WEB制作

新着記事

  • 2024.03.21 WEB制作

    コンテンツSEOの外注費用・相場は?信頼できるSEO対策会社の選び方
    検索流入から新規顧客・既存顧客を集客するコンテンツSEOは今やWebマーケティング手法の定番になりつつあります。導入のハードルが低く小~中規模の業種でも取り入れやすいのですが、一方で確実に成果を出すにはそれなりのスキルが必要です。内製でのSEO対策に限界を感じているWEB担当者の方も多いのではないでしょうか?社内のリソースが不足している企業では外注でSEO対策を行うケースも増えています。必要に応じてコンテンツSEOサービスを利用することで売上改善につながるかもしれません。 この記事では外注でコンテンツSEOを行う場合の費用相場、結果を出せるSEO対策会社の選び方をご紹介します。1.施策別・コンテンツSEOの外注費用実際のところ、コンテンツSEOの外注費用はピンキリです。月額換算すると安くて5万円程度、大企業向け・ビッグワード狙いだと100万円以上かかるケースもあります。効果を出すためのコツは「とにかく安いものを選ぶ」のではなく、「自社に合った施策を提供してくれる会社を選ぶ」こと。多くの企業は複数の施策を一気通貫で担ってくれますが、安価なSEO会社は何らかの施策をやらない/スキルの低い人に任せてコストカットしているケースが多いので注意してください。以下、施策ごとの一般的な費用相場です。施策価格①戦略立案5万円~20万円(初期費用)②構成案作成2万円~5万円/1本あたり③ライティング2万円~5万円/1本あたり(構成案なし)5万円~7万円/1本あたり(構成案あり)④入稿・公開単体での請負はほとんどなし専門家による監修2万円~10万円/1本あたり図解の制作点数による(1点2,000円~)①戦略設計(ニーズ分析、キーワード調査など)初期費用として5~20万円程度かかるのが相場です。SEO記事で成果を出すには「どんなターゲットに」「どのようなキーワードで」アプローチするのか明確にしてから戦略を立てる必要があります。ターゲット層の調査やキーワード選定など、より効果的な記事を制作するために必要な作業だと言えるでしょう。初期費用を取らず単発で安価な記事を書く業者はしっかりキーワード分析をしておらず、質の低い記事を量産している可能性が高いでしょう。戦略設計が内部のリソースでしっかりできていればそれでも問題ないかもしれませんが、SEOに詳しい人材がいない場合は特に注意して見極めるようにしてください。②構成案作成相場は3万円~10万円。狙うキーワードを選定後、上位表示されるような記事の構成案を考えます。上位記事などからニーズを上手く抽出し、分かりやすく見出し別にまとめる力が必要です。関連記事→コンテンツマーケティングのためのSEO記事に重要な「構成」とは?記事作成に重要な構成の作り方や意識したいポイントを紹介!③ライティング相場は2万円~7万円。構成をもとに実際に記事を書いていきます。「SEO外注」と言うとライティングの代行をイメージする方もいらっしゃるかもしれませんが、実際のところ文章表現そのものは検索順位で上位に出られるか否かにはあまり関与しません。見やすい文章で書かれているか、読者層に合った表現を使えるかなど基礎的なライティングスキルはもちろん必要ですが、それよりも重要なのは「中身となる構成がしっかりしているか」「土台となるターゲティングが適切か」です。構成無しでライティングを依頼した場合、内容が薄くなりやすいので注意が必要です。内容に齟齬があった場合は構成段階で修正した方が工数はかかりませんし、記事執筆後の修正に追加費用がかかるケースも多いです。できるだけ構成案の作成まで一貫してサービスを提供してくれる企業を選んだほうが無難でしょう。④入稿・公開WordPress等のCMSへ入稿し、装飾を施してから公開します。記事のライティングまでを外注して入稿は自社で行う企業が多いのですが、入稿は意外と手間がかかる作業です。社内のリソースによっては外注することを考えてみてもいいでしょう。その他、追加でかかる費用専門家による監修:2万円~10万円図解の制作:点数による(1枚2,000円~)2.サービス別・コンテンツSEOの費用ここまでご説明してきた通り、どの施策を含むかによってコンテンツSEOの外注費用は大きく異なります。単純に安いかどうかではなく、求めるサービスを提供してくれるかチェックするようにしましょう。以下、コンテンツSEOのサービスをいくつかの種類に分類したものです。同じ会社が複数のプランに対応しているケースもあります。サービス名特徴SEOコンサルティングサービスマーケティング戦略の策定~効果測定までコンサルティング内部対策まで行うことも固定報酬型サービス内容に応じて毎月決まった月額成果による報酬変動なし成果報酬型検索順位が上がったキーワード数に応じて報酬額が決定ライティング代行サービス記事単位の都度払いSEO戦略には関与しないSEOコンサルティングサービス月あたりの相場は30万~100万円程度。現状のサイト分析を行ったうえで、マーケティング戦略の策定から効果測定までコンサルティングします。どんなキーワードでどうやって検索順位を上げるか一緒に戦略を立案するので、SEOの知見に自信がない企業におすすめです。戦略のアドバイスのみ行うコンサルからコンテンツ制作まで代行するコンサルもあるので、自社のリソースに対応した企業を選ぶのがおすすめ。コンサルの一環でサイト設計を含む内部対策まで行ってくれるケースもあります。固定報酬型サービス内容に応じて毎月決まった月額を払います。記事の数や種類に応じて一括払いにする企業もあります。検索順位上昇などの成果による報酬変動はないので、実力・実績を見極めるのが大切です。成果報酬型検索順位が上がったキーワード数に応じて報酬額を決定する仕組みを採用している企業もあります。会社によっては具体的な施策を公開せず、外部リンクを増やすなどのグレーゾーンなSEO対策を行っているケースもあるので、施策をしっかり確認することをおすすめします。ライティング代行サービスあらかじめコンテンツマーケティングとしての戦略の方向性が決まっている状態で、中身の記事を制作する形をとるのがライティング代行サービスです。記事単位の都度払いで1件あたり3万円~10万円程度が一般的な相場です。ライティング、構成案の実績・質によってだいたいの価格が決まります。クラウドソーシングなら極端に安い案件もありますが、品質はほとんど担保されません。SEOコンサル型より比較的安価な傾向にありますが、記事単位なので記事の専門性によってはコストが見合った結果が得られないこともしばしばあります。売り上げを出すための工程にはほぼ関与しないので、「知見はあるが内部にリソースが不足している」という企業におすすめです。3.自社にぴったりなコンテンツSEO制作会社の選び方一口にコンテンツSEO制作と言っても、個人が副業感覚で運用する小規模なものからグローバル企業向けの大規模なものまで多種多様なサービスがあります。種類が多すぎてどの会社を選べばいいのか分からないという方も多いのではないでしょうか?ここからは実際にコンテンツSEOに携わっている企業の視点から、自社に合った信頼できる外注企業の選び方を伝授します。自社に不足している施策を考える企業によってかかる課題は大きく異なります。例えば「ライティングができる社員でなんとなく記事だけ作って全く戦略立案ができていない」のが課題であれば、SEOコンサルティングに分析やキーワード選定から任せるのがよいでしょう。「SEOの優れた知見を持った担当者がいるのに記事を作る人員が足りない」という場合は、ライティング代行に記事の執筆だけ頼めば安価に済ませることができます。予算の兼ね合いが気になるのであれば、自社が持っているリソースはそのまま使って足りないところを外注に頼むなどの使い分けが大切です。実績を見る同じようなサービスを提供している企業を比較する際に重要なのがこれまでの実績です。実績を持たない企業ほど安請け合いしていることが多いため、コストカットのために実績の浅い企業に頼んだら思うように成果が出なかったというのはありがちなパターンです。最終的に必要なのはSEOを通じて新規顧客を増やすことなので、価格だけでなくその会社の実績をしっかり見ることをおすすめします。ある程度規模の大きな企業であれば実績・事例のページがあるはずですので、そこから具体的な施策を確認してみると信頼のおける企業か判別できます。対応の柔軟さをチェックするその時々によってコンテンツSEOに必要な施策は変わってきます。最初は競合分析やキーワード選定を念入りに行い、場合によっては内部対策も並行して行う必要があるでしょう。記事公開後しばらくしたら、順位が上がっていない記事のリライトや戦略の改善を行わなければならないかもしれません。状況に応じて費用や施策を柔軟に変え、必要とあらば相談に乗ったりアドバイスをくれたりする企業を選ぶと安心です。(手前味噌ですが、弊社のSEOコンサルティングではどんなことでも細かくご相談いただけます)4.まとめコンテンツSEOの外注は安くて数万円~高くて100万円以上かかるケースもあります。サイトの規模、求める戦略や施策によって異なるため、自社サイトの課題を解決するにはどんなサービスが必要か考えたうえで外注する企業を選ぶとよいでしょう。集客につながるコンテンツSEOをお求めでしたら、ぜひ弊社のサービスもご検討ください。
  • 2024.03.13 WEB制作

    ECサイトで効果を出すためのコンテンツマーケティングと成功事例
