ソフトを入れるデータの送受信時は暗号化通信を用いる(VPNを使用する)私用の端末で社内のネットワークに接続できないようにするなど、内部のシステムで被害を未然に防ぐ対策を行うことも非常に重要です。また、脆弱性に関する情報を定期的に収集して、セキュリティに新たな穴ができていないかチェックしておくのもよいでしょう。>>>脆弱性対策について詳しくはこちらから<<<4.情報セキュリティインシデントが起こった際の対応実際にインシデントが起こってしまった場合も「発生してからどう動くか」が被害の最小化に大きくかかわってきます。情報漏えいなどが起こってしまったときに求められる対応をあらかじめ知っておくことで、万が一の事態に備えましょう。①インシデントの発見・初動検知ツールや社内外からの通知でインシデントの発生に気付くパターンが多いでしょう。専門知識がない社員は通報があっても不用意に操作しないのが基本です。システム上に残された証拠が消えてしまわないよう注意を払ってください。●セキュリティ担当が行うべき初動対応サイトを閉鎖する端末をネットワークから遮断する(マルウェアの被害に遭っていることが想定される場合)セキュリティ対策機関への情報提供(同様の被害防止)取引先、顧客への情報提供警察への連絡(特に不注意による紛失、盗難の場合は早い方がよい)パスワードの変更、アカウントの停止重要な情報のバックアップ など求められる初動対応は発生したインシデントの種類によっても変わってきます。被害想定のマニュアルを作るのであれば、何種類かパターンを想定しておきましょう。②原因の調査・公表残された記録から被害をなるべく正確に把握します。「誰が」「いつ」「どこで」「何を」「なぜ」「どうしたのか」、この6項目を分析、記録するよう心がけてください。情報漏えいによる被害が大きくなると、別途公表する手続きを取る場合もあります。お知らせ文の作成や法律に照らし合わせた判断が必要になってくるので、公表には外部委託の専門家によるアドバイスを求めるパターンが多いでしょう。公表する場合、一般的には以下のような項目を含みます。インシデント発生の経緯、原因調査方法、システムの状況漏えいした情報の内容当面の対応策再発防止策問い合わせ窓口③システム・端末の復旧インシデントの影響を受けて停止したサービスやアカウントがあれば、復旧作業を行います。サイバー攻撃を受けた場合は特に復旧が困難です。セキュリティ保守の専門家が社内にいなければ、外部に委託することになるでしょう。④再発防止策の決定建物への侵入防止情報の保管・持ち出し方法の見直しウイルス対策製品の導入通信の暗号化やアクセス制御 など原因となった部分を改善する形で再発防止策を決定します。外部に大きな被害が及んでいる場合は再発防止策も公表するのが一般的です。5.まとめ情報セキュリティインシデントへの対策は現代の企業に不可欠です。まずは基本的な対処法を実践し、安全性を高めていきましょう。また、自社サイトの保守運用をしっかりと行うことがインシデント対策のアピールにもなります。サイト運用にはコンバージョンや流入数が重要なのも確かですが、セキュリティに無知なマーケティング担当のみで維持するのはあまりにも危険です。もし自社サイトのセキュリティ管理ができていないようでしたら、保守サービスの利用も検討してみるべきでしょう。万が一サイト経由で攻撃を受けた場合も適切に対応しやすいのもメリットです。※IPA+「2021年度 中小企業における情報セキュリティ対策に関する実態調査」

  • 2024.02.07
    WEB制作

    マルウェアに感染した?診断と対処の方法を分かりやすく解説

    マルウェア感染が急拡大している今、少しでも違和感を覚えたらすぐに診断したいですよね。でもまずは、デバイスを「隔離」しましょう。マルウェアを検出している間にも感染は拡大します。隔離後に落ち着いて対処することが何より大切です。この記事では、マルウェア感染の診断方法と感染していた場合の対処手順をご紹介します。あせらずに対処すれば被害を最小限に抑えられるはずです。1.マルウェアは診断前にまず「隔離」と「報告」少しでもマルウェアに感染した可能性があったら、すぐにネットワークから隔離し、上司に報告しましょう。診断前の不確実な段階でも「隔離と報告」を優先し、被害を最小限にすることが重要です。デバイスに以下のような症状がみられたら、マルウェア感染を疑っていいでしょう。マルウェア感染の症状動作の遅延や前触れのないクラッシュ突然のシャットダウンや再起動不自然なバッテリーやメモリの消費エラーメッセージやポップアップの頻発サイトへアクセスできない、無関係なサイトへの移動覚えのない動作や送信がある覚えのないデータの変更や削除がある 見覚えのないファイルやスクリプトがある などこのような症状がでないマルウェアもあるため、当てはまらないからと安心してはいけません。何気ない違和感や同じネットワーク上のデバイスの不具合、不審な共有ファイルなどにも注意しましょう。2.マルウェアの診断方法マルウェア感染が疑われたら、隔離後にセキュリティツールでマルウェアの検知と感染箇所の特定を行います。マルウェアの主な診断方法は以下の4つです。無料セキュリティソフトでのスキャンパソコンに標準搭載されている無料ウイルス対策ソフトのスキャンを行います。Windowsの場合、「Windowsセキュリティ→ウイルス&脅威の保護→スキャン→オフライン スキャンWindows Defender→今すぐスキャン」の流れで実行できます。無料オンラインスキャンを利用するMicrosoftやトレンドマイクロなどPCやソフトウェアのメーカーホームページでは、Windows用マルウェア検知・駆除ツールを無料で提供しています。「無料オンラインスキャン」「無料ウイルススキャン」などで検索してみましょう。有料のセキュリティソフトを購入する無料のスキャンツールは性能が低いためマルウェアの種類によっては検知できない場合があります。確実に診断したいなら有料のセキュリティ対策ソフトの購入がおすすめです。オンラインでも提供されていますが高性能ツールは非常に少なく、新たなマルウェアの感染経路になる悪質なものも存在します。信頼できる店舗で手に入れる方が安全でしょう。保守サービスへ検知を依頼するマルウェアの中には、トロイの木馬やファイルレスマルウェアな検出や駆除が難しいものも増えています。確実に検知・駆除するのであれば保守サービスの利用が効果的です。マルウェアの診断はもちろん、感染対処や復旧、自社の環境に最適な対策まで依頼できるため今後の感染リスクを大幅に下げられるでしょう。3.マルウェア診断後の対処手順マルウェア診断で感染が確定された後は、以下の手順で対処します。【ステップ1】セキュリティツールで駆除する多くのマルウェアはセキュリティツールで検出後、自動駆除できます。しかし、マルウェアの種類によっては必要なプログラムが違うケースがあるので注意しましょう。マルウェアの種類と駆除に必要なセキュリティツールの一例●アドウェアアドウェア駆除機能があるアンチマルウェアプログラムが必要。●ウイルスまたはトロイの木馬ディープスキャンを実行できるウイルス対策プログラムまたはマルウェア対策プログラムが必要。●ワームワームを検出できる強力なアンチマルウェアソフトウェアが必要。マルウェアの種類について詳しく知りたい方は「マルウェアにはどんな種類がある?感染経路や症状、対策を解説」をご覧ください。【ステップ2】残った感染ファイルの駆除・隔離セキュリティツールで自動削除できなかった感染ファイルは、手動で隔離か駆除をします。確実に駆除するは専門知識が必要なため、セキュリティ部門や保守サービスなどに依頼すると安心です。完全に駆除できなかった場合はPCの初期化をすることになります。【ステップ3】マルウェア対策を強化するマルウェアの駆除が完了したら、再び感染しないように対策を強化しましょう。基本的な対策は以下の6つです。OSを常に最新に保つ定期的なウイルススキャン定期的なバックアップとサーバーログの保管社内ルールの見直し、周知と徹底最新セキュリティソフトの導入保守サービスの利用 これらを全社員で実行できるように社内ルールを設けて周知すること、保守サービスなどを活用し、いつでもプロに相談できる体制を整えておくことも重要です。4.マルウェアは診断も対処も保守サービスがおすすめマルウェアにはさまざまな種類があり手口も巧妙化しています。ファイルレスマルウェアやワームのように、一般的なセキュリティソフトでは診断・駆除できないものも多く、専門知識のない人が効果的な対策をとるのは非常に難しくなっています。セキュリティ部門がない場合は、マルウェアの検知や対処は外部の保守サービスの利用も視野に入れるといいでしょう。定期的なマルウェア診断やアップデート、脆弱性のスキャンと改善の他、感染時の対処まで丸ごと任せられます。費用も月額数万円程度からと手ごろなサービスも多いため、被害コストや日頃のマルウェア対策の労力も考慮して前向きに検討してみましょう。5.まとめ「マルウェアに感染したかも」と思ったらまず隔離と報告を行い、それから診断を始めましょう。感染拡大を防止することが何より大切です。マルウェアの診断方法は標準搭載のセキュリティソフトや無料オンラインスキャンを利用する方法もありますが、確実性や性能を考慮すると有料セキュリティソフトの購入や保守サービスへの依頼がおすすめです。マルウェアは種類によって駆除に必要なソフトウェアや手順が異なり、安全に行うには専門知識が必要です。今後の感染リスクを減らすためにも保守サービスの利用を検討してみましょう。

  • 知っておこう マルウェア 種類
    2024.02.07
    WEB制作

    マルウェアにはどんな種類がある?感染経路や症状、対策を解説

    「マルウェア」は「悪意のあるソフトウェア(malicious software)」の略称です。ウイルスやワームなど様々なプログラムがあり手口の巧妙化に伴って種類が増え続けています。マルウェアの被害にあわないためには、よく使われるマルウェアの種類や特徴、感染経路を把握することが重要です。今回はいま知っておくべきマルウェアの種類と特徴について解説します。主な感染経路と感染時の症状、効果的な対策をご紹介するのでぜひお役立てください。1.2024年に知っておくべきマルウェアの種類13選2024年に注意すべきマルウェアの種類をご紹介します。特に1~5のウイルス、ワーム、トロイの木馬、ランサムウェア、ファイルレスマルウェアは被害件数が特に多く、内容も悪質なので対策は必須です。マルウェアの種類特徴主な被害1ウイルス感染例が最も多いマルウェア。自己増殖し、他のサイバー攻撃の引き金にもなる感染ファイルの実行によって行動を開始する。データ破壊システム停止情報の盗難 など2ワーム・自己完結型のマルウェアで急速に拡散・対策が非常に困難・ファイルの実行や宿主がなくとも自己増殖する・システムの占拠・アクセスの遮断・メモリの搾取・データの盗難・削除・改ざん・悪質ソフトの自動インストール など3トロイの木馬・正常なファイルやプログラム、サイトになりすまし実行させる・自己複製はしないが拡散しやすく防御が困難・よくハッキングの窓口に使用される・システムやデバイスの乗っ取り・機密情報の盗難・ネットワーク全体の感染 など4ランサムウェア・デバイスに自動でインストール・データを暗号化して復旧と引き換えに身代金を要求・1台の感染でネットワーク全体が標的になり、復旧はほぼ不可能・組織や企業の被害も急増中・データの暗号化・身代金被害・ハッキングによるサイト訪問者の誘導 など5ファイルレスマルウェア・正規のプログラムを利用して侵入・ファイル保存やインストールが不要で、メモリに直接入り込みコードをリモートで注入し拡散する・追跡や駆除が極めて困難・データの盗難・改ざん・レジストリ操作・他のマルウェアの検知・駆除の妨害 など6Gootloader・感染したWebサイトを信頼できると偽装させ感染拡散・複数サイトのCMSを変更し、検索上位表示を埋めて罠を仕掛ける・サイトのページファイルの改ざん・偽コンテンツの大量ダウンロード・サイト訪問者の誘導 など7スパイウェア・PCに限らずすべてのデバイスに自動インストールし情報を収集・盗難・デバイス本体に害はなく情報収集を目的とする・機密情報の漏洩、盗難・サイバー攻撃リスクの増加 など8アドウェア・広告作成を目的に閲覧履歴などの情報を収集・同意なしに広告主に情報を販売される可能性がある・個人情報の漏洩・ブラウザや検索エンジンの設定変更偽警告や広告の表示 など9マルバタイジング・金銭を支払った正規広告に仕込まれるマルウェア・クリックによってマルウェアのインストールや悪質サイトへのリダイレクトが実行される・広告表示のみで実行される場合も・他マルウェアの感染拡散 など10キーロガー・感染したユーザーの行動監視に利用・デバイスやオンライン上の行動追跡や機密情報の盗難にも・機密情報の盗難・行動や取引情報の漏洩など11ボット(ボットネット)・リモートでコマンドを実行するソフトウェア・アプリケーション・ボットの集まりを形成してすべての機器にアクセスし、遠隔で多くの攻撃を実行できる自己増殖型・遠隔操作によるシシステムの実行・DDoS攻撃 など12ルートキット・最も危険なマルウェアともいわれるバックドア・プログラム・管理者権限を含め完全にアクセスし、外部からのリモート制御が可能に・他のマルウェアの隠ぺいにも利用。・管理者権限を含めた乗っ取り・設定やデータの変更・機密情報の盗難・他マルウェアの拡散 など13SQLインジェクション(SQLi)・ウェブサイトの入力フィールドに悪意のあるSQLクエリを挿入・機密データへのアクセスやシステムファイルの復元、コア・データベースなどへのハッキングに利用アクセス権限・システム情報の変更機密情報の盗難ファイルの削除・復元・改ざんなど2.マルウェアの感染経路と症状マルウェアの主な感染経路と感染症状は対策する上で必須の知識です。効果的な対策と素早い対応が被害を最小限にくい止めます。主なマルウェアの感染経路●メールやSNSの添付ファイルやリンクメールやSNSからの事例がマルウェア感染の約9割を占めます。添付されたファイルやURLは信頼性をよく確認しましょう。●ソフトウェアのダウンロードソフトウェアのダウンロードと同時に感染するケースも後を絶ちません。特に無料ソフトウェアやアプリケーションには注意しましょう。●P2Pでのファイル共有P2P(ピア・ツー・ピア)とはサーバーを利用せず直接データのやりとりを行う通信方式です。脆弱性がある先との接続が感染源になり、不特定多数の端末が接続されているため感染拡大リスクが高いといわれています。 ●ローカルネットワーク1台のデバイスが感染するとネットワーク上のデバイス全体が一瞬で感染します。ネットワークに上げたファイル共有が感染源になるケースも多くみられます。●感染したデバイスやUSBの接続感染したデバイスやUSBを知らずに持ち込み、接続して感染する場合もあります。不特定多数の人間が使用するデバイスやそれに接続したUSB、出所が不明な記録媒体などは利用を控えましょう。●ソーシャルエンジニアリングソーシャルエンジニアリングは心理的な働きかけでユーザーを騙し、機密情報やデバイスへのアクセス権を手にする方法です。フィッシングメールや関係者に感染源になるUSBを拾わせるなど様々な手法があり、オフラインでも狙われる可能性があります。マルウェアに感染したときの症状以下のような症状がみられたらマルウェア感染を疑いましょう。パフォーマンスの低下不審なポップアップの表示電源が落ちる、起動しない、再起動を繰り返す覚えのない動きをするバッテーリーやストレージの容量が激減している覚えのないデータの消失や変更がある 特定のファイルが削除できない など症状が現れずにコードの実行やデータ抽出をするファイルレスマルウェアやスパイウェアなどもあるため、症状がなくても油断は禁物です。違和感がある場合はすぐに接続を切り、セキュリティソフトで検出してみましょう。3.駆除方法はマルウェアの種類によって異なることもマルウェア感染が疑われる場合は以下のように対処・駆除するのが基本です。ネットワークの接続を切り隔離→アンチウィルスソフトで検知・駆除しかし、マルウェアの種類によっては一般的アンチウィルスソフトで対応できない場合があるためマルウェアの種類を特定し、対処できるソフトウェアを準備しましょう。<マルウェアの種類別 対応例>●ウイルスまたはトロイの木馬ディープスキャンを実行できるウイルス対策プログラムまたはマルウェア対策プログラムをインストール。●ワームワームを検出する強力なアンチマルウェアソフトウェアをインストール。●ランサムウェア要求には応じず、証拠を保存し警察へ連絡。サイバーセキュリティソフトウェアで除去し、バックアップデータから復旧。(暗号化データの復旧は難しい)ランサムウェアの詳しい対処法はこちらの記事をご覧ください。https://www.ecmarketing.co.jp/contents/archives/28014.効果的なマルウェアの感染対策とはマルウェアの効果的な感染対策は以下の6つを平行して実践することです。セキュリティソフトの導入OSは常に最新に保つ定期的なバックアップとサーバーログの保管不審なリンクや添付ファイルは開かないダウンロードやインストールは信頼性を確認する専門家に相談・委託する上記の1~5は基本的なマルウェア対策として必須項目です。全社員で実行できるように社内ルールを設けて周知しましょう。しかし、様々な種類があるマルウェアは環境や状況によって最適な対策や対処法が異なり、本格的な取り組みには専門知識と手間が必要になります。通常業務をこなしながら万全に備えるのは難しい企業がほとんどでしょう。マルウェア対策は検討する段階から専門家に相談し、保守を委託するのがおすすめです。悩みや環境に即した対策ができる他、定期的な脆弱性の検証や見直し、感染時の対処まで丸ごと任せられます。マルウェア被害にあった場合の損害や通常業務の効率を考えれば、コストパフォーマンスも決して悪くありません。マルウェア対策について詳しく知りたい方はこちらの記事もご覧ください。https://www.ecmarketing.co.jp/contents/archives/26575.まとめマルウェアの種類は日々巧妙化して増え続け、被害も拡大しています。ウイルスやワーム、ランサムウェアなど代表的なマルウェアの特徴を押さえてしっかりと対策しましょう。主な感染経路はメールの添付ファイルや外部のUSB、ソフトウェアのダウンロードなどある程度共通していますが、駆除となると種類によって有効な対処法が変わってきます。セキュリティソフトの導入やOSのアップロード、定期的なバックアップなど基本対策に加えて、専門知識をもった保守サービスを利用すると安心です。ぜひ検討してみましょう。