    ECサイト・通販事業を強化するための手段としてよく用いられるコンテンツマーケティング。しかし、なんとなくみんながやっているからと安易にオウンドメディアやSEOを取り入れた結果、十分な成果が出ず「コンテンツマーケティングは意味がない!」と思ってしまう方が多いのが実情です。コンテンツマーケティングは決して「楽に誰でも売上をアップさせられる魔法」ではありませんが、しっかりとした手順を踏めば効果を出すことは可能です。この記事では、ECサイトでコンテンツマーケティングを行うときのポイントを解説し、アプローチすればECサイトの売上を伸ばすことができるのか分かりやすくお伝えします。コンテンツマーケティングのコンサルを専門とする当社のオリジナル事例も解説しますので、よろしければ参考にしてください。1.ECサイトでコンテンツマーケティングを行うメリットECサイトを運営している企業がコンテンツマーケティングを行うメリットはいくつかあります。まずはコンテンツマーケティングそのものの特徴やメリットを確認しましょう。コンテンツマーケティングとは顧客に有益な情報を発信して集客するマーケティング手法のこと。コンテンツマーケティング自体の主なメリット商品・ブランドの認知度の向上コンテンツが長期間資産として残る比較的低予算で始められる以上のメリットはECサイトを運用していなくても得られるメリットです。ただし効果を出すにはある程度の時間と予算は必要な点には留意しておきましょう。コンテンツマーケティングに関する基礎知識は「コンテンツマーケティングとは?目的や効果、成功するためのコツを伝授!」で解説しています。興味のある方は参照してください。メリット①効率的に新規顧客を集められるEC特有のメリットとしてまず挙げられるのは集客のしやすさです。ECサイトは基本的にWeb以外の手段で集客することはできませんから、裏を返せばWebをメインに発信するコンテンツマーケティングに取り組むのはほぼ必須のタスクになってきます。ECサイトにおけるアクセス数は店舗の近くを通りかかるお客さんと同じ。つまり実店舗を持たないECサイトで売り上げを伸ばすには、サイトへのアクセス数が重要になってきます。新しい顧客にとって有益な情報を提供することで「商品を買う価値がある」と思ってもらえるようになり、最終的には収益の向上につながるのです。メリット②既存顧客にアプローチしやすいリピートを増やすには「商品/ブランドのファンになってもらう」のが一番です。例えば既存顧客に対してメルマガで購入後のアフターケアやカスタマーサポート、限定の特典や情報などを送り、満足度と関与度を高めるなどのアプローチができるようになります。また、記事を通じてユーザーにとって有益な情報や質の高いコンテンツを提供し続けることで、継続的にECサイトを訪れるきっかけになります。再購入や口コミの発信など、積極的な行動を促すことにもつながるのは大きなメリットだと言えるでしょう。2.ECサイトにおすすめのコンテンツマーケティングコンテンツマーケティングにはいくつか種類があります。(それぞれの詳しい解説はコンテンツマーケティングの手法10選!種類別に解説【選び方・成功するポイント】で行っています)ECサイトにおすすめなのは特に「コンテンツSEO」「メルマガ」。展開が進んだら「SNS運用」にもチャレンジしてみるとよいでしょう。コンテンツSEO自然流入から見込み顧客を呼び込むコンテンツSEOは新規顧客からリピートまで幅広く集客できる基本中の基本です。ECサイト内にSEOを意識したコラム記事のコーナーを設けることで、コンバージョンへの導線も作りやすくなります。検索を通じて悩みを解決したいユーザーに対して必要な情報を与え、同時に付随した商品のメリットやユニークな価値を伝えることができるのも大きなメリットです。<広告運用/コンテンツマーケティング担当・ニャーケッターより>[word_balloon id="unset" src="https://www.ecmarketing.co.jp/contents/wp-content/uploads/2024/02/icon_white-1-1.webp" size="M" position="L" radius="true" name="" balloon="talk" balloon_shadow="true"]ECサイトでSEO対策を行うと必ず躓くのが内部対策の実装(仕様上変更できない・改修が必要など)にゃ。コンテンツSEOは商品詳細やカテゴリページではなく静的ページとしてコラム領域を設けて行うため、カートASPやECシステムの仕様に依存せずに取り組める。そのため、ECサイト運用と並行しておすすめすることが多いにゃ。[/word_balloon]メルマガメルマガは特に既存顧客へのアプローチに有効です。ECサイトは会員登録時・購入時に収集したメールアドレスをメルマガに流用できるため、相性が良い媒体だと言えるでしょう。再購買を促したり、興味を持ってもらえそうなコンテンツを配信したりしてユーザーの満足度を高めるとリピーターを作りやすくなります。(上級者向け)SNS運用SNSを利用して発信すれば、検索流入ではリーチできない潜在層にアプローチすることができます。発信の内容によっては既存顧客のファン化も促進できるので、上手く利用すれば見込める価値は高いと言えるでしょう。しかし、SNSの利用が無料だからといって誰でも簡単に取り入れられる集客方法だと考えてはいけません。フォロワーがいないアカウントは広告を使わないとそもそも発信内容を誰にも見てみらえませんし、SNSを通じてファンを獲得するにはスキルとセンスを持った運用者が必要です。幅広い層へ訴求できる一方、コンバージョンにはつながりにくく見込める効果は限定的です。他のコンテンツマーケティングである程度効果を出したうえで、さらなる戦略として取り入れるべきでしょう。コンテンツマーケティングで効果を出すには、広告運用など他の集客方法と組み合わせた戦略的な展開が必要になります。社内のリソースが足りない場合、ECコンサルを利用するのもおすすめです。関連記事→WEBマーケティング歴20年の著者が選ぶ 本当に実力のあるECコンサルティング会社5選3.ECサイトがコンテンツマーケティングで効果を出すためのポイント自社のコンテンツマーケティングで効果が出ない…とお悩みの方は、まず以下のポイントを押さえているかチェックしてみましょう。質の高い情報を提供するECサイトとのつながり以前の前提として、ユーザーが求める情報を提供しなければコンテンツマーケティングとして成立しません。「お客さんになってくれそうな人が知りたい情報」を提供することが一番重要です。それに加え、ECサイトではコンテンツ→商品ページへの流入という明確なコンバージョンポイントがあることを考慮する必要があります。顧客を購入につなげるため、商品の価値を上手く伝えるよう意識する必要があります。「ユーザーの知りたい情報」と「こちら(売る側)が伝えたい情報」を同時に盛り込むのが難しければ目的ごとにコンテンツを分けるのもおすすめです。ユーザーが直帰せずサイト内で回遊することを前提として、検索流入を狙う広範な内容のSEO記事と商品への理解度を高めるための記事をつなぐ導線を作ります。さらにそこからECサイトへ誘導できれば理想的です。継続的に更新するECサイトに関わらず、分かりやすい効果を出すにはある程度の時間(半年~数年)が必要です。コンテンツマーケティングに即効性がないのは広告と比較したときのデメリットでもあります。最終的に効果を出すためには、ターゲット層を的確に捉えてユーザーを取り込むスキルのある人材が継続的にコンテンツを更新することが重要です。最適な導線を設計する導線とはユーザーを商品の購買まで誘導するルートのこと。情報の質にばかり目がいって盲点となりやすいのが導線の設計です。せっかく良いコンテンツを作っても、肝心の商品ページへの導線がなければコンバージョンにはつながりません。抜本的なユーザビリティの改善にはサイト設計の専門的なスキルが必要ですが、コンテンツからECサイトの流入につなげる導線を整備するのも大きな効果があります。何もできていないという場合はとりあえず記事内に購入率の高いページへのCTA導線を設置するだけでも一定の効果はあるでしょう。「最適な導線を敷く」という視点でお話しすると、本当のところはサイト制作時からの入念な戦略設計が一番重要です。質の悪い制作会社にサイト制作を依頼したり、言われるままテンプレートでサイトを構築したりすると、コンテンツを作っても流入数が増えない設計になってしまうことがあります。ECサイトの場合は特にサイト設計を組み直すのに莫大なコストがかかることが多いため、後から苦労することも珍しくありません。「これからECサイトを作る」という段階の方は十分に注意してください。4.【自社事例】SEOコンテンツでECサイトへのCV獲得当社が実際にコンテンツマーケティングで成果を出したA社のECサイト事例をご紹介します。ECサイト内に設置するSEOコンテンツを発信するオウンドメディアの立ち上げを依頼され、当社は設計と初期段階でのSEO記事作成を担当しました。設計時に骨格として内部SEO対策を組み込み、さらにターゲット層に届くSEO記事を制作する施策を実行。サイト内の商品に興味を持ってくれそうな顧客からの検索流入を獲得し、コンバージョン率の高いコンテンツになりました。5.まとめコンテンツマーケティングはECサイトの展開にぴったりのWeb戦略です。コンテンツを見て興味を持ってくれたユーザーに訴求できるような環境を整備することで、しっかりと効果が出やすくなります。もし成果が出ず悩んでいるようでしたら、ターゲットとなる層を捉えたコンテンツを制作できているかもう一度確かめてみるとよいでしょう。実際に当社が担当した案件でも、コンテンツマーケティングの施策実行・改善によってECサイトの売上が伸びたケースは多々あります。自社のコンテンツ制作にお困りのようでしたら、ぜひご相談ください。
  • 2024.03.13 WEB制作

    コンテンツマーケティングでCV数を増やすための導線設計【プロが解説】