  • Webサイト 改ざん検知 ツール・サービス
    2024.02.06
    WEB制作

    Webサイトの改ざん検知とは?仕組みやおすすめツールの選び方を紹介

    Webサイトの運用において、サイバー攻撃への備えは必要不可欠です。「サイトの表記がおかしい」「急に全く違うサイトに差し代わってしまった」などの改ざん被害に遭った場合、想定しうる損害は大きなものになります。自社サイトが攻撃に遭うだけでなく、ユーザーを巻き添えにした被害が起こってしまった場合は加害者として損害賠償をしなければならないかもしれません。サイトの改ざん検知ツールを導入するのは被害を最小限に食い止めるための有効な対策です。この記事ではWebサイトにおける改ざん検知について、仕組みやツール・サービスの選び方、改ざんを未然に防ぐ対策方法をお伝えします。1.Webサイト改ざん検知とはコンテンツや管理設定など、Webサイト内のデータの改ざんが起こったときに検知・通報するシステムのことを「改ざん検知」と呼びます。サイバー攻撃を受けた場合、異変に気付いていち早く対応することが重要です。そのため、セキュリティリスクの管理には欠かせないツールであると言えます。Webサイトに限らずシステム内部、アプリなどにも改ざん検知をつけることができますが、今回は特にWebサイトが改ざんされたかどうかチェックするシステムに着目してご紹介します。2.改ざん検知のやり方・仕組みサイトが改ざんされたかどうか判断する方法はいくつかあり、やり方によって検知できる範囲に違いが出ることもあります。仕組みを知り、自社サイトに適したツールを選ぶ材料にしましょう。サーバー内部監視型内部のシステムまで監視対象に入れられる改ざん発生時迅速に対応しやすい外形監視パターンマッチ型過去のパターンをもとに分析するハッシュリスト比較型ハッシュ値を分析することで改ざんされたファイルを特定しやすい原本比較型Webサイトの原本を保管し、実際のWebサイトと比較することで改ざんを検知サーバー内部監視型改ざん検知を行いたいWEBサーバーの内部に検知ツールを設置して監視します。サーバー内のデータに変更が加えられていないかチェックすることで改ざんを検知するという仕組みとなっていて、内部のシステムまで監視対象に入れられるのがメリットです。また、設定によっては改ざんが起こった瞬間リアルタイムで通知されるシステムにすることも可能なので、有事に迅速な対応を行いやすい点も長所だと言えます。ただし、内部監視型の改ざん検知ツールを入れるにはサーバー運用側の設定が必要です。共用サーバーを使っている場合は提供者の都合によって使えないこともあるので注意しましょう。パターンマッチ型(ソース解析型)外部の別サーバーから該当するWebサイトにアクセスし、過去に行われた改ざん事例と照らし合わせる形で検知する方法です。WordPress等の動的コンテンツに対応しています。過去のパターンをもとに分析するため、よく使われる手法の攻撃には高い効果を発揮しますが、未知の攻撃に対しては対処できないこともある点には注意が必要です。また、画像ファイルなど未対応フォーマットのファイルや公開されていない内部ファイルも改ざん検知の領域に含まれていないことには留意しておきましょう。ハッシュリスト(ハッシュ値)比較型定期的に監視対象ファイルのハッシュ値を計算し、誤差が出ていないかどうか比較する方法。運用側がカスタマイズ等で意図的にファイルを変更した場合に誤作動しやすいものの、ハッシュ値を分析することで改ざんされたファイルを特定しやすいというメリットがあります。原本比較型監視対象となるWebサイトの原本を保管し、実際のWebサイトと比較することで改ざんを検知します。原本比較型のツールは内容を更新するたびに改めて原本を用意し直さなければならないのがややネックです。3.改ざん検知ツール・サービスの選び方ここまでご紹介してきた通り、改ざん検知にはさまざまな種類があります。「何を基準に選べばよいか分からない」という方は、以下のポイントを押さえて自分に合ったサービスを選びましょう。改ざん検知の頻度検知方法によって改ざんチェックの頻度はかなり異なってきます。もちろん同じ方法を取っていても価格帯やエンジニアによって検知の周期が変わることもありますが、一つの基準にはなるでしょう。サーバー内部監視型であればファイルの変更があった瞬間に検知する常時監視システムを採用できるので、セキュリティ的には一番確実です。その他の検知方法は外部のサーバーから監視するシステムのため「外形監視」と呼ばれます。仕組み上改ざんが起きた瞬間に通知することは不可能ですが、改ざんの頻度を上げれば「すぐに改ざんに気が付く」システムにすることは可能です。契約するサービスやツールによってはタイムラグが発生する場合もあるので、どのくらいの頻度で改ざんチェックするのかは必ず検討項目に入れるようにしましょう。監視する対象ツールによっては内部の設定ファイルなども改ざんの対象になることもあります。「表には分からないが内部のファイルが改ざんされている」という事態まで考慮して対策したいのであれば、監視対象の範囲が広いサーバー内部監視型がおすすめです。外部からの侵入に備えるという意味では外形監視型でも問題ないでしょう。改ざん発覚時の対応ツールの中には「改ざんがありました」と通知するだけのものもあります。特に無料・安価なサービスは改ざん等の被害が発生したときに自分で修復できる人向けなので、対応できる人がいない状況ではおすすめできません。原因の特定や修正まで行うのが困難であれば、サイトの復旧や再発防止策の提案などの事後対応までサービスに含まれたものを選ぶべきでしょう。4.改ざん検知以外の対策方法も改ざん検知はあくまで「改ざんが起こってからの初動を早める」目的で導入するツールです。セキュリティを強化したいのであれば、まず改ざんが起こる前の対策ができているかチェックしましょう。ファイアウォールなどの対策ソフトの導入不審なアクセスをブロックする役割を持つ対策ソフトの導入が第一です。ファイアウォールWAFなどがサイトと紐づいているサーバーに設置されているかどうか確かめてみましょう。侵入検知システム(IDS)の導入IDSは不正アクセスを検知するためのツールです。改ざんが起こる前には不正アクセス攻撃を受けていることが多いので、サイトの改ざんがあったかどうかよりも先に不正なアクセスを検知するシステムを導入しておきましょう。不正な通信を遮断するIPS(侵入防止システム)というセキュリティツールもあります。こちらを導入すれば検知だけでなくブロックまでしてくれるので、まだインストールしていないようであればいち早く導入しておくことをおすすめします。アップデート、脆弱性情報の管理WordPressなどのオープンソースCMSは特にアップデートが頻繁にあるので、更新しないで放置していると脆弱性が見つかって改ざん被害に遭う可能性が高まります。こまめにアップデートを行い、脆弱性に関する情報を収集することでリスクを軽減できることを頭に入れておきましょう。しかし、アップデートに対応するとサイトが表示崩れを起こしたりレイアウトが変わってしまったりと何かと手間が多いもの。「管理しきれない…」という場合は、保守サービスの利用もおすすめです。改ざん検知システムの導入や定期的な診断レポートの作成なども一括で代行できるので、自社サイトの状態を把握しながらプロに管理を任せることができます。>>>WordPress保守サービスについて詳しくはこちらから<<<5.まとめサイトが改ざんされたかどうか検知するツールを導入するのは被害を最小限に食い止めるのに必要です。また、改ざん検知だけでなく多方面からしっかりとセキュリティ対策を行うことで、自分のサイトを守ることになります。もし導入がお済みでなければ、早急に対応することをおすすめします。