    自社サイトやSNSから見込み顧客を集めるコンテンツマーケティングは一見万能な集客方法に思えるかもしれませんが、実際のところ売上につながるようなコンテンツを作るのは簡単ではありません。なかなかコンバージョン数が伸びず悩んでいるWeb担当の方も多いのではないでしょうか?思うようにコンバージョンしない場合、内容だけでなくユーザーを購入まで誘導するための道のり=導線をしっかり整備できているかチェックした方がいいかもしれません。今回は、主に自社サイトやオウンドメディアに掲載する記事コンテンツにおけるコンバージョン数の増やし方として導線の設計方法をお伝えします。1.コンテンツマーケティングにおける導線の種類コンテンツマーケティングの導線は「CTA導線」のことを指します。コンテンツマーケティング(主に記事コンテンツ)において用いられる主要な導線の種類は以下の通りです。会員登録お問い合わせ資料請求・ダウンロードSNSのフォローボタンCTA導線とはCTAとは「Call To Action(行動喚起)」の略。Webサイトの訪問者を具体的な行動(コンバージョン/CV)に誘導する導線のことを指します。記事を読んで自社製品に興味を持った人が購入に至るようアシストする役割を持っていると言えるでしょう。求めるコンバージョンによっていくつかの種類に分けることができ、サイトや商材によっていくつか使い分けるのが一般的です。導線の種類特徴顧客から見たハードル会員登録メルマガ、ECサイトなどユーザーとの接点を増やす低SNSフォローボタン幅広い層に認知を広げるエンゲージメントが重要低資料請求・ダウンロード主にBtoB向け詳細/専門的な内容に最適中お問い合わせコンバージョンにつながりやすいがハードル高め高顧客から見てハードルが高いCTA導線はクリックするのに抵抗を感じやすいものの、上手く誘導できればコンバージョンにつなげやすいとも言えます。反対にハードルが低い導線は手軽にクリックできる一方、その場では購入につなげにくいでしょう。詳しくは後述しますが、コンテンツを訪れるユーザーにマッチした導線を設置することが非常に大切です。まずはそれぞれの導線の特徴を弊社のコンテンツマーケティング担当・ニャーケッターからの本音コメントと共に細かく見ていきましょう。①会員登録メルマガやECサイトへの会員登録など。業態によってはLINE登録の導線を挿し込む場合もあります。直販のECサイトを運用している場合を除き、直接購買にはつながりにくいでしょう。その分登録のハードルは低めなので、ユーザーとの接点を増やすための中間コンバージョンとして用いられることも多いです。ウェビナー・セミナーの参加フォームへのリンクを設置するケースもあります。<監修者・ニャーケッターより>比較的高単価の商品を扱うECサイトはとくに初回訪問で購入するユーザーは非常に少ない。そのため購入よりハードルの低い会員登録をCVとすることも一つの手だ。会員登録においては登録メリットを提示し、同時にメルマガ受信してもらうことが重要にゃ。初回訪問で購入に至らなかったとしても、その後のメルマガ配信で商品の魅力や選び方、最新・期間限定のなどユーザーにメリットのある情報を届けることができれば、サイトの再来訪や先々の購入につながる可能性が期待できる。特に衝動買いできない商品や他社比較ありきの商品では、検討期間が発生しやすいことも考慮してコミュニケーションをとることが大切にゃ。②SNSへのフォローボタン幅広いユーザーの認知を獲得したいときに向いています。企業とユーザー間でコミュニケーションを取ることでて親しみを持ってもらえますが、その一方購買につなげにくい点には注意が必要です。他の導線と併用する形で使う長期的なアプローチ方法だと言えるでしょう。<監修者・ニャーケッターより>メルマガ(会員)登録よりさらにハードルを下げたユーザーとのタッチポイントだ。ワンタップでフォローできる反面、お別れもワンタップにゃ。そのためユーザーを飽きさせない内容と頻度を意識しつつ、エンゲージメント(ユーザーの反応)数を見ながら自社のベストを模索することが大切にゃ。キャンペーンなどで短期間に集めたフォロワーもコミュニケーションが伴わなければ数字だけのフォロワーになってしまう。フォロワーの数と反応の数が合っていない企業アカウントが多いのはまさにそういったケースだったりするにゃん。SNSで大事なのはエンゲージメント。フォロワー数だけで満足しないことにゃ。③資料請求・ダウンロード主にBtoB向けですが、BtoCでも教育系など一部の業界にも用いられる導線です。「商材について検討の為に詳しい情報を知りたい」「専門的な解説が欲しい」というニーズがある商材は特に資料請求を使うとよいでしょう。商材によってはよりハードルの下がる資料ダウンロード形式をとるケースもあります。コンバージョンにややつながりにくく、資料ダウンロードの場合は特に競合他社の分析資料となりうる点には注意が必要です。<監修者・ニャーケッターより>余談だが資料請求について最近のトレンドも触れさせてほしいにゃん。BtoCでは金融業界(証券会社・保険会社・クレジット会社など)でよく見られた資料請求が、最近はWebコンテンツにシフトしている傾向もある。NISAやiDeCo、証券会社、少額保険など従来は資料請求を設けていた業種も昨今はWebで完結できるものが増えているにゃん。検討に必要な情報をコンテンツで表現できれば、資料請求というステップを踏まずダイレクトに成約につなげることができる。そう考えるとサイトのUI・UX・リッチコンテンツ作成は今後より一層重要になるという捉え方もできるのにゃ。お問い合わせコンテンツを見て問い合わせをしてくれるユーザーは商材への関心も高く、コンバージョンに近い傾向にあります。優良な見込み顧客を集められるCTA導線だと言えるでしょう。ただしその分導線を踏むハードルは高くなることには注意すべきです。問い合わせ経由をメインに受注しているBtoB企業は特にどのような経路でフォームへつなげるかが重要になってきます。2.コンテンツマーケティングにおいてCTA導線の設計は重要か結論から申し上げると、コンテンツマーケティングにおいてCV(コンバージョン)に直接結び付くかどうかは必ずしも大事ではありません。そもそも、コンテンツマーケティングの目的は「見込み顧客の獲得と関係性の構築」です。サイトを訪れたユーザーがその場で購入を決断せずとも、あとから何かしらの形でコンバージョンするケースも多々あります。購入ボタンを押すよう直接誘導することに特化している(=直接CVに結び付くことが分かりやすい指標となる)メディアは広告なので、その点には留意しておきましょう。とはいえ何の導線もない/不適切な誘導では機会損失に繋がりうるため、適切な導線設計はユーザーのためにも重要です。不適切な誘導の一例お問い合わせへの導線は直接CVにつなげやすいのが特徴ですが、そもそも「問い合わせてみよう」と思うユーザーがいない状態では上手く機能しません。そのため、例えば初心者向けの簡単な解説コンテンツの後ろに問い合わせ導線を設置するのは多くの場合不適切です。他の記事への回遊導線サービス内容を説明するページホワイトペーパー、資料ダウンロードなどへのCTA導線をつけるとよいでしょう。3.CTA導線の形式記事内に挿入するCTA導線にはいくつかデザイン上の形式があります。どの形式を使うのが正解ということはありませんが、ユーザーに応じて使い分けるとよいでしょう。強く訴求したい場合は複数の形式を併用することもあります。(各項目の下にCTA導線の見本を挿入していますが、リンク先は弊社のコンテンツマーケティングサービスのページです。興味がある方はクリックしてみてください。)テキスト文章の中にテキストリンクを入れる形。目立ち過ぎず記事の中になじみやすいのが特徴です。コンテンツを主役にしてさりげなく導線を設置したいときにおすすめ。→テキストリンクの見本バナー画像を入れて誘導する形式です。視覚的に分かりやすく伝えられます。記事の途中に挿し込むほか、目立つので横カラムやトップページにテンプレートとして入れることが多いです。ボタン枠の中にテキストを入れる形の導線。記事内によく用いられます。WordPressであればテーマにボタンのテンプレートが入っているので取り入れやすく、かつ視認性の高い導線です。ボタンの見本4.CTA導線を入れる場所おすすめ3選導線の内容やデザインも大切ですが、コンテンツ内のどこに設置するかもCVに深く関わってきます。ここからは記事コンテンツ内に入れることを想定してCTA導線を入れる場所としておすすめの場所を3つ紹介します。記事の文末文章を最後まで読んでいる状態であれば商品やサービスに強い関心を持っている可能性が高いので、興味を持ってくれたユーザーを効率的に誘導することができます。うるさすぎないのでコンテンツ内に配置する導線として一番おすすめです。ファーストビュー内ファーストビューとはページを開いて最初に表示される画面のこと。一番見ているユーザーが多い画面なので、タイトルを見た段階ですぐに誘導したい場合はファーストビュー内に大きく入れると見やすいです。ただし、PR感が増し敬遠されるリスクがある点には注意してください。当サイトではファーストビューに表示される導線はPCのみ右カラムに設置していますが、コンテンツによっては記事内中央に配置する場合もあります。横カラム(PC向け)記事横のカラムに固定で設置することで、興味を持った時にいつでも遷移できるようになります。一画面に幅を持たせられるPC向けのレイアウトではよく採用されます。テキストだと存在感がなく見づらいので、バナー・ボタン形式で載せるのがよいでしょう。スマホ向けの導線としては固定のヘッダーをつけるのがおすすめです。5.効果的にコンバージョン数を増やすための導線設計のコツCV数を増やすには、ユーザーに合わせた導線設計が必要です。売上アップを目的にしてコンテンツを制作しているとどうしても購入に近い目立つ導線を設置したくなるかもしれませんが、実際に効果を上げるには別の手段が必要になってくることもあります。ターゲット層に合わせた種類・形式を選ぶ記事の内容に合わないCTA導線を敷いても意味がないのはもちろん、「目立つボタンや画像にするとCVしやすい」「問い合わせへのリンクを貼れば売り上げが増える」わけではありません。消費者側になって考えてみると想像しやすいと思いますが、分かりやすく購入へ誘導するボタンが便利に思うときもあれば鬱陶しく感じることもあるでしょう。CVさせたい一心で押しつけ・押し売りにならないよう注意してください。ユーザーの意欲・状態に合わせた導線を選ぶことが重要です。なるべくシンプルに商品を売る側としてはユーザーが何を選んでもいいように「会員登録」「問い合わせ」「SNSボタン」などたくさん導線を設置したくなるかもしれません。会員登録お問い合わせお電話はこちらしかし、上記のようにひたすらボタンが並んでいるとどれを押していいか分からなくなってしまいますよね。ユーザー目線で考えると選択肢が多すぎるのはかえって負荷になってしまいます。一番優先したいものをなるべくシンプルに配置することが重要です。同じ画面に複数導線を設置したい場合は、デザインにメリハリをつけるよう心がけましょう。テンプレートにしすぎないカラム内のバナー画像くらいは固定でも構いませんが、記事のカテゴリや種類ごとに導線を固定するのはあまり推奨されません。特にありがちなのはカテゴリごとに導線を設置してしまい、文脈に合わないテンプレートが挿入されてしまうケース。CVにつながらない導線はユーザーを邪魔してしまうだけなので、なるべく避けたいところです。少し手間がかかりますが、いくつかのテンプレを作成して記事ごとに導線を決めるようにしましょう。内容の濃いコンテンツであればオリジナルのCTA導線を都度作成するのもおすすめです。6.まとめコンテンツマーケティングでCV数を上げたい場合は、内容だけではなく記事内の導線にも注意を払ってみましょう。記事に合っていない導線が配置されていたリ、デザインによってユーザーが抵抗感を抱きやすかったりすると、良い内容のコンテンツでもCVにつなげることができなくなってしまいます。自社が売りたい商品はなんなのか、商品を買ってくれそうなユーザーは何を好むのか、しっかり分析することが重要です。