  • 情報漏えい セキュリティリスク 事例も紹介
    2024.02.06
    WEB制作

    情報漏えいのセキュリティリスクを知っておこう|実際の事例・対策を紹介

    企業で情報漏えいが発生した場合のリスクは近年徐々に知られるようになってきました。しかし、実際にセキュリティインシデントが発生したらどのような損害が生じるかはご存知でしょうか?情報漏えいによって損害賠償が発生した場合、企業全体に大きな打撃を与える可能性は極めて高いと言えます。 この記事では企業の情報漏えいの事例から、被害を防ぐための対策をご紹介します。情報漏えいの損害賠償リスク情報漏えいによって被害を受けた顧客へ損害賠償をしなければならない場合は、1人当たりの賠償額を算出し、被害者数から総額を決定します。重大な被害が発生しなかった場合の1人当たりの金額は3,000円 ~ 5,000円だとされています。仮に1万件の個人情報が流出して1人5,000円賠償したとすれば、5,000円×1万人=5,000万円の損害賠償となります。1人5,000円というとたいしたことはないように聞こえますが、被害に遭った人数が多ければかなり大きな賠償額になることが分かると思います。とくに自社サイトで会員登録させている場合、会員数で被害額をイメージしてみてください。セキュリティ対策にかかるコストと天秤にかけるまでもなく、管理を蔑ろにできないことは明確です。1人当たりの賠償額決定基準は主に以下の3つです。これらの基準に則って基本的な賠償額が決まりますが、何らかの要因によってより重大な過失が認められた場合はさらに金額が上がることも考えられます。漏えいした情報の内訳クレジットカードの情報などの情報が含まれていると賠償額は高額化します。住所と氏名が紐づいた情報の流出など、個人が特定するのが容易なレベルまで漏えい被害が発生した場合も額が高くなるでしょう。また、情報の流出に精神的苦痛が伴う「手術歴」「看護記録」「宗教」などの情報が含まれていた場合も重篤な漏えいとみなされます。二次被害の有無流出したメールアドレスに迷惑メールが送られてくる流出した住所に身に覚えのないダイレクトメールが送られてくるクレジットカード情報の不正利用が発生しているなどの二次被害が発生している場合は賠償額がさらに高くなります。インシデント後の対応賠償額を決定する要因は実際に起きた被害の規模だけではありません。情報漏えいが発生した後の対応が適切であったかどうかも最終的な額に影響してきます。具体的には、被害者への速やかな連絡不具合の原因への迅速な対応再発防止策の策定などが挙げられます。2022年に施行された改正個人情報保護法で、個人の権利・利益を害する可能性が高い情報漏えいが発生した場合は「個人情報保護委員会への報告および本人への通知」が義務になりました。適切な対応を行わなかった場合は「法令を遵守する意識がない」とみなされて賠償額が高まる可能性もあるため、有事の際は誠実な対応を心掛けなければなりません。情報漏洩時に想定される損害賠償以外のリスク情報漏えい時に発生する被害額は損害賠償だけではありません。日本ネットワークセキュリティ協会(JNSA)が2023年に実施したアンケート※によれば、Webサイトからの情報漏えいで生じた被害金額は平均2,955万円、クレジットカード情報を含む情報漏えいだった場合は3,843万円でした。不正利用に対するカード会社からの賠償請求などが発生するため、比較的金額が高くなることが分かります。また、漏えい被害に遭ったと回答した中の7割超が中小企業だったとのデータも出ています。大きい会社が攻撃を受けやすいわけではなく、会社の規模を問わず莫大な額の被害に遭っていることにも注目すべきです。被害金額の内訳として、具体的には以下のような被害が想定されます。詐欺・脅迫などによる損害例えば「顧客情報を公開されたくなければ●千万円払え」といった脅迫が届くなど、攻撃者からのアクションによって損害を被ることも少なくありません。また、インターネットバンキングを乗っ取って直接金銭を盗み取るパターンなども想定できます。脅迫の場合は拒否したときにも新たな損害が起こる可能性があるため、慎重に対処する必要があります。イメージ低下・顧客の喪失情報漏えいが起こったとなるとイメージが低下し、顧客からの信頼も下がってしまいます。上場企業であればイメージの低下が株価の下落につながる可能性も高いでしょう。具体的な数値として被害額を出すことは難しいかもしれませんが、イメージ低下によってユーザーの離反が起こることも考えるとかなりの打撃になると考えられます。サイト停止による機会損失サイト経由で不正アクセスや情報漏えいが起こった場合、一時的にサイトを閉鎖しなければならない可能性が高いです。サイトの閉鎖期間中、本来ならば得られたはずの機会損失も被害の一部と捉えられます。閉鎖したサイトが売り上げに直結するECサイトだった場合は特に甚大な損害を生むでしょう。被害額としての算出が難しい項目ですが、イメージダウンによる損失も併せて考えると決して無視できない被害になります。問題解決までの業務にかかる費用情報漏えいが発覚してから全ての問題を解決するまでには多大な時間と人件費がかかります。外部に委託しなければならない業務も多々あるため、こちらも損害としては大きくなるでしょう。①調査費用・復旧費用特にサイバー攻撃による漏えい被害が発生した場合、残ったデータを詳しく調査して原因を特定しなければなりません。また、セキュリティの専門家がいない場合は復旧作業を外部のサービスに頼ることになるでしょう。対応費用はインシデントの被害規模によりますが、数十万~数百万円はかかると想定されます。また、端末やサーバーの入れ替えが必要となればさらに高額な費用が発生します。②法律相談、裁判費用顧客から賠償請求があった場合の対応、行政への手続きには法律の専門家によるアドバイスが必要です。裁判に発展した場合は弁護士費用もかなり高額になってくる可能性があります。③顧客対応のコールセンター費用、広告宣伝費被害者の規模によって対応は変わってくるものの、顧客へのケアにもかなりの費用がかかるでしょう。具体的には、一人一人にDMを送る、マスコミを通じて被害の通知と謝罪を行うなどの対応が挙げられます。実際の事例では、賠償とは別にお詫びの品を送る対応を行う企業もありました。また、情報漏えいによって被害を受けた顧客が多かった場合は外部のコールセンターに委託して専用の対応窓口を設けるパターンも存在します。事例①関連会社での情報漏えいによる損害賠償ここからは実際に起こった損害賠償の事例についてご紹介します。まずは2014年に発覚したベネッセコーポレーションの顧客情報流出事件。(参考:日本経済新聞※1)社員による情報の持ち出しが発覚したのはベネッセ本社ではなく委託先の関連会社ですが、運営元であるベネッセに監督義務違反があったとして訴訟に発展しました。情報漏えい被害に遭った顧客約5700人がベネッセを相手に訴訟を起こし、1人当たり3,300円・総額約1,300万円の賠償が決定しました。流出した情報についてはそこまで秘匿性が高くないと判断されたため1人当たりの金額は比較的少額ですが、機密情報を有するサプライチェーン企業のセキュリティ保全の必要性が分かる事例です。事例②情報漏えいの責任を巡って委託先へ損害賠償を求める2018年に群馬県前橋市の学校で発生したこの事例で発生した賠償金は一審時点で約1億4,200万円とかなり高額です。(参考:前橋地方裁判所判例※2)なぜこんなに高額な賠償になったのかというと、顧客への賠償ではなく「情報漏えいによって受けた損害すべて」を委託先であるNTT東日本に請求した事案だからです。先述したように、情報漏えいが発生した場合は多額の損害が発生します。この事例では学校ネットワークを管理していたNTT東日本に責任があるとして、前橋市が同社を提訴したという形です。裁判所の資料では、当初前橋市が請求していた賠償金約1億7,000万円の内訳を以下のように記しています。調査・システム復旧費用:(外部・内部あわせて)約6360万円端末復旧費用:約8260万円保護者対応費用、職員の時間外勤務手当など:約1470万円第三者委員会、弁護士への報酬:約1720万円※金額は10万の位で四捨五入して各項目をまとめた概算です。学校組織で発生したインシデントなので内訳の細かい部分は違ってくるかもしれませんが、45,000件以上の個人情報が流出したサイバー攻撃の事例でかかった費用の例としてはかなり具体的で参考になると思います。企業で起きた情報漏えい事例だと委託先を提訴することは少ないため、ここまできっちりと被害金額を公表しているパターンはほとんどありません。そのため、「実際にこのくらいの費用が発生する」という金銭的被害を具体的に算出・公表した貴重な一例であると言えます。情報漏えいリスクを避けるためのセキュリティ対策情報漏えいが起こる前の対策をしっかりしておけば、リスクは圧倒的に軽減されます。まずは基本的な対策がきちんとできているかチェックしましょう。もっと詳しくセキュリティ対策について知りたい方は「サイバー攻撃とは?企業が行うべき対策を分かりやすく解説」もご覧ください。怪しいURLやファイルを開かない特にサイバー攻撃はフィッシングメールを通じたマルウェアへの感染、不正アクセスが原因であることが多いです。不審なメールに記載されたURLやファイルは開かないようにしましょう。ブラウザにフィルタリング設定を入れるのも有効です。セキュリティ対策ソフトを入れるファイアウォール、WAFなどのソフトでの対策も必要不可欠です。個人が所有するデバイスだけでなく、サイトを管理するツールやサーバーにも設置するようにしましょう。パスワードを厳密に管理する推測されやすいPWは使わない、使いまわしはしないなど。簡易的なパスワードを使っていると、攻撃者が認証を突破してしまうリスクが高まります。十分に注意しましょう。Webサイトのセキュリティを強化するバックアップを取る、アップデートの管理を行うなど。例えばWordPressのサイトならセキュリティ用のプラグインを入れるといった対策も考えられます。もし保守しきれていないようであれば、外部サービスの利用も検討すべきです。また、先述したようにセキュリティ会社の保守に抜けがある可能性もあります。定期的なセキュリティ診断を欠かさないことが大切です。>>>保守サービス・無料セキュリティ診断についてはこちらから<<<まとめ情報漏えいによって発生する損害は数百万円~場合によっては数億円にまでのぼる可能性があります。自社が大きな被害をこうむることがないよう、普段からセキュリティ対策を怠らないようにしましょう。もし自社のサイトやサーバーの状態に不安がある場合は当社の保守サービスも検討してみてください。※1 JNSA+「サイバー攻撃被害組織のアンケート調査(速報版)」※2 前橋地方裁判所民事第2部「令和2(ワ)145 損害賠償請求事件」

  • WordPress 表示速度 改善
    2024.02.06
    WEB制作

    WordPressサイトの表示速度が遅い原因はこれだ!改善方法や必須プラグインをご紹介

    たくさんの人に見てもらえるようなサイトを作っていくには何が必要だと思いますか?ページのレイアウトやコンテンツの内容ももちろんとても重要ですが、「サイトが早く表示されるかどうか」という点もユーザーの満足度を維持するのに欠かせない要素です。特にWordPressは対策をせずそのまま運用していると表示スピードに関する悩みを抱えがちです。自社サイトの表示が遅いと感じているようであれば、原因を分析してサクサク表示されるサイトを目指しましょう。1.WordPressの表示速度が遅くなる原因WordPressで制作したサイトが重くなる原因はいくつかあります。原因ごとに対策も変わってきますので、まずは自分のサイトを見て表示が遅い原因をチェックしましょう。画像サイズが大きすぎる・フォーマットが悪い画像はそのままだとサイズが非常に大きい場合もあります。デスクトップでの閲覧を想定しても最も大きい場合で1920px×1080pxくらい。それ以上であれば、画像が大きすぎると判断してよいでしょう。表示する場所によっても適切なサイズは違うことにも注意すべきです。小さいアイコン画像なのに必要以上に大きいサイズで表示していないかなどにも気を配ってください。また、画像のフォーマットにも注目してみても良いかもしれません。例えば写真の現像時に使われるRAWファイルは容量が極端に大きいので、サイトにアップするには不向きです。一般的に使われているPNG・JPEGのほか、最近はWEBPと呼ばれる軽量化された画像ファイル形式も知られてきています。2024年現在ではまだブラウザカバー率が低いため積極的な導入は推奨されていませんが、必要であればフォーマットの変更も検討するのも一つの手です。HTML・JavaScript・CSSが最適化されていないWordPress内部のファイルをHTML等でカスタマイズしている場合に考えられる原因です。例えば「WordPressをカスタマイズした形跡があるが、何度か担当者が変わってどのようにファイルをいじったか分からない」といった場合は、不要なコードがあって処理に時間がかかっている可能性が想定されます。サーバーの処理速度が遅いWordPressなどの動的サイトはデータベースからサーバーを介して情報をやり取りするので、サーバーのスペックが悪いと処理速度が遅くなる可能性があります。「データ量の多い大規模なコンテンツを運用しているのにレンタルサーバーの一番安いプランを契約している」といったケースでは、サーバーの処理速度が追いついていないのが原因になっていることも考えられるでしょう。2.表示スピードの改善に必要な対策実際に表示スピードを改善するのに必要な対策は以下の通りです。原因が分からないという方は、最初に紹介する「Page Speed Insightsでサイトの速度をチェック」をまず試してみましょう。Page Speed Insightsでサイトの速度をチェックサイト速度のチェックは厳密には対策ではありませんが、具体的な対策を練る前の現状分析に必要です。まずは何らかの手段でサイトの表示速度を分析してみましょう。今回紹介する「Page Speed Insights」はGoogleが提供している表示速度分析ツールですが、表示速度を測るツールは複数あるのでどれを使っても構いません。項目ごとにスコアを見ることで、表示速度を効果的に改善することができます。Largest Contentful Paint(LCP):ページ内で一番サイズが大きいデータ(画像や動画など)が表示されるまでの時間First Input Delay(FID):ページで何らかの動作を行ったときに反応にかかる時間Cumulative Layout Shift(CLS):ページを読み込んだ後のレイアウトのずれFirst Contentful Paint(FCP):ページを読み込み始めてから何らかのコンテンツが表示されるまでの時間Interaction to Next Paint(INP):ブラウザの応答に最も時間がかかったアクションTime to First Byte(TTFB):ブラウザがサイトのサーバーから1バイトを最初に受信するまでの時間例に挙げたこのサイトでは特に「FCP」と「TTFB」のスコアが悪いことが見てわかると思います。TTFBの読み込みが遅いということは、サーバーの応答に時間がかかっていることが原因の一つでしょう。ですので、キャッシュ系のプラグインを入れたり、サーバーをアップグレードしたりといった対処法が考えられます。サイズ画像の圧縮画像を適切なサイズに圧縮すると表示速度が改善されます。画像サイズを圧縮できるツールやサイトもありますが、WordPressであれば後述するようにプラグインを入れるのが簡単です。画像を遅延読み込みさせる画面外の画像(オフスクリーン画像)を後から読み込むことで、ユーザーから見える表示スピードが向上します。画像などの読み込みを遅延させる仕様をLazy-loadと呼びますが、WordPressならプラグインなどを入れなくてもデフォルトで対応可能です。バージョン5.5以降はLazy-loadが標準で実装されるようになっているので普通にメディア追加機能を使っていれば遅延読み込みされるはずですが、古いバージョンを使っているなどの要因があれば改善の余地があるかもしれません。キャッシュを活用するキャッシュとは、閲覧履歴のあるWebページをブラウザに保存させて、再度読み込む際の動作や時間を短縮する機能です。キャッシュの活用もWordPressならプラグインの導入で対応できます。使っていないコードの削除不要なコードの処理を減らすことで表示速度が改善することもあります。ただし、内部ファイルの編集にはJavaScriptやCSSの知識が必要です。仕組みをよく分かっていない初心者がいきなり内容をいじってしまうと、サイトの表示崩れなどさらに重篤な不具合をもたらす可能性があることには留意しておきましょう。もし周囲に知識を持った人がいないのであれば、専門家に相談してみるのもおすすめです。>>>WordPressの保守をプロに相談<<<サーバーを変えるレンタルサーバーを利用しているようであれば、契約しているプランがコンテンツの大きさと合っていない可能性もあります。多くの場合コストは上がりますが、サイトの規模感に合っていないようならよりパフォーマンスの高いサーバーに乗り換えるのも一つの手です。 3.表示スピードを改善しないことによるデメリットそもそも「表示スピード」はWebサイトの要素として重要なのでしょうか?答えはYESです。コンテンツ内容に直接かかわるものではないかもしれませんが、ユーザーの流入数や直帰率には大きな影響を及ぼします。デメリットを認識し、表示速度を高める工夫をしましょう。ユーザーの満足度が低下するスマホで情報を調べているとき、サイトがなかなか表示されなくてイライラした経験はないでしょうか?あまりに長いこと表示されなければそのまま「戻る」ボタンを押してしまう人も多いと思います。表示スピードが遅いとユーザーの満足度が低下してしまいます。満足度が下がるだけでなく、求める情報にたどり着く前にあきらめて離脱してしまう可能性も高まるでしょう。サイトの評価を上げてユーザーの直帰率を下げるための施策として、表示スピード対策は非常に重要だと言えます。検索順位に悪影響を及ぼすGoogleはサイトの表示スピードが検索順位を決める基準の一つとなっていることを公表しています。サイト内のコンテンツ内容と直接の関係はありませんが、ユーザーの利便性を考えて基準の一つとして採用しているものと推測されます。表示が遅いサイトは検索順位が上がらない、つまり顧客の満足度以前にアクセスしてもらえない可能性があるということです。4.WordPress表示スピード高速化に役立つおすすめプラグイン2選以下は当サイトの表示速度改善にも導入している必須プラグインです。WordPressサイトの表示スピードにお悩みでしたら、まずは導入してみましょう。※画像の遅延読み込み(Lazy-load)はバージョン5.5から標準機能として搭載されているため、現在はプラグイン非推奨です。キャッシュ高速化:W3 Total Cacheキャッシュの高速化を行えるプラグイン。キャッシュを保存しておくことでその手順を省くことができ、結果的に表示速度が上がります。画像圧縮:EWWW Image Optimizer画像を自動的に圧縮してくれるプラグイン。ページに画像が表示される際にファイルサイズが小さくなるため、WordPressを高速化できます。通常画像の圧縮にはやや手間がかかるので、一括で置換してくれる便利なツールです。5.まとめWordPressの表示速度改善はサイトの健全な運用に不可欠です。Page Speed Insightsのスコアが悪い場合は何らかの対策を取ることをおすすめします。プラグインの導入など簡単な対策で解決することもありますが、根本的な原因の解消にはプロの分析を頼った方がいいかもしれません。当社のサービスではWordPressの表示スピード改善も承っています。セキュリティ保守と一括で柔軟に対応しますので、「管理周りのことは全部プロに頼みたい」という方にもおすすめです。

  • セキュリティ診断 種類、相場など
    2024.01.31
    WEB制作

    Webサイトのセキュリティ診断は必要?種類や価格の相場、チェック項目を紹介

    インターネットに関わる技術が進歩したことで、今やWordPressなどのツールを使えば誰でもWebサイトを制作できる時代になりつつあります。Webサイトの運用にはセキュリティ管理が必要不可欠ですが、コンテンツの中身にばかり意識が向いて「よく分からないから…」と放置してしまう会社も多いのではないでしょうか。作るだけ作ってセキュリティ対策を怠った状態になっているようであれば、何らかの改善策が必要です。「何から始めたらいいか分からない」「セキュリティ対策はしているつもりだけど、課題点があるかもしれない」そういった方にはセキュリティ診断をおすすめします。種類はさまざまですが、無料でしっかりとした診断を受けられるものもあります。参考にしたうえで、ぜひ自社に合ったサービスを選んでください。1.Webサイトのセキュリティ診断(脆弱性診断)とはセキュリティ診断とは「システムやネットワークのセキュリティ状況を評価する診断」のこと。サイトだけでなく、アプリや内部システムもセキュリティ診断の対象になります。Webサイトの診断においては、脆弱性を見つけて対策するための診断という意味で「脆弱性診断」とも呼ばれます。サイバー攻撃に遭う可能性のある脆弱性がないかどうかチェックし、対策を講じるために利用するのが一般的です。2.セキュリティ診断の種類・価格相場セキュリティ診断にもさまざまな種類があり、価格の相場は方法によって大きく異なります。大きく分けて「ツール診断」「マニュアル(手動)診断」に分類されますが、どちらか一方だけでなく両方を併用するようなサービスも多くあります。どの診断を利用するか迷っている場合は、診断方法をチェックしてみましょう。ツール診断自動検知ツールなどを使って脆弱性を測る方法。自動ツールを使って診断するため、手動よりも低コストかつ短時間で実施できるのが長所です。ツール診断は無料~数十万と比較的安価ですが、内部システムに関わる専門的な知識を要する脆弱性の検知など、ツールのみの診断では見落としが発生するリスクがあることには注意した方がよいでしょう。ツール診断の中でも以下の3種類の方法に分けられます。クラウド型インターネットを経由して診断を行います。ツールをインストールしたり管理したりする手間が省けるため、比較的手軽に利用できるのがメリットです。ソフトウェア型自社のパソコン・サーバーにツールを入れて診断するサービス。オフライン環境でも利用できるのがメリットです。オープンソース型インターネット上に公開されているソースコードを利用して診断できるツール。カスタマイズ性が高く無料で利用できるのがメリットですが、使いこなすには専門性が必要なので初心者向けではありません。マニュアル(手動)診断セキュリティの専門家に依頼し、人力で細かくセキュリティの穴がないかチェックします。相場は数万円~数百万と幅広いのが特徴です。ツール診断と組み合わせて診断するサービスであれば数万円、大規模なWebサイトをプロの手で網羅的に診断したい場合は数百万円かかるケースもあります。多くの場合は有料ですが、WordPressに特化したセキュリティ診断であれば無料で受けられるパターンも存在します。リモート診断遠隔地から外部からアクセスできるサーバーなどにアクセスし、脆弱性をチェックします。サーバーに設置されているファイアウォールが機能しているかなど、外部からの攻撃を想定した脆弱性を見つけることができます。オンサイト診断外部に公開されていないサーバーなども診断対象として、内部システムの脆弱性を測ります。万が一外部から侵入された後に攻撃を防ぐシステムができているか、社内のセキュリティシステムに問題がないかまでチェックすることができるのがメリットです。3.WordPressセキュリティ診断サービスの主なチェック項目WordPressで制作したサイトがセキュリティ対策の落とし穴になりやすいのはご存知でしょうか。初心者でも簡単に作れるがゆえに、「表示崩れが怖くてアップデートしていない」など、判別がつきやすい部分で脆弱性が生じているパターンが多いので注意が必要です。もしWordPressを使って運用しているサイトのセキュリティに不安があるようなら、WordPressのサイトを専門に診断できるサービスを受けてみましょう。具体的な診断項目は以下のようになっていることが多いです。内部システムの脆弱性コアファイルプラグインテーマなど、WordPressの内部を構築するファイルに脆弱性がないかチェックします。バージョンアップせず放置していたり、何年も更新していないプラグインが残っていたりする場合はセキュリティが甘いと判断されます。ユーザー情報・管理画面WordPressを運用するユーザーの管理も重要です。具体的には、パスワード、IDが推測されやすいもの(生年月日、ドメイン名など)でないか各ユーザーに適切な権限を与えているかパスワード画面が適切に保護されているかなどをチェックします。内部のシステムをしっかり警備していても、管理ユーザーのセキュリティが甘いとサイバー攻撃の標的になりやすいので注意が必要です。その他バックアップの有無通信の暗号化(SSL化)などもチェック項目に含まれていることが多いです。>>>通信の暗号化について詳しくはこちらから<<<バックアップは不具合発生時の復旧に必須なので、セキュリティ対策としては基本中の基本です。診断前にしっかりできているかチェックしておくとよいでしょう。4.セキュリティ診断を受けるべきサイトの特徴どんなWebサイトも定期的なセキュリティ診断を受けるのが最良ですが、特に以下の特徴に当てはまる場合は今すぐ一度セキュリティ診断を受けてみることをおすすめします。しばらくアップデートしていないどんなツールを使って作ったサイトであれ、アップデートの管理を怠った状態は一番攻撃者につけこまれやすいものだと認識しておきましょう。特にWordPressなどのオープンソースCMSは脆弱性への対策がアップデートを通じた自己対応に任せられているので、放置した場合の危険性はひときわ高いと言えます。アップデートを放置しているようなWebサイトには他の問題が生じている可能性もあるので、まずは何が問題なのか診断を通じてチェックしてみるべきでしょう。担当者が変わってしまったセキュリティ対策が甘いことに悩みを抱えている方は、当初と担当が変わって設定の情報などが分からなくなっているパターンも多いのではないでしょうか。担当者の変更が原因で放置してしまっているのであれば、一度セキュリティ診断を行って何が問題なのか可視化してからサイトの改善を行うのが近道です。セキュリティについて分かる人がいない場合でも、セキュリティ診断を専門家に頼めば適切なアドバイスがもらえます。>>>WordPress無料診断を依頼する<<<セキュリティ保守の予算が下りないサイト保守をしっかり行うとなると、自社でやるにも外注するにもある程度予算がかかります。しかし、特に中小企業ではサイバーセキュリティの重要性、情報漏えいなどのリスクが共有されず重要性が看過されがちです。上層部がセキュリティリスクを認識していないため対策に割く予算が下りず、現場で悩みを持つパターンも多いのが現状です。セキュリティ対策を外部に委託する保守サービスも実はそこまで高額ではありませんが、利益が生じる投資ではないため導入を渋るケースも見られます。「自分は関係ない」という思い込みがサイバー攻撃の被害を生み出すのです。まずは実際にセキュリティ診断を受けてみて、具体的な課題点やリスクが見えると予算を割く説得材料になります。もしセキュリティ対策にお悩みのようでしたら、一度診断を受けてみましょう。>>>無料セキュリティ診断はこちら<<<5.まとめセキュリティ診断サービスは多種多様で、サイトの規模や診断の適用範囲によって価格やサービス内容も大きく異なります。脆弱性情報は日々更新されるため定期的な診断を行うのが一番ですが、課題点を認識するにはまず一度診断を受けてみるのがよいでしょう。当社では、WordPressのセキュリティ保守サービスの一環として定期的なセキュリティ診断とレポート提出を行っています。「診断されても解決策が分からない…」という場合は、プロがセキュリティ管理まで一括でサポートします。自社サイトの課題点を認識するために無料セキュリティ診断を受けてみたいという方は、WordPress丸ごとお任せ(保守)サービスのページをご覧ください。