  • 2024.03.06 WEB制作

    コンテンツマーケティングの費用は内容次第!具体例や選び方までくわしく解説
    Webコンテンツの伸び悩み解消はマーケティング会社への依頼が確実です。しかし、費用感や選び方のポイントが分からないと進めるのは難しいですよね。実際のところ、コンテンツマーケティングの費用は依頼内容によって大きく変わるため、具体的な話をしてみないと分からない場合が多いでしょう。また、依頼先は費用よりも実績と質で選ぶことが大切です。今回はコンテンツマーケティングの費用相場と対策内容、依頼先の選び方について解説します。悩みに対する費用の具体例もご紹介するので依頼時の参考にしてください。1.コンテンツマーケティングの費用相場は「月額+初期費用」コンテンツマーケティングの依頼費用は「月額10~60万円程度+初期費用10~30万円前後」を目安にしましょう。コンテンツマーケティングの費用に大きな幅があるのは、課題の改善に対する施策内容が多岐にわたるためです。例えば、記事制作のみなら月額10万円程度から可能ですが、CMS設置やアクセス解析も加えると月額40万円~、さらに本格的な戦略設計や改善支援まで含めるとなると月額50万円以上になることも珍しくありません。そのためコンテンツマーケティングを依頼する際は、具体的な目的と依頼したい内容を絞検討から連絡するのがいいでしょう。また、各社でコンテンツマーケティングの考え方や得意とする施策内容が異なるため、複数の会社を比較することも大切です。2.コンテンツマーケティングの費用と対策内容一覧コンテンツマーケティングの主な施策内容と費用は以下の通りです。施策内容によって依頼先の会社が変わる点にも注目しましょう。費用の目安(月額)施策内容依頼先10万円~・記事制作のみ記事制作会社40万円~50万円・CMS設置・記事制作・アクセス解析CMSベンダーWebマーケティング会社50万円~60万円・戦略設計・CMS設置・記事制作・アクセス解析Webマーケティング会社60万円~・戦略設計・CMS設置・記事制作・アクセス解析・コンサルティング・改善支援上記の一覧はあくまで目安です。記事の納品本数や品質、SEO効果など同じ項目でも求める要素によって費用は変わります。コンテンツマーケティングでは費用と効果が比例する場合が多いので、コストばかりにとらわれずパフォーマンスも意識しましょう。3.コンテンツマーケティングの費用の具体例よくあるWebコンテンツの悩み別にコンテンツマーケティングの費用を具体的に見ていきましょう。とにかく記事作成を助けてほしい費用の目安:月額10万円程度~依頼先:記事制作会社すでに構築済みのWebメディアがあり、運用方針も決まっている場合は「記事作成のサポート」だけでいいケースもあるでしょう。記事作成は予算に応じた本数の作成で、テーマ出しや編集は自社対応となるのが一般的です。CMSを導入してほしい費用の目安:月額50万円程度~依頼先:CMSベンダー、Webマーケティング会社これからWebコンテンツを立ち上げる場合はCMSの導入からプロに依頼するのがおすすめです。事業規模に合ったCMS製品選びや万全のセキュリティ対策には専門知識が欠かせません。アクセス解析でCV課題を見つけたい費用の目安:月額30万円程度~依頼先: Webマーケティング会社運用中のWebサイトで「離脱が多い」「売り上げにつながらない」などの悩みがある場合は、Webマーケティング会社にアクセス解析を依頼してCV課題を見つけるのが効果的です。結果がでない原因の解明や改善提案も受けられます。SEO対策で確実な集客UPを目指したい費用の目安:月額30~50万円程度依頼先:Webマーケティング会社Webサイトの集客には検索で上位にあがるコンテンツ作成が有効ですが、それには最新のSEO対策を盛り込んだ記事作成が必要です。市場動向、ターゲット、KW、文章構成まで考慮できるWebマーケティング会社への依頼がおすすめです。立ち上げから運営方針の提案まですべてサポートしてほしい費用の目安:月額20~60万円以上依頼先:Webマーケティング会社初心者だがWebメディアを一から立ち上げたい、自社で運用できるようにアドバイスが欲しいなど、Webコンテンツをプロと一緒に作り上げたい場合は伴走型DX(デジタルトランスフォーメーション)サービスがあるマーケティング会社に依頼しましょう。事業の成長段階に応じた中長期的なサポートが受けられます。4.コンテンツマーケティング会社を選ぶときのポイントコンテンツマーケティング会社は「費用だけで選ばない」ことが重要です。同じ業界での実績数や納品物の質などポイントを押さえて複数の会社を比較して選びましょう。上位獲得の目的を定めてから依頼するはじめに、検索上位を目指す目的(認知拡大や売上げUPなど)を整理してから依頼しましょう。コンテンツマーケティング会社にはさまざまな戦略があり目的や状況によって最善策は変わります。「何がしたい」が明確なほど結果につながるはずです。自社の業界で実績がある会社を選ぶ費用とのマッチはもちろんですが、「同じ業界で実績がある」というのは需要なポイントです。業界によってターゲットや傾向、競合が大きく変わるため、ケーススタディをより多く持っているマーケティング会社ほど成功確率が高くなります。記事制作は本数よりも質を重視する検索エンジンの選定基準において、以前はコンテンツ記事を量産するほど有利とされていましたが、今は情報の信頼性や記事の有用性で判断されるようになりました。実際、1万字びっしりと書いてある記事より3,000字で簡潔かつ有用な記事が評価されるケースは往々にして存在します。「安くてたくさん」書ける会社よりも、「信頼できる・情報が充実している・分かりやすい」記事を納品する会社を選びましょう。[word_balloon id="unset" src="https://www.ecmarketing.co.jp/contents/wp-content/uploads/2024/02/icon_white-1-1.webp" size="M" position="L" radius="true" name="" balloon="talk" balloon_shadow="true"]〈WEB広告/コンテンツマーケティング担当・ニャーケッターより〉1文字◯円のような業者は実績がないゆえに安さを売りにしているケースが多いので実績、質をよく確認する。文字数が多ければ良いというものではないにゃ。[/word_balloon]SNSや動画など様々なアプローチ方法を検討するWebコンテンツのニーズは日々変化しています。テキスト記事だけでなくSNSや動画、アニメーションなど時代に合った切り口を出せる提案力もコンテンツマーケティング会社には必要です。成果確認は3か月以上の長期を見込むどの会社に依頼しても、コンテンツマーケティングの成果が出るには半年~数年を見込むのが一般的です。検索エンジンが情報を精査するのに時間がかかるため、検索順位が出るのに3ヵ月以上かかることも珍しくありません。すぐに結果がでないから違う会社に乗り換えるのではなく、中長期的なパートナーとして数年単位で付き合えるマーケティング会社を選びましょう。5.まとめコンテンツマーケティングの費用相場は月額10~60万円、それに初期費用10~30万円程度と考えましょう。コンテンツマーケティングには様々な施策内容があり、目的や課題によって施策が変わるため費用には大きな幅があります。記事制作のみなら10万円程度から、CMS導入から戦略提案などすべてを任せるなら60万円からという形です。ただし、コンテンツマーケティング会社は費用よりも実績で選ぶことが重要です。業界の特性を熟知し、ケーススタディをより多くもっている会社ほど成功確率は高くなります。さらに制作物の質、柔軟な提案力などにも注目するといいでしょう。コンテンツマーケティングは結果が出るのに半年~数年かかる業務です。大切なWebメディアを長く一緒に作り上げていくパートナーとして、よりよい会社を選びましょう。
  • コンテンツマーケティング 手法 10種類をわかりやすく

    2024.02.29 WEB制作

    コンテンツマーケティングの手法10選!種類別に解説【選び方・成功するポイント】
    コンテンツマーケティングとは、見込み客にとって有用な情報を提供し、問い合わせや商品の購入などのコンバージョンにつなげるマーケティング手法のことです。スマホの普及など生活様式の変化により、近年より重要性が増してきています。しかし「コンテンツマーケティング」という名前を知っただけで、具体的にどんな内容・効果があるのか把握せずに取り入れようとしていないでしょうか?コンテンツマーケティングではさまざまな媒体(メディア)を用いて発信を行います。自社サイトはもちろん、場合によっては動画サイトやメールなども利用してマーケティングを行うべきです。 この記事では、コンテンツマーケティングの手法を10種類に分けて詳細に解説し、どの種類を選ぶべきかプロの視点から詳細に解説します。【詳説】コンテンツマーケティングの種類10選コンテンツの種類特徴・メリット向いている企業/サイト形式記事コンテンツ文章メインのコンテンツ幅広い企業/サイトに対応SEOコンテンツ検索流入を目的とする事例コンテンツ利用イメージを具体的にする比較・検討に時間がかかる商材を扱う企業プレスリリース他社メディア経由で広報潜在層からのリードを増やしたい企業LP1枚のページで訴求EC(通販)サイトメルマガユーザーを分類してメール配信既存顧客にアプローチしたい企業ホワイトペーパー課題解決のための資料BtoB、専門性の高い商材を扱う企業動画文字とは違う角度で情報を届けられる記事とは異なる方法でリードを獲得したい企業ウェビナー双方向かつ大規模にセミナー発信見込み顧客とコミュニケーションを取りたい企業SNS特定のターゲット層に訴求記事とは異なる方法でリードを獲得したい企業①記事コンテンツWebサイト上にコラムなどの形で掲載された文章のこと。多くの場合は写真やイラストも入っていますが、大部分を文字が占めるコンテンツは「記事コンテンツ」とみなされます。自社メディア(オウンドメディア)で発信する方法と他社の媒体(アーンドメディア)に載せてもらう方法があります。[word_balloon id="2" size="M" position="L" radius="true" name="" balloon="talk" balloon_shadow="true"]当サイト「Webly」も記事コンテンツを発信するオウンドメディアです。