  • ランサムウェア 対策
    2024.01.31
    WEB制作

    ランサムウェアに有効な7つの対策!感染したときの対処法まで解説

    突然データが暗号化され、復旧と引き換えに金銭を要求するメールが届くランサムウェア。データが戻ることはなく被害コストも甚大であり、事前対策が特に重要とされるマルウェアです。ランサムウェアの被害は事業規模や業種を問わず急拡大しており、被害にあった法人の累計被害額は3年間で平均1億7689万円※といわれています。どの企業においても早急な対応が必要です。 今回はランサムウェアに有効な対策と感染した場合の対処法をご紹介します。1.いますぐランサムウェア対策が必要な理由トレンドマイクロ㈱が2023年に行った「サイバー攻撃による法人組織の被害状況調査」※によると、この3年間のランサムウェア被害を受けた法人の累計被害額は平均1億7689万円。復旧にかかった業務停止期間は、通常のサイバー攻撃が平均4.5日のところランサムウェア攻撃では平均13日と3倍近い日数が報告されています。この数年でランサムウェア被害が急増した主な理由は、新型コロナ感染症や働き方改革によって社外へのネットワーク接続が増えたことです。テレワークやSaaS、RDS(遠隔操作サービス)の利用が急速に進められた中で、多くの企業が新たな環境に適したセキュリティへの移行が間に合わず、その脆弱性がランサムウェアに狙われています。ランサムウェアに一度感染すると完全な復元は不可能であり、事業存続にかかわる大きな被害を出す場合もあります。早急に対策を検討しましょう。2.ランサムウェアに有効な7つの対策ランサムウェアはネットワークの脆弱性やメールの添付ファイル、ソフトウェアのダウンロードなどから侵入します。以下の7つの対策を同時に行いましょう。定期的なバックアップ感染に備えて常にバックアップをとることが最も重要です。ランサムウェアにデータを暗号化されても最新情報をしていれば被害を最小限に抑えられます。バックアップへの感染を防ぐため複数コピーして外部からアクセスできない場所に保管しましょう。OSやアプリケーションを最新に保つOSやアプリケーションは時間が経つと脆弱性が見つかることがある上、ランサムウェアをはじめとしたマルウェアは日々進化します。OSやアプリケーションの更新連絡がきたらすぐに適用して最新のプログラムにしましょう。使用していない古いアプリの削除も必要です。セキュリティ対策ソフトの導入と更新ほかのマルウェアもランサムウェアの侵入経路になるため総合セキュリティ対策ソフトの導入は必須です。すでにセキュリティソフトを導入している場合は更新状況や十分な性能があるか見直します。ランサムウェアは従来型のソフトでは検知できないケースも多くあります。EDRも含めて導入を検討しましょう。パスワードの管理徹底・多要素認証の導入パスワード管理は基本ですが、慣れや作業性を優先して簡易化されやすいものです。定期的な変更、法則性のない並び、十分な長さなど改めて徹底させましょう。SMS認証や生態認証など多要素認証の導入もおすすめです。アクセス権限の最小化感染の予防と拡大防止のため、ユーザアカウントのアクセス権限や範囲などは必要最低限にします。特に、外部に公開されているアカウントは攻撃対象になりやすいので、内部への接続を可能な限り制限しましょう。ネットワークの監視とログの保存ネットワークの監視はランサムウェア感染時の不審な挙動の早期発見、ネットワークログの保存は侵入経路の特定につながります。感染時の被害をいち早く収めるために必ず行いましょう。全社員での警戒と危機意識の共有マルウェア対策はネットワーク全体で行わなければなりません。以下のようなセキュリティルールを作成し、全社員で情報共有・警戒を徹底しましょう。偽装メールやSNS、不審なUSB、公衆Wi-Fiへの警戒メールのスキャンやフィルタリング機能の活用不審な添付ファイルやURLをクリックしないダウンロード前に信頼性の確認を行うデバイス持ち込みは事前スクリーニングと報告 など>>>サイバー攻撃への対策について詳しくはこちらから<<<3.ランサムウェアに感染したときの対処法巧妙な手口が次々と生まれるランサムウェアは万全な対策をとっていても感染が避けられない場合があります。被害を最小限に抑えるために感染時の対処法も合わせて周知しておきましょう。ランサムウェアに感染した場合の対処は以下の手順で行います。①ネットワークの遮断感染が疑われたら、すぐに端末をネットワークから遮断して隔離します。同じネットワークを使用している端末はすべて感染の可能性があるため、早急に連絡して同様に対処させます。検出や駆除作業より優先させましょう。絶対に要求には応じないランサムウェアはデータを奪うまたは暗号化するなどして、その漏洩防止や普及と引き換えに金銭や資産を要求してきます。しかし、データが安全な状態で戻ることはありません。一度要求に応えてしまうとそのデータが共有され攻撃が増えるとも言われています。「要求には絶対に応じてはならない」と周知しておきましょう。②ランサムウェアの検出と駆除端末の隔離を終えたらセキュリティ対策ソフトでランサムウェアの検出と駆除を行います。多くの対策ソフトでは自動で特定箇所の削除や隔離がされますが、最新のランサムウェアの検知や駆除は非常に難しく対応できないソフトウェアも多いようです。対処しきれない場合はセキュリティ担当者やサポートセンターへ依頼しましょう。③ファイルとデータの復号暗号型ランサムウェアは、「No More Ransom Project」などの復号化ツールでファイルとデータを復号できる場合があります。ただし、すべてのランサムウェアに対応できるわけでなく、端末に不具合が生じる可能性があるためよく検討してから使用しましょう。④バックアップデータからの復旧ランサムウェアに奪われたデータは最新のバックアップデータから復旧させます。バックアップデータの保管場所によっては感染している恐れがあるので、安全が確認できたデータを使用しましょう。⑤警察へ通報ランサムウェアはれっきとした犯罪行為です。攻撃を受けたら警察の各都道府県のサイバー犯罪相談窓口へ通報しましょう。対処に悩んだときの相談先にもなってくれます。4.ランサムウェアの対策や感染は専門家に相談するランサムウェアをはじめとしたマルウェア対策は複数の対策を同時に行わなければならず、さらに常に変化する手口に最新の知識で対応する必要があるとなると、専門職でなければ難しいでしょう。社内に専門の担当者がいない場合は、24時間体制でサイバー攻撃を監視してくれるSOC(セキュリティ対策専門部署)やwebサイトの保守サービスなど外部の専門家に委託するのがおすすめです。ランサムウェアは事前対策と感染時の迅速な対応が被害規模に大きく影響します。損失を最小限に抑えるために、万全の体制を整えておきましょう。5.まとめランサムウェアの被害はこの数年で急増しており、復旧の難しさや事業への悪影響は他のマルウェアを大きく超えています。被害を受ける前に早急に対策しましょう。検知が難しいランサムウェアを防ぐには、定期的なバックアップやアプリの更新など基本的対策に加え、ランサムウェアに対応できる高性能セキュリティソフトの導入などもう一歩踏み込んだ対策が必要です。また感染被害を最小限に抑えるために正しい対処法も周知しておきましょう。感染したらまずネットワークを遮断、要求には応じない、警察への通報の3つです。セキュリティソフトを使った検出や駆除、暗号化されたデータの復号、データの復旧などの作業は専門知識をもったSOCや保守サービスなどの利用がおすすめです。※トレンドマイクロ株式会社+「サイバー攻撃による法人組織の被害状況調査​」