[/word_balloon]②コンテンツSEOコンテンツSEOとは、検索流入を目的として行うコンテンツマーケティングのこと。基本的には記事の体裁をとることが多いので、記事コンテンツの一種とみなすこともできます。コンテンツSEOにおいて重要なのは検索ニーズと企業の意図を結び付ける記事を制作できるかどうかです。検索で入ってくるユーザーは何かしらの目的を持ってサイトを訪れているので、その目的(ニーズ)と自社商品を上手く結びつけることができれば、新規流入を効果的に増やすことができます。安価かつ取り組みやすいためコンテンツSEOを導入する企業は年々増加していますが、流入に結び付かない・流入がコンバージョン(売上)につながらない事例も散見されます。>>>コンテンツSEO運用についてはこちら<<<③事例コンテンツ商材を導入した顧客や企業にインタビューし、ユーザーに利用イメージを具体的に示すのが事例コンテンツです。サイト上にインタビュー記事として掲載することが多いため基本的には記事コンテンツの一種と捉えても問題ありませんが、中には動画サイトやSNSなどを用いて事例を発信するケースもあります。実際に商品を取り入れたお客様の声や実績を掲載することで、よりサービスの信頼性を上げることができます。④プレスリリース新商品発売のお知らせやイベント・アンケートの広報などを他社メディア経由で拡散するのがプレスリリースです。代表的なプレスリリースのサイトとしては「PR Times」が挙げられます。記事コンテンツの形式をとるのが一般的で、アーンドメディアによる発信方法の一つと考えてよいでしょう。プレスリリースに掲載してもらうことで別媒体のメディアに引用される、SNSで拡散されるなど、自社メディアでは得られない宣伝効果を得られます。[word_balloon id="2" size="M" position="L" radius="true" name="" balloon="talk" balloon_shadow="true"]検索では出会えない潜在層に広くリーチできるのが大きなメリットです。[/word_balloon]⑤ランディングページ(LP)主に広告経由でアクセスしてきた顧客に対して1枚のページでサービス内容を伝えるページのこと。記事コンテンツと類似していますが、画像や図を多用するため直感的にユーザーに情報を伝えられるのが特徴です。また、他のページへのリンクが少なく、直接問い合わせや購入につなげる導線が多く、1枚でコンバージョンに誘導できるデザインが求められます。WEB広告と併用し、広告流入とコンバージョンをつなぐクッション的な役割でLPを制作するケースも多いです。>>>LP/サイト制作の制作実績<<<⑥メルマガ記事コンテンツなどを通じて登録した顧客に商品やキャンペーンについてなどの情報をメールで配信するのがメルマガです。Web黎明期から使われている古典的手法ですが、現在でも一定の人気があります。基本的にはあらかじめ何らかの方法でリードを獲得する必要はありますが、登録者の情報(年齢・性別・役職など)が分かった状態で発信するため、特定のユーザーに配信するなどのコントロールができるのがメリットです。メルマガの種類セグメントメール:特定の条件で抽出したユーザーを対象に配信するステップメール:購買までの段階に応じて複数のステップに分け配信する休眠発掘メール:休眠顧客(一定期間購入がない既存顧客)に再度アプローチする⑦ホワイトペーパー顧客が抱える課題を解決することができるサービス、ソリューションを紹介する資料のこと。現在では専門性の高いBtoB向け情報資料を指すのが一般的です。オウンドメディアやメルマガから資料をダウンロードできる導線を作り、主に自社サービスについて紹介します。記事コンテンツよりもユーザーが絞られるため、より詳しく専門的な内容にして顧客からの信頼度を高められます。見込み顧客の情報を効率的に収集できるのが企業側のメリットで、顧客側も問合せよりハードルが下がって検討材料を集めやすいというメリットがあります。[word_balloon id="2" size="M" position="L" radius="true" name="" balloon="talk" balloon_shadow="true"]資料はPDFやスライド形式になっていることが多いので、営業の説明資料や新入社員の研修資料に流用しやすいです。[/word_balloon]⑧動画YouTubeなどのメディアに公開する自社のコーポレートサイト・オウンドメディアに掲載する など媒体がテキストか動画かという違いだけで、与える情報は記事コンテンツとそこまで差異はないでしょう。より時間当たりの情報量が多く、テキストや画像で説明しきれない情報を届けることができる場合もあります。⑨ウェビナーオンライン上で開催するセミナーのことをウェビナーと呼びます。通常のセミナーを開けなかったコロナ禍で急速に普及した主にBtoB向けの手法です。ユーザーと双方向でコミュニケーションを取ることができるのが特徴で、オフラインでのセミナーと比較するとより大人数に向けて発信できます。また、録画したウェビナーの映像を動画コンテンツとして公開することも可能です。⑩SNSX(Twitter)やInstagramなどのSNSでは話題性・拡散力のあるコンテンツを発信できるのが特徴です。アカウントの運用は基本無料なので、安価で手軽に始められるのがメリットです。ただし、効果的な運用には他のコンテンツ同様一定のスキルが必要になります。SNSによって特性が違うため、ターゲットによって使い分けるのも大切です。Instagram:10代~40代くらいまでの幅広い層に訴求できるSNSに。インスタ経由で売上を出すには商品または企業のブランド力が影響しやすい。知名度の低い商品であればオファー(割引率など)の強さが必須ため、見誤らないように身の丈に合った活用方法を検討することが重要。Facebook:ビジネスパーソン、BtoB向け。X(Twitter):短期間での情報拡散に最適。ニッチで専門的な内容が反響を呼ぶことも。[word_balloon id="2" size="M" position="L" radius="true" name="" balloon="talk" balloon_shadow="true"]単に企業アカウントを作って発信するだけでなく、SNSを通じて記事コンテンツに誘導するという手法もあります。[/word_balloon]BtoB/BtoCはそれぞれ特徴が異なる個人をターゲットにするBtoCと法人(企業)をターゲットとするBtoBではコンテンツマーケティングの戦略も若干異なってきます。「顧客にとって価値ある情報を提供する」という基本的な考えは同じですが、購買までの検討期間や予算、メインとなる端末などの面で違いが生じることを覚えておきましょう。選ぶべきコンテンツの種類もBtoBかBtoCかによってある程度傾向が分かれます。上記のイメージはあくまで傾向なのでもちろん例外もありますが、相手が個人なのか法人なのか意識したうえでコンテンツを選ぶのも大切です。BtoB向けのコンテンツマーケティング戦略については「【BtoB企業特化・事例あり】コンテンツマーケティングの特徴・成功のコツを解説」でも詳しく説明しています。興味のある方はぜひ参考にしてください。コンテンツマーケティングにおいて種類選びは重要思い付きでコンテンツを作ってみても発信する内容が伴っていなければ効果は出ません。見込み顧客に有益な情報を分かりやすく届けるには適切な種類のコンテンツを選ぶ必要があります。種類の選び方について詳しくは後述しますが、まずはユーザーが商品を知ってから購入するまでの態度変容を4つのプロセスに分けて考えてみましょう。それぞれのコンテンツがどの段階に向いているのか理解しやすくなると思います。認知:企業・サービス・商品について知る興味・関心:商品・サービスについて興味を持つ比較・検討:購入後のイメージを持ち、他社サービスと比較する購入:購入を後押しするそれぞれのコンテンツごとに届きやすいプロセスを分類・図示すると、以下のようになります。上の図で示しているコンテンツごとのカバー範囲はあくまで一例ですので、発信方法や内容によってはもっと幅広い層にリーチできる場合もあります。一般的に手広く訴求しやすいのは記事コンテンツですが、当然どんなターゲットに届けたいかによって内容が変わってくる点には注意が必要です。【4ステップ】コンテンツマーケティングの種類を選ぶ方法どのようなコンテンツを制作するべきか分からない場合はまずマーケティングとしての戦略を練るところから始めてみましょう。その過程でおのずと利用するコンテンツが決まっていきます。①コンテンツマーケティング全体の目標を設定するコンテンツマーケティングの最終的な目的は「自社の課題解決」です。現状のサービスが抱える問題点・改善できるポイントを洗い出し、その課題を解決することを全体の目標とします。コンテンツマーケティングによってどんな課題を解決したいのか明確にすることが重要。コンテンツ制作に関わる全員が同じ目標を持てるよう、具体的な目的と目標をドキュメント化して共有するのもおすすめです。例課題:ECサイトへの流入が少なく新規顧客・売上が増えない(食品業界)具体的な目標:ECサイトの売上20%アップ②顧客のイメージを明確にする的確な情報を発信するために、まずはターゲットとなる層を明確にしましょう。顧客像としてペルソナを設定し、「顧客が何を知りたいか」を分析するのがおすすめです。>>>ペルソナの設定方法について詳しくはこちら<<<コンテンツマーケティングで重要なのは顧客の情報ニーズです。何を知りたいのか、商品についてどの程度認知しているのか理解するためのプロセスなので、作りこみ過ぎないよう注意しましょう。ペルソナを設定するときは、状況や周囲の環境も一緒に考えてみてください。リーチしやすい媒体・方法は人によって異なるので、細かい生活の文脈を分析することで選ぶべき種類が見えてくる場合もあります。例50代女性高血圧が心配、対策方法を知りたい分からないことはスマホで検索している③顧客の行動を分析する設定したペルソナの人物が購入までに取る行動(態度変容)を「認知」「興味・関心」「比較・検討」「購入」で分けて考えます。態度変容のフェーズごとに情報を整理するカスタマージャーニーマップを作ってみるとよいでしょう。例1. 認知:高血圧が心配。SNSで高血圧対策のドリンクがあることを知る。2. 興味・関心:検索経由でコラムや商品サイトへアクセス。製品の効果などを知る。