  • 社内向け セキュリティ対策ルール 策定方法
    2024.01.25
    WEB制作

    【社内向け】セキュリティ意識を高めるルールの策定方法を解説

    最近はマルウェアによる被害や情報漏えいなどのセキュリティリスクが知られるようになってきて、「自社のセキュリティ対策は万全なのだろうか」と不安に感じる人も多いのではないでしょうか。実際、サイバー攻撃などのリスクに備えていない企業は何らかの被害に遭う確率が高まります。しかしその一方、「私は関係ない」とどこか他人事に思っている人が多いのも事実です。どれだけシステムの対策をしたとしても、一人の社員がスパムメールを開いてしまったら意味がありません。また、セキュリティへの意識的な取り組みだけでなくデバイスの管理など技術面での対策も重要です。この記事では、社内でセキュリティ対策を強化したい人向けに効果的なルールの策定方法を紹介します。1.社内セキュリティ対策ルール策定前の基本セキュリティ対策ルールを従業員間で共有・徹底するには、まず「ルールをどう扱い、改善していくか」という視点を身につけておくことが重要です。社内でルールを決める際は、事前に規則の扱い方を頭に入れておきましょう。セキュリティリスクを社内で共有するルールを定めても「なぜこのルールが必要なのか」理解していないと実施の徹底は困難です。サイバー攻撃を受けたときなどに被る損害賠償や業務停止のリスクについて周知し、全社員が自律的に取り組めるようサポートしましょう。上層部・システム担当・その他の社員が連携する予算を出すには上層部の許可が必要であり、技術面でのセキュリティ強化にはシステム担当の知識が必要です。さらに、全社員の協力がなければどこかにセキュリティホールが生じてしまいます。一部の社員ではなく、全員が守れるようなルールを定めて実施状況を確認するよう仕組みを整備しましょう。形式が明確な規定としてルールを共有したい場合は、セキュリティポリシーを設定するのも一つの手です。常に情報を収集し、ルールを改善するサイバー犯罪は日々複雑化しており、以前からのルールを守っているだけでは攻撃にさらされるリスクが高まります。IPAなどの機関が最新の脆弱性情報を発信していますので、常に誰かが一次情報を収集するよう心がけましょう。また、情報の更新や社内の変化に応じて必要であればルールの改善を行ってください。一度決めて終わりではなく、PDCAサイクルを回して改善していくことが重要です。2.ルール設定に役立つ!セキュリティの3大基本対策サイバーセキュリティの対策にはさまざまな種類がありますが、大きく3つに分類できると認識しておくとルールの設定に役立ちます。技術的対策ソフトウェアなどにセキュリティ対策を施し、システムを保護します。エンジニアによる技術支援が必要です。人的対策人間が起こすミスや不正行為を予防するための対策のこと。社内全員の協力が必要です。物理的対策オフィスへの侵入や災害などから物理的な保護を行います。特に中小企業では予算不足で物理的な対策が難しいこともありますが、リスクへの備えとしては不可欠です。3.【セキュリティ対策】社内ルールのチェックリスト13項目前章でご紹介した対策区分ごとにルールの一例をご紹介します。どのようなルールを決めるかは社内の状況にもよりますが、以下の事項は最低限ルールに組み込んでおくのがよいでしょう。対策区分No.チェック項目技術的対策1ファイアウォールを設置しているか2二段階認証を導入しているか3ウイルス対策ソフトを導入しているか4侵入検知システム(IDS)を導入しているか5インシデント発生時の対応を決めているか6不審なサイトへのアクセス制限をしているか7パスワードポリシーを定めているか人的対策8インシデント発生時の責任者を決めているか9社内でセキュリティ教育を行っているか物理的対策10従業員の入退室管理をしているか11社内に監視カメラなどを設置しているか12災害時のリスク管理を行っているか技術的対策チェックリスト①ファイアウォールを設置しているか悪意ある攻撃をブロックするファイアウォールの導入は対策を行う上での基本中の基本です。パソコンにはもちろん、仕事用のスマホや社内で利用しているサーバーにも設置しているか確認しましょう。②二段階認証を導入しているか特に機密性の高い情報を扱うツールはログイン時に二段階認証を導入しましょう。例えば、自社サイトをWordPressで制作しているならば管理画面に二段階認証を加えるプラグインを入れるとセキュリティを向上させることができます。③セキュリティ対策ソフトを導入しているかマルウェア攻撃を防ぐにはセキュリティ対策ソフトの導入が必須です。支給前にあらかじめ全てのデバイスにインストールしておくとよいでしょう。④侵入検知システム(IDS)を導入しているかIDSとは、不正アクセス等の不審な動きを検知するシステムのこと。セキュリティに異常が見られた場合、すぐに対応できるような監視システムの導入も大切です。⑤インシデント発生時の対応を決めているか不正アクセスなどが発見された場合、または情報漏えいや金銭詐取などの大きな被害が発生した場合などの対応方法はあらかじめ決めておきましょう。どれだけ対策していてもリスクは常につきまといます。万が一の事態が起きたときに被害を抑えられるよう、迅速な対応を行うことを意識してください。⑥不審なサイトへのアクセス制限(フィルタリング)をしているかフィッシング攻撃の被害を防ぐには、不審なサイトにアクセスしないようにするのが重要です。そのための対策として、不審なサイトをフィルタリングするよう設定するのも一つの手です。ただし、フィルタリングの結果見られないサイトが出てきて業務に支障をきたすことがないよう現場の状況は確認しておきましょう。⑦端末持ち出し時のルールを決めているか特にテレワークが許可されている職場では人目のない場所で端末を操作する時間が発生します。故意で情報を盗むような事案を防ぐのはもちろん、過失で生じるインシデントを防ぐためにも端末持ち出し時のルールは特に細かく決めておきましょう。⑧パスワードポリシーを定めているか「大文字小文字を混ぜる」「生年月日は使わない」「同じパスワードを使いまわさない」などのルール(パスワードポリシー)を決めるのも大切です。推測されやすいパスワードは不正ログインの被害に遭う可能性が格段に高まります。十分に注意しましょう。人的対策チェックリスト⑨インシデント発生時の責任者を決めているかサイバー攻撃を受けるなどのインシデントが発生した場合、責任の所在があいまいだと問題の解決が遅れてしまいます。インシデントへの対応を決定する責任者を決めることで組織的な課題が生じないようにしましょう。⑩社内でセキュリティ教育を行っているかデバイスの管理方法や不審なメールの扱い方はもちろん、先述したようにインシデントが発生した場合に生じる損害賠償のリスク等についても共有し、自主的な対策を促すようにしましょう。物理的対策チェックリスト⑪従業員の入退室管理をしているか情報を盗もうとする不審な人物が勤務スペースに入らないようにするという意味でも入退室管理は必須です。「いつ」「誰が」オフィスにいるのか正確に把握できるようなシステムを作りましょう。⑫社内に監視カメラなどを設置しているか同じく侵入者対策として監視カメラを設置することもサイバーセキュリティの一つになります。⑬災害時のリスク管理を行っているか災害時のリスク管理も重要な課題です。機密書類の処理方法や紛失時の補填についてなど、細かくルールを決めておきましょう。4.自社サイトのセキュリティ管理ルールも定める国家公安委員会、総務省、経済産業省にて掲載されている「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」によれば、2022年の1年間に認められた不正アクセス行為の発生は2,200件。警察に直接報告された不正アクセスの認知数なので、検挙されていない数も含めると実際の数字はもっと多いと推察されます。このことからも分かるように、Webサイトの保守もセキュリティ対策の一環として非常に重要です。不正アクセスを検知するツールを用いたり、こまめにバックアップとアップデートの管理を行ったりすることでWebサイトを経由したサイバー攻撃のリスクを低減することができます。5.まとめ社内のセキュリティルールを定める際は、従業員全員が守れるようなシステムづくりを行うことが非常に重要です。また、デバイスや社員の意識づくり以外にもサイトのセキュリティを改善することも対策になるでしょう。自社サイトの保守に不安がある場合は外部サービスを利用するのもおすすめです。

  • 今更聞けない!サーバー保守とは?
    2024.01.25
    WEB制作

    サーバー保守とは?管理・運用の基本やサービスの一例を解説

    情報セキュリティを守るための業務の一つとして「サーバー保守」と呼ばれる作業があるのはご存知でしょうか。インターネットを安全に使うには必要な工程ですが、知名度はあまり高くありません。どんなタイプのサーバーを契約しているかにもよりますが、サーバーが正常に稼働しているかの管理は行っておくべきでしょう。具体的にどんな仕事が当てはまるのか知っておくことも大切です。この記事では、サーバー保守(運用)について、主な内容やメリットなどをご紹介します。1.サーバー保守(運用)とはサーバー保守とは、主にメンテナンスの管理やトラブルが発生した場合の復旧作業など、常に安定稼働できるようサーバーを維持する業務のこと。「サーバー運用」という単語も存在しますが、実際の意味合いは大きく変わらないためここでは同じ言葉として扱います。例えばWebサイトを動かすためのサーバーであれば、ページを正常に表示するためにサーバーの機能が動作しているか定期的にチェックする必要が出てきます。これが「サーバー保守」の仕事です。保守すべきサーバーの種類や保守エンジニアによって変わってくるので明確な定義はありません。例えばホスティングサーバー(レンタルサーバー)を利用している場合は保守運用のほとんどを業者が代行してくれます。しかし、それ以外の方法でサーバーを構築するのであれば何かしらの保守を自分で行う必要があります。具体的には以下のような業務を指すことが多いです。ハードウェアの管理エンジニアが取り扱う業務の範囲にもよりますが、自社サーバー(オンプレ)を利用する場合であればサーバーを物理的に構築・管理することもサーバー保守の一部に含まれます。アップデートの管理サーバーにも定期的なアップデートがあります。サーバー内のOSだけでなく、一部のソフトウェア(ミドルウェア)ごとに発生するアップデートも適用しなければならず、更新時にトラブルが起こる可能性もあるため作業は意外と煩雑です。アクセス制限の設定特にデータを取り扱うサーバーは、悪意を持った第三者にアクセスされると情報漏えいやデータ改ざんの被害に遭う恐れがあります。また、むやみに管理者権限を与えると攻撃を受けて権限を奪われる可能性が高まるため、ユーザーによってアクセスできるファイルを変更することも必要になってくる場合があります。特定のIPアドレスからのアクセスのみ許可する管理者権限を持つユーザーを限定するなどの設定にすることで、セキュリティを向上させます。ファイアウォール、マルウェア対策ソフトの導入不審なアクティビティを検知しブロックするファイアウォールを設置しておくことも有効な対策の一つです。初心者はパソコンやスマホなど実際に利用する端末のみに注目しがちですが、サーバーにファイアウォールやマルウェア対策ソフトを導入するという視点も忘れないようにしましょう。SSL証明書の管理Webサイト用のサーバーを維持するにはSSL証明書の管理も必要です。SSL証明書とは、サーバーとの通信の暗号化(SSL化)を行ったことを示す電子証明書で、サイトを訪れるユーザーを守るために証明書の取得が強く推奨されます。SSL化には特定の機関から発行されるSSL証明書を得て、定期的に更新しなければなりません。そのため、サーバー保守の一環として証明書の管理を行うこともあります。>>>SSL証明書について詳しくはこちらから<<<2.サーバー保守を導入するメリットサーバー保守の導入にはいくつかのメリットがあります。言い換えればしっかり保守しないと重篤なデメリットが生じるということでもあるので、メリットを知って必要性を認識しておきましょう。高いセキュリティを維持できる例えばWebサイトを表示させるのに必要なWebサーバーであれば、コンテンツの量やユーザーの数が変わるにしたがって必要な対策が変わってきます。サーバーの状況を定期的に見直して、適切なセキュリティ対策を行うことが重要です。有事にすばやく対応できるサイバー攻撃を受けたときなどは、速やかに原因を特定して迅速に対処することが被害の最小化につながります。サーバー保守の知識があるエンジニアがいれば、有事にスムーズな復旧が可能です。企業全体の信用性を高める普段からサーバーの状態を管理してセキュリティを向上させることで、企業全体の信用性を高めることができます。例えばセキュリティ対策をせずサイバー攻撃を受けて顧客の情報が漏えいしてしまった場合、企業全体の信頼に大きな悪影響をもたらすでしょう。実際に攻撃を受けていなくとも、普段から見えない部分の対策ができていないことが判明すればユーザーの信頼を失ってしまいます。3.保守が必要なサーバーの種類「サーバー保守」が扱う範囲のサーバーの機械そのものから内部のソフトウェアの管理まで幅広く、厳密にいえば「サーバーにまつわる全てに保守が必要」ということになります。一つのマシンの中に複数のサーバーが入っていれば、それら全てを管理するのがサーバー保守の役割です。ここでは、保守の対象となる代表的なサーバーの種類をご説明します。Webサーバーテキストや画像、HTMLなどWebサイトに必要なデータを探してブラウザに渡す役割を持っているのがWebサーバーです。PCやスマホでWebサイトを閲覧する際には必ずWebサーバーとデータのやり取りを行います。データベース(DB)サーバーデータベースサーバーは、さまざまなデータ(情報)を管理する場所です。データベースに入った情報をサイトに表示させたい場合は、先ほど紹介したWebサーバーを通じて表示させます。「データベースサーバー」を介したWebサイトを「動的なサイト」「動的コンテンツ」と呼びます。例えばWordPressにはデータベースサーバーが必要なので、制作したサイトは「動的サイト」と呼ばれます。メールサーバーメールの送受信を行うのに必要なサーバー。SMTPサーバー(送信用サーバー)とPOPサーバー(受信用サーバー)に分類されます。ネーム(DNS)サーバーインターネット上でドメインとWebサーバーやメールサーバーを結びつけるための名前解決をするサーバー。ホームページやメールを使うにはドメインの取得が必要ですが、ドメインを得るだけでは機能を利用することができません。ネームサーバーを通じて通信することで、IPアドレスとドメインを結び付けることができます。FTPサーバーアップロードされたファイルやダウンロードするファイルを保管している場所です。FileZillaなどのFTPクライアントを使用し、FTPサーバーに接続しファイルをやり取りすることで、ホームページ上にデータがアップロードできるようになります。4.WordPressサイトにおけるサーバー保守サービスの一例サーバーの保守・運用には専門知識を持ったエンジニアの技術が必要です。レンタルサーバーを利用しないサーバー構築をこれから行う、もしくは現在保守にあたっている人員がいないというようであれば、サーバー保守を外注するのもよいでしょう。例えば当社ではWordPressサイトの保守と一括管理する形(オプション)でサーバー保守も承っております。実施環境と要件をヒアリングした上で施策を決定しますが、具体的には以下のようなサービスを提供しています。クラウド環境、VPSの管理(ホスティング利用の場合は、サーバベンダーとのやり取りなどを代行)SSL証明書の設定・管理サーバーアップデートの管理アクセス制限アカウント認証ファイアウォールの構築サーバサイドでのウイルス対策ソフトの導入Webサイトのセキュリティと併せてサーバーの管理もしたいという企業様には最適です。また、サーバーの管理だけでなく環境の構築まで承っています。ご要望に合わせて柔軟に対応しており、サーバー保守のみというご注文もお受けしています。料金、サービス内容についてはプロのエンジニアが直接ヒアリングして説明・提案しますので、気になった方はぜひお問い合わせください。5.まとめサーバー保守の業務内容は幅広く、どれもネットワーク環境を安全に利用するには欠かせない作業です。サーバーの管理が不十分だと感じているようであれば、内製エンジニアを雇用するか外注サービスへの委託を速やかに行うべきでしょう。Webサイトのセキュリティ対策と一緒にサーバー保守も行いたいという場合は当社のサービス利用もおすすめです。

  • 2024.01.24
    WEB制作

    脆弱性とは?誰でもできる企業向け対策方法を解説

    Webサイトの運用においてセキュリティの管理は非常に重要です。脆弱性の対策を怠った場合、サイトがサイバー攻撃の被害に遭って大きな損失を生むリスクがあることは広く知られています。しかしその一方でWeb担当者がセキュリティについて知らない状態でサイトを運用しているパターンもあり、現実的なリスク管理ができていないという課題点を抱えている企業も多く存在します。自社サイトの保守に不安があるという方は、この記事で紹介する脆弱性への基本的な知識を頭に入れて簡単なセキュリティ対策ができているかチェックしてみましょう。1.脆弱性とは脆弱性とは、インターネットに接続するデバイスやソフトウェアに生じるセキュリティ上の欠陥のことで、「セキュリティホール」とも呼びます。脆弱性はプログラムの設定ミスなどが原因であることが多く、悪意ある人物によって欠陥を突かれると「サイト改ざん」「情報漏えい」といったサイバー攻撃の被害が発生します。>>>サイバー攻撃の対策についてはこちらから<<<正確な定義ではスマホやパソコンなどのデバイス、OS、アプリなどインターネットに関するありとあらゆるツールに脆弱性のリスクが存在しますが、この記事では主に「Webサイトに潜む脆弱性と対策方法」について解説していきます。2.Webサイトの脆弱性を突かれる原因脆弱性を突いたサイバー攻撃の被害に遭うWebサイトには何らかの原因が潜んでいることがほとんどです。中には特定の個人や企業を狙った「標的型攻撃」というサイバー攻撃もありますが、ここでは不特定多数への攻撃を狙ったサイトへの攻撃を受けやすくなってしまう原因をご紹介します。最新バージョンに更新できていないサイト運営に関わるシステムに何らかの脆弱性が発見された場合、開発元から不具合を修正するバージョンが配信されます。新しいバージョンを使うことで新たに発見された脆弱性の穴をふさぐことができますが、更新を怠るとその穴は残ったままになってしまいます。サイバー攻撃を行う犯罪者は脆弱性が見つかったあとも更新していないサイトやユーザーを標的にするため、どんな理由であれアップデートをせず放置するのは危険です。マルウェアへの対策不足容易に推測できる文字列でIDやパスワードを設定していた場合、システムそのものに問題がなくともセキュリティ上の弱点になりえます。また、サイトの運用に必要なサーバーのセキュリティが十分でない場合もサイバー攻撃の標的となるリスクが高まるため、十分な対策が必要です。プログラムの不具合特にHTMLやCSSを用いて自作したサイトは設計上のミスなどにより完成時点で脆弱性が生じている可能性があります。オリジナルの部分が大きければ大きいほどプログラムの不具合が生じるリスクが高まることに留意しておきましょう。過失によるリスクはもちろん、中には制作サイドの職員が故意に脆弱性を仕掛けていたという内部不正の事例も存在します。WordPressなどのCMSを利用して制作したサイトの場合、完成時にプログラムの不具合が見つかるパターンは稀ですが、プラグインなどの拡張機能を利用するときは十分に注意してください。3.脆弱性対策を怠った時のリスク脆弱性をカバーする対策を行わなかった場合、以下のような被害に遭うリスクが高まります。不正アクセス悪意を持った攻撃者が情報システムの内部などに侵入することを「不正アクセス」と呼びます。不正アクセスを受けた段階で対策を行わずさらに放置すると、後述するような改ざんや情報漏えいなどの被害をもたらします。サイトの改ざんサイト内部をハッキングされると、本来のサイトではなくマルウェアを埋め込むためのサイトに誘導する改ざん被害に遭うことも考えられます。ユーザーや顧客にサイバー攻撃を行う発信源になってしまった場合、サイトだけでなく企業そのものの信頼性に大きく影響を及ぼすでしょう。情報漏えい社内の内部データまで不正アクセスの被害を受けると情報漏えいに発展する場合もあります。社員の個人情報や顧客の住所・クレジット番号の流出などが起きると、最悪の場合巨額の損害賠償に発展するなど考えられる被害はかなり甚大です。4.初心者向け・誰でもできる企業サイトの脆弱性対策社内に情報セキュリティの知識を十分に持った専門家がいるなら問題ありませんが、もしセキュリティ対策ができる社員がいない場合はまず以下のような対策を組んでみましょう。最新情報を収集するJVN(Japan Vulnerability Notes)などの機関がソフトウェアに関する脆弱性の最新情報を日々更新しています。サイト運用に関わる誰かが常に情報をチェックし、自社のサイトに関わる事案がないかどうか確認しておきましょう。社内のセキュリティを見直し社内ネットワークを外部からの不正アクセスから守る「ファイアウォール」など、社内のインターネット環境に関するセキュリティを見直すのも一つの対策です。ID・パスワードの設定確認、使用ツールの共有などを定期的に行い、人為的なミスを可能な限り減らしていくことがセキュリティ対策につながります。定期的にセキュリティ診断を行うセキュリティを維持するには、自分のサイトの状態を把握しておくことがとても大切です。無料もしくは安価で診断したい場合はセキュリティ診断ツールを利用するのがおすすめです。ただしツールによる診断は精度が落ちるため、より専門的且つ詳細な診断を必要としているならばプロによる診断を受けるのがよいでしょう。5.まとめソフトウェアに存在する欠陥である脆弱性を放置した場合、サイト改ざんや情報漏えいといった深刻な被害に遭うリスクが高まります。企業サイトを運用しているのであれば、社内のセキュリティを見直したうえで定期的にセキュリティ診断を行うことを検討してみてください。WordPressなどを用いたサイトのセキュリティ管理に自信がないようでしたら、定期的なセキュリティチェックを含む保守サービスを利用してみるのもおすすめです。当社でも保守サービスを提供しておりますので、興味があればぜひご相談ください。