3. 比較・検討:外部サイトの口コミを見て類似製品と費用・効果を比較。4. 購入:ECサイトに会員登録、購入。各プロセスでどのようなコンテンツと接点があるのかも書き出してみます。カスタマージャーニーマップ内にアクション(施策)を落とし込んで整理するのも有効です。①で設定した課題と照らし合わせ、どのプロセスを強化するコンテンツを制作していくべきか検討しましょう。Q.どの種類から始めるべきかコンテンツマーケティングを始めるなら、小さく/部分的に始めて徐々に拡大させることをおすすめします。最初は購買プロセスの中で強化したい段階に焦点を当てて考えていくのがよいでしょう。例当初の課題は「ECサイトへの流入が少なく新規顧客・売上が増えない」なので、「認知」「興味・関心」のプロセスを強化するとよいでしょう。検索流入から自社製品に合ったユーザーを増やすSEOコンテンツを取り入れるのがコスト・取り組みやすさから考えてもおすすめです。④KPI(数値目標)を設定するKPIは「Key Performance Indicator」の略。最終的な目標を達成するのに必要な具体的数値目標を指します。コンテンツの方向性が決まったらKPIを設定するのも大切です。エンゲージメント(顧客と企業の信頼関係)の向上を意識した数値を設定できるとよいでしょう。例ページビュー(PV)数を3ヶ月で1.5倍にユニークユーザー(UU)数を1年で160%アップ など設定するKPIはプロセスごとに異なるため、複数の評価基準を測定する必要があります。具体的な例は以下の通りです。【事例】オウンドメディアの立ち上げ成功により良質なEC送客とコンバージョン率アップ※施策実行当時のデータを使用していますきちんと戦略を立ててコンテンツを選ぶことは前提として、どのフェーズにも対応しやすく比較的ローコストで取り入れられるのは記事コンテンツです。その中でもコンテンツSEOはきちんと対策ができていれば効果が出る見込みも高いため、当社のWeb戦略でも積極的に採用しています。実際にSEOコンテンツを導入して成功したA社の事例を紹介しましょう。大手通販サイトを運営するA社ECサイトに紐づいた商品紹介サイトを所有新しいオウンドメディアの立ち上げ依頼コンテンツSEOの記事で検索流入を獲得したいA社の課題A社はECサイトに紐づいた商品紹介サイトを有しており、依頼時点で既に内製でコラムページを制作していました。しかしコラムページからの流入がほとんどなく、コンバージョンに結び付かないことが課題になっていました。検索からの流入を狙うコンテンツSEOは一見誰にでも取り組めそうな施策に見えますが、キーワードの選び方やサイトの内部構築がしっかりしていなければ結果は出ません。A社のように社内のリソース・スキル不足が原因で効果を出せないケースはよく見られます。具体的な施策A社は検索流入増加を目指して新規でオウンドメディアを立ち上げることになり、当社がお声がけをいただきました。オウンドメディアの立ち上げにあたって行った主な施策は以下の二つ。内部SEO対策を踏襲したサイト制作アクセス数のスタートダッシュを叶えるSEO記事コンテンツ作成サイト(WordPress)の構造にSEO対策を踏襲した設計を施し、ターゲット層の検索ニーズを汲んだSEOコンテンツを作成しました。成功ポイントA社からご依頼いただいた新規オウンドメディアの立ち上げは成功し、コンテンツマーケティングによる集客効果がさまざまな指標に表れました。①検索順位上昇SEO施策の中間指標はGoogleでの検索で上位に表示できるかどうか。もちろん最終的に売り上げが向上しなければ意味はありませんが、まず意図したキーワードでユーザーに記事を届けることも重要です。A社の案件ではオウンドメディアの立ち上げからわずか2ヶ月で複数の検索ワードにおける順位上昇が認められました。新規ドメインで効果を出すには半年~1年程度かかる場合もありますが、A社のサイトは商品力が高かったため、短時間で分かりやすい結果が出せたと考えます。②検索流入数の増加検索順位の上昇に伴い、検索からの流入数も順調に増加。立ち上げ直後すぐにアクセス数が増えはじめ、1年で10倍以上になりました。③コンバージョン率(CVR)、直帰率の改善A社の商品に興味・関心を持つユーザーから流入を集めることで、コンバージョン率や直帰率、ユーザーの滞在時間も改善しました。特にコンバージョン率は内製コラムサイトの100倍以上。適切なターゲティングと検索ニーズの分析、戦略的な流入誘導が功を奏した結果となりました。ユーザーにとって興味のあるコンテンツを提供することで、直帰率も3分の1程度に改善。平均滞在時間も長くなるなど、さまざまな面で効果を実感していただけました。5.まとめコンテンツマーケティングは顧客のニーズや状況に合わせて適切な種類を選ぶことが重要です。商材の知名度や特徴、社内のリソースや予算から展開すべき規模を割り出すのもよいでしょう。さまざまな要素を総合的に考えて選択する必要があります。初めてコンテンツマーケティングを始める場合は購買プロセスに沿った戦略を立てるのがおすすめです。バランスの取れた戦略立案を誰かに相談したいというWEB担当者はコンサルに依頼してみるのも一つの手です。
  • BtoB向け コンテンツマーケティング 特徴

    2024.02.29 WEB制作

    【BtoB企業特化・事例あり】コンテンツマーケティングの特徴・成功のコツを解説
    コンテンツマーケティングとは、ユーザーにとって価値あるコンテンツを発信することで集客するマーケティング手法のこと。現在ではWEB戦略の一つとして大きな注目を集めています。個人向けに集客するBtoC事業ではもちろん、BtoBビジネスでも集客効果を表します。BtoB/BtoCに共通する特徴もありますが、BtoB特有のポイントもあるため、違いを押さえたうえでコンテンツ制作に取り組むとよいでしょう。この記事では、BtoB企業におけるコンテンツマーケティングの特徴や成功するためのポイントを詳しく、分かりやすく解説します。コンテンツマーケティングを専門に扱う当社での実際の事例もご紹介しますので、ぜひ参考にしてください。BtoB企業におけるコンテンツマーケティングの特徴・BtoCとの違いBtoBのコンテンツマーケティングは企業を相手にしたアプローチをしなければならないため、BtoC企業とは若干戦略が異なる場合があります。違いを把握し、適切な方法でアプローチできるようにしましょう。BtoBBtoC(一般的な例)マーケティング対象企業・組織個人顧客の主な目的企業のビジネス目標達成人によって異なる購買の意思決定に必要な人数多い(複数人)基本的に1人成約までの検討期間長い短い顧客が求めるコンテンツ専門的な知識・ノウハウ簡単で分かりやすい解説アクセスが多い時間平日の昼間朝と夜、休日アクセスが多いデバイスPCスマホBtoB/BtoC共通の特徴コンテンツマーケティングには大まかに以下のような特徴があります。見込み顧客を効果的に増やせるコンテンツが資産になる(広告と比べると)取り組みやすい顧客のデータを収集できる効果が出るまでに比較的時間がかかるこれらのポイントはBtoB/BtoC問わず共通しています。コンテンツマーケティングの基本的な目的、メリット・デメリットについては「コンテンツマーケティングとは?目的や効果、成功するためのコツを伝授!」で詳しく解説しています。興味がある方はこちらもご覧ください。BtoB特有のポイント①成約までの検討期間が長いマーケティングの対象は企業なので、購買に至るまでには複数人の判断が必要です。最初に社内に提案する担当者やその上長、ケースによっては他の部署・責任者の許可が必要になってきます。また多くの場合商品単価も高くなるため、コンテンツの質に関わらず成約・購買までには時間がかかるのがBtoBの特徴です。BtoB特有のポイント②平日・PCからのユーザー数が多いBtoBの顧客は勤務中に情報を確認することが多いため、平日かつPCからのアクセスが多いのも大きな特徴の一つです。実際、BtoB向けに発信している当サイトのユーザーも平日・スマホよりもPCからのアクセスが多い傾向にあります。更新時間によって大きくアクセス数が変わるケースはそこまでありませんが、ユーザー数が多い時間を狙ってコンテンツを発信してみるのも戦略になるでしょう。そして、もっと大切なのはコンテンツのUI・デザインです。スマホ/PCどちらでも見やすいデザインにすべきというのは前提ですが、レイアウトは基本PC寄りにするのがおすすめです。BtoB特有のポイント③専門知識が必要顧客は業務に必要となる専門的な知識やノウハウ、価値ある情報を求めています。そのため、発信するコンテンツも「顧客の業務上役に立つかどうか」を基準にして制作しましょう。内製ではなく外注でBtoBのコンテンツを制作する場合は、あらかじめ制作側が業界の専門知識やニーズを把握してから発信する内容を考えることが重要です。特に専門性の高い業界だと、外注の制作サイドが業界知識をよく調べないままコンテンツを制作して全く効果を上げられないケースも少なくありません。BtoB特有のポイント④ビジネス上の成果が顧客の目的BtoBのコンテンツマーケティングにおける顧客の目的は企業のビジネス目標を達成すること。BtoCなら趣味に近いコンテンツや娯楽を目的としたコンテンツも好まれる場合がありますが、BtoBに限っては顧客の目的はあくまでビジネスです。基本的に「サイトを訪問するお客様が楽しめるかどうか」ではなく、「最終的に事業課題を解決できるかどうかを」をコンテンツの価値基準に置くことが重要です。BtoBコンテンツマーケティングで成果を上げるためのポイントBtoBのコンテンツマーケティングで成果を上げるには、BtoCとは異なる戦略が必要になってくる場合があります。ポイントを押さえて適切な戦略を策定しましょう。>>>コンテンツマーケティング共通のポイントについてはこちらから<<<①企業ペルソナを設定するペルソナというと一個人の仮想顧客像を作ってそこからニーズを分析する手法が思い浮かぶかもしれませんが、企業の場合は意思決定までのプロセスが長いため分析すべきポイントがいくつか増えてきます。そのため、企業のペルソナを設定した上で担当者が抱えている課題が推測できるようになれば、どのようなコンテンツに価値を感じるのか考えやすくなります。できれば企業ペルソナ→個人ペルソナの順に作るとよいでしょう。企業ペルソナを決定する場合は既存の優良顧客をもとに設定すると現実的になり、分かりやすいです。優良顧客となっている企業の特徴・共通点を見つけ出して、同じ属性の企業を見つければ同じく優良顧客になってくれる可能性が高まります。企業ペルソナの項目(一例)業界売り上げ規模業界での立ち位置従業員の規模事業全体の課題 など企業ペルソナを整理したら、予算決定権を持つキーマンや製品導入を提案する担当者など複数名の個人ペルソナを想定し、それに合ったコンテンツを制作します。個人ペルソナの項目(一例)所属・部署・役職担当業務自身やチームが抱える課題課題から導き出されるニーズ など注意点コンテンツマーケティングにおけるペルソナ設定の目的はあくまで企業が抱える課題と情報ニーズの把握です。BtoCにも言えることですが、詳細に作りこみ過ぎないよう注意しましょう。>>>ペルソナの設定方法について詳しくはこちらから<<<②事例・成果を盛り込むことを意識するBtoBの特徴は検討段階でのコンテンツ閲覧が多いことです。見かけ上の満足度よりもビジネス的な成果を検討材料として重要視する傾向にあるため、「過去にどれだけ成果を出したか」を提示する事例コンテンツはBtoBにおいて特に効果的です。他社との違いがどこにあるのか、導入によってどの程度売り上げやコストが改善するのかなど、見込まれる成果を論理的に説明するよう心がけましょう。検討材料として客観的なデータがあると理想的です。③専門性のあるコンテンツ・トーンを心掛ける顧客の求める情報が高度かつ専門的であることは先述した通りです。そのため、見込み顧客のトーンやスタイルに合った言葉遣い、表現方法、コンテンツのフォーマットを選ぶことも大切になってきます。例えば当記事ではBtoB向けのコンテンツマーケティングについて知りたい人に向けた情報を取り扱っていますが、記事の最初に「そもそもBtoBとは?」という解説が入っていたらどうでしょうか。他の記事では解説が必要になることもあるかもしれませんが、読む人全員が知っているであろう情報をわざわざ入れても冗長に感じるでしょう。ユーザーが既に有している情報を省略しながらコンテンツを制作するのがポイントです。また、ビジネス向けの記事で砕けすぎた表現を用いるのもふさわしくありません。分かりやすく簡潔な表現が必ずしも適切ではないことを頭に入れておきましょう。BtoBにおすすめのコンテンツ3選+α一口に「コンテンツマーケティング」といってもさまざまな種類があります。その中でも特にBtoB向けコンテンツとしておすすめなのは「コンテンツSEO」「ホワイトペーパー」「メルマガ」です。コンテンツSEOで入り口を作り、メルマガ・ホワイトペーパーに誘導しつつ別のコンテンツ記事で情報を提供するのが理想的な流れです。詳しく見ていきましょう。コンテンツSEOコンテンツSEOは検索流入で顧客を獲得するコンテンツマーケティングのことを指します。顧客は比較検討する過程で、より価値の高い情報を提供してくれた企業を信頼性のある候補として選ぶ傾向にあります。そのため、検索で参考になる情報を探しに来た新規顧客の情報ニーズを満たしつつ、自社の認知度も上げられるSEOはコンテンツマーケティングの入り口として最適です。キーワードの選び方とコンテンツの内容がうまく合致すればかなりの確率で成果を上げられます。ホワイトペーパー顧客の抱える専門的な問題とその解決策を詳細なコンテンツとして発信するホワイトペーパーはBtoBのマーケティングと相性が良いといえます。ホワイトペーパーの内容がしっかりしていれば、「この企業は信頼性の高い情報を提供してくれる」と顧客にアピールすることができ、イメージアップにつながります。メルマガプライベートではLINEなどのSNSを使うことが増えてきた現在でも、ビジネスにおいてはメールによるコミュニケーションの比率は大きいです。ある調査※によれば、99.1%の人が仕事で1日に1回はメールを確認する習慣があると回答しています。そのため、BtoBでは特にメルマガを用いたマーケティングが効果を表しやすいといえます。コスト面でもかなり安価なので、コンテンツSEOやホワイトペーパーを組み合わせて施策を行うとよいでしょう。メルマガは顧客を条件分けして配信することができるので、既存顧客の満足度向上やリピート率アップにも有効です。(上級者編)SNSSNSでは専門的もしくは主張の強いコンテンツが好まれる傾向にあります。また、潜在的なニーズを取り込む力もあります。一部の人に刺さる癖の強い内容で集客したい場合や企業全体の知名度・イメージを向上させたい場合はSNSでの発信も視野に入れるとよいでしょう。ただし業務中にSNSから情報収集することは稀で、比較検討段階に入っている顧客にはあまり効果を表しません。SNSごとの特性を掴んだ効果的な運用には一定のスキル・コストが必要なので、上記のコンテンツが充実してきてから取り組むべきです。事例①業界知識からのターゲティングでコンテンツの質アップここからはコンテンツマーケティングのコンサルティングを行っている当社が実際に受注したBtoB向けコンテンツの事例を2件ご紹介します。今回の事例はどちらもサイト内のコンテンツSEO代行をご依頼いただいたものです。お客様のご要望やサイトの状態にもよりますが、「コンテンツマーケティングからの集客を強化したい」とのご希望があった場合は効果が表れやすいコンテンツSEOの導入をおすすめすることが多いです。中堅BtoB企業のA社BtoB向けに製造業を展開以前外注したコンテンツSEOで効果が出なかった質の高いコンテンツSEO記事を制作してほしいA社の課題A社は以前別の会社でコンテンツSEOの外注を行っていましたが、専門性を欠いたライティングに不満があったそう。何度も修正を繰り返した末、最終的に社内で記事をリライトすることが何度もあったそうです。成果が出ず内部で工数のかかるコンテンツ制作に限界を感じ、改めて当社に依頼していただきました。過去の外注記事で満足のいくコンテンツを制作できなかった理由の一つが「専門性の高さ」。ライティングの難易度が高いため、何も知らないライターがいきなり記事を書いてもニーズに到達しない見当外れのコンテンツができてしまいます。A社のように、BtoBでは豊富な業界知識を必要とするケースが珍しくありません。かといって内製で記事を書くとSEOの知見・社内のリソース不足に苦しめられるジレンマに陥りがちです。具体的な施策施策の第一段階として、まずは実際にA社で使用されている新入社員向けの研修資料や顧客向けのホワイトペーパーをいただき、ターゲット層と商品の分析を行いました。なんとなくキーワードを決めていきなり記事を書き始めるのではなく、顧客となるビジネスパーソンはどんな人なのか知っておくことが非常に大切です。特に当社のようにSEOの知見を他社に提供する場合は、コンテンツに盛り込むべき内容とターゲット層への理解をいかに短期間で/正確に行うかが重要だと考えています。分析結果をもとに潜在顧客が抱える悩みを想定し、流入を狙うキーワードを選んでいきます。A社の担当者様から記事に関する希望を伺いつつ、記事の執筆を進めていきました。上の図は実際に使用するキーワード候補シートの一例。コンテンツ全体の基軸となる「軸ワード」を決め、その後記事にする具体的なキーワードを決めていきます。コンテンツの質向上により工数大幅削減念入りなターゲット調査と業界分析を行ってからコンテンツの制作に取り掛かった結果、A社側での修正がほとんど発生せずほとんどの記事が校了。コンテンツ制作に割く工数が以前より大幅に削減され、記事の質も向上したとの声をいただきました。事例②ドメイン強化で検索流入が8倍にアップ次にご紹介するのは内製オウンドメディアの強化を依頼していただいたB社の事例です。大企業・グローバル企業をターゲットとするB社BtoBをメインに事業展開(メインターゲットは大企業・グローバル企業)業界情報を発信するコラム(オウンドメディア)を社内で制作コンテンツSEOで流入数を増やしたいB社の課題運用代行の依頼をいただいたB社のオウンドメディアは、もともと内製で更新していたものでした。しかし社内のリソースでは成果を出すのに限界があり、スキルやノウハウを持った運用を行いたいとのことで当社にお声がけいただきました。B社の場合、内製でコンテンツ制作を行った結果SEO的な知見が足りていなかったため十分な結果が出なかったものと思われます。またニッチな分野ということもあり商材自体の知名度も低めで、コーポレートサイトのドメインで順位が上がりにくいことも課題でした。事業で扱うキーワードはビッグワードが多く、コンバージョンにつながらないターゲット外からの流入がノイズになってしまうのも運用難易度が高い理由の一つだったと考えられます。具体的な施策当社にコンテンツ制作をご依頼いただいた際、まず行った戦略は「ロングテールでのドメイン強化」。検索流入数が比較的少ない=ライバルが少ないキーワードから検索順位を上げていき、流入数を徐々にアップさせるという戦略です。信頼性の高いコンテンツが増えていくと、ドメインそのものの信用度も高まります。ドメイン自体の力を強化して新規記事の検索順位が上がりやすい状態になると、流入数の多いビッグワードでも順位が出るようになってきます。またやみくもにビッグワードを狙うのではなく、適切な流入を得るためのターゲティングを意識してキーワード選定を行いました。ビックワードで1位を獲得→流入数が約8倍に急増B社の事例ではロングテールワードでの検索順位上昇に伴い、導入後3ヶ月~半年ほどで流入数の増加が顕著になりました。コンテンツの充実によってその後もさらに流入数は増加し、契約後18ヶ月で検索流入が約8倍に増加しました。最終的な流入数増加の一因は複数のビッグワードで1位を獲得したこと。ドメインの力が強くなったことにより、業界に関連するキーワードで順位の出やすいオウンドメディアに成長しました。実際にGoogleで検索したときの画面。知りたいことを調べたときに一番上に出てくるので、流入数や商品に興味を持つユーザーを効率よく増やすことができます。5.まとめBtoBのコンテンツマーケティングは企業を相手に行うという性質上、BtoCとはいくつかの相違点があります。顧客となる企業の事業課題を適切に把握し、ニーズに届くようなコンテンツの制作を行うことが重要です。「何から始めたらいいか分からない」という場合は検索流入から見込み顧客を集めるコンテンツSEOの制作がおすすめです。効果を出すにはノウハウとスキルも必要。自社にコンテンツ制作のリソースがない場合は外注に頼るのも一つの手でしょう。※一般社団法人日本ビジネスメール協会+「ビジネスメール実態調査 2023」
  • Webサイトのセキュリティ、把握していますか?Web担125人にアンケート

    2024.02.29 WEB制作

    52.8%がセキュリティ被害に遭ったことがあると回答!サイト運営者125人にアンケート
    コーポレートサイトやオウンドメディアなど複数のWebサイトを運用するのが当たり前になった昨今、セキュリティ管理の重要性は日に日に大きくなっている。セキュリティリスクに対し予算や人的リソースを割く企業も増えているにもかかわらず、サイバー攻撃による被害は後を絶たない。特に海外、国内問わず最大シェアを誇るCMSのWordPressは無料かつ便利で使いやすいと同時に、セキュリティ保守を怠ると脆弱性を悪用した犯罪に狙われやすいCMSともいえる。内製・外部委託問わずセキュリティ人材の確保が急務だといわれているが、現実はどうなのだろうか。今回は、実際にWebサイトを運営している企業の担当者125名を対象にアンケート調査を行った。アンケート回答者:Webサイトを運営している担当者125名アンケート回答期間:2024/2/15~2024/2/16アンケート機関:ECマーケティング株式会社アンケート方法:インターネット調査WordPressの使用状況・用途Q1:サイト運用業務におけるWordPressの使用状況を教えてください。(単一選択)Webサイト運用担当者のうち92.0%はWordPressの使用経験があると回答。現在WordPressを利用している担当者は「1年未満」が全体の16.8%、「1年以上」が56.0%と、ある程度の期間WordPressの運用に携わってきた担当者が多い結果となった。Q2:WordPressを導入していたサイトの用途を教えて下さい。(複数選択)※「WordPressを利用したことがある」と回答した方への質問WordPressを使ったサイトの用途として最も多かったのは「コーポレートサイト」46.1%、次いで「ブランドサイト」が41.7%。やはり会社や自社商品の基本情報を掲載するWebサイトをWordPressで制作している企業は多いようだ。採用サイトやサービスサイトのページ制作にWordPressを利用しているケースも多くみられる。サイトセキュリティの状況把握Q3:WordPressのバージョン情報を把握していましたか。(単一選択)※「WordPressを利用したことがある」と回答した方への質問78.3%の参加者が「WordPressのバージョン情報を把握している」と回答。WordPressにおけるバージョン管理の必要性を認識している担当者は多いということだろう。Q4:WordPressの保守で実施したことがあるものを教えて下さい。(複数選択)※「WordPressを利用したことがある」と回答した方への質問全体の50.4%が保守の一環としてWordPressのコアアップデートを実施したことがあると回答。しかし、コアアップデート以外は一気に50%未満にとどまった。Q5:サイト運用におけるセキュリティリスクについて、自身は正しく認識していると思いますか?(単一選択)サイト運用におけるセキュリティリスクについて正しく認識していると思うか聞いたところ、33.6%は「そう思う」、44.0%が「どちらかといえばそう思う」と回答。合計で77.6%、およそ8割のWeb担当者がサイト運用に関わるリスクをしっかり認識していると捉えているようだ。Q6:次の単語を知っていますか?「死活監視」「サプライチェーン攻撃」「マルウェア」「ランサムウェア」「フィッシング」「DDoS」(単一選択)前項の質問で「セキュリティリスクを認識している」と回答したのは全体のおよそ8割であると述べたが、具体的なセキュリティ用語すべてを知っている人は41.6%とその半数程度にとどまっている。また、すべての単語について「完璧に説明できる」と回答したのは全体のわずか15.2%。リスクの認識に対する自己評価が高いわりに、リスクの詳細までは知らないというのが現実のようだ。セキュリティ対策の実施状況Q7:運用サイトのセキュリティ対策について、あてはまるものを答えてください。(単一選択)「全て社内で管理している」が32.0%で、「部分的に外部委託している」が46.4%。多くの企業が自社でセキュリティ対策を行っているものの、外部に委託している企業も少なくない。「部分的に」もしくは「全て」外部委託していると答えた企業は全体のおよそ6割。半数以上の企業が内部の運用担当者とは別に外部委託でセキュリティ対策を行っていることが分かる。また、「セキュリティ対策をしていない」「わからない」と回答した企業は8%いることが判明した。サイトの運営者でありながらセキュリティ対策においては、関与していない担当者も一定数いるようだ。Q8:運用サイトにおけるセキュリティ対策は万全だと思いますか?(単一選択)運用サイトにおけるセキュリティ対策は万全だと思うか聞いたところ、23.7%が「万全だと思う」、51.7%が「どちらかといえば万全だと思う」と回答。合わせて75.4%の担当者が自社のセキュリティ対策状況に自信を持っているようだ。Q9:運用サイトで実施しているセキュリティ対策を教えて下さい。(複数選択)自社サイトで行っているセキュリティ対策として一番多かったのが「定期バックアップ」63.5%。サイト運用には必須の保守作業だが、自社では管理せず外注しているケースやリソース不足で作業に手が回っていない企業が多いのかもしれない。Q10:あなたの勤め先はサイバー被害に備えた保険に加入していますか。(単一選択)サイバー被害に備えた保険に加入していると回答した参加者は60.0%。セキュリティ対策としてサイバー保険に入るという選択肢は一般的になりつつあるようだ。WordPressのアップデートについてQ11:運用サイトに導入しているツール・システムのバージョン情報や、アップデート時に想定される影響など把握できていますか。(単一選択)バージョン情報やアップデート時の影響の把握を「完全にできている」と回答した人は21.6%。次いで「どちらかといえばできている」と答えたWEB担当者は55.2%と半数以上に上っており、アップデートの影響を把握している担当者はかなり多いことがわかる。一方、全体の約4分の1にあたる23.2%のWEB担当者は「どちらかというと(把握)できていない」「(把握)できていない」と回答している。状況を把握せず運用しているケースも一定数あるようだ。Q12「表示崩れ」や「不具合」を理由にシステムやプラグインのアップデートを後回しにした経験はありますか?(単一選択)アップデートを放置した経験が「かなりある」「おそらくある」と回答したのは合計で77.6%。前項で述べたアップデート時の影響に関する意識の高さから鑑みると、バージョンによる影響をある程度理解していても、更新に手が回っていない企業も少なからずあると思われる。セキュリティ対策の予算についてQ13:サイト運用予算におけるセキュリティ維持費用(月額換算)を教えてください。(単一選択)サイト運用予算におけるセキュリティ維持費用について聞いたところ、20.8%は5万円以下、29.6%が6万円~10万円と回答。月額10万円以下に収まっている企業が半数以上、その他の企業のうち33.6%は月額11万円~50万円の費用を投じている点も興味深い。Q14:運用サイトのセキュリティ対策予算はここ数年間で変化しましたか。(単一選択)運用サイトのセキュリティ対策予算について聞いたところ、15.2%が「増えた」、40.0%が「どちらかといえば増えた」と回答した。半数以上の企業において予算増加があったと答えていることから、企業としてセキュリティリスクへの意識は高まっていると推測される。Q15:運用サイトのセキュリティ対策予算は足りていると思いますか?(単一選択)サイトのセキュリティ対策予算について、「足りていると思う」と回答した参加者は28.0%、「どちらかといえば足りていると思う」と回答した参加者は47.7%。予算の増加に伴い、現状で十分と考える担当者が多いようだ。セキュリティ被害に関する意識Q16:セキュリティ被害について「うちは大丈夫」と他人事に思った経験はありますか。(単一選択)セキュリティ被害について「うちは大丈夫」と他人事に思った経験はあるか聞いたところ、「ある」と答えた人は40.0%、「どちらかといえばある」と答えた人は31.2%。合わせて71.2%のWeb担当者がサイバー被害を他人事に思った経験があることが分かった。Q17:ウェブサイトの不正アクセスや情報漏洩、個人情報の流出などのニュースを耳にしたとき自社の対策状況を不安に思いますか。(単一選択)不正アクセスや情報漏洩、個人情報の流出などのニュースを耳にしたとき自社の対策状況を不安に思うか聞いたところ、32.0%が「そう思う」、58.4%が「どちらかといえばそう思う」と回答した。他人事に思う経験もある一方、他社のニュースを見て危機意識を抱く担当者も多いようだ。Q18:もし運用サイトがセキュリティ被害に遭った場合、心配することは何ですか。(複数選択)もしサイトがセキュリティ被害に遭ったら心配することは何か聞いたところ、最も多かったのは「サイト利用者への影響」53.6%だった。ほか選択した参加者が多かったのは「取引先への影響」36.8%、「個人情報の流出」35.2%、「ネットでの炎上」「損害賠償」33.6%など。一方、「人材の流出」「従業員からの訴訟」など、社内への影響を不安視する担当者はかなり少ない傾向だ。サイバー攻撃に関する状況Q19:これまで運用サイトがセキュリティ被害に遭ったことはありますか。(単一選択)過去に運用サイトがセキュリティ被害に遭ったことがあると回答したのは全体の52.8%。半数以上の企業がこれまでにサイバー攻撃の被害に遭った経験があることが分かった。Q20:具体的にどのような被害に遭いましたか。(複数選択)※Q19で「被害に遭ったことがある」と回答した方への質問実際に受けた被害のうち最も多かったのは「サイトの改ざん」53.0%。次いで「不正アクセス」「ランサムウェア被害」が47.0%で同率2位、4位は「情報漏洩」40.9%と続く。回答結果から、一度攻撃に遭うと複数の被害を受けやすいことが分かる。セキュリティに関する社内状況Q21:運用サイトがサイバー被害に遭った場合の対応マニュアルの構築や周知はできていますか?(単一選択)62.4%の担当者が対応マニュアルの構築・周知をしていると回答。社内のセキュリティ体制が整っている企業は多い傾向だ。Q22:社内にセキュリティ関連の知識・技術をもった人材はいますか。(単一選択)68.6%の回答者が「社内にセキュリティ関連の知識・技術をもった人材がいる」と回答。およそ7割の企業では社内にセキュリティの知識を有した人材がいるようだ。Q23:セキュリティに関して困ったときに相談できるパートナー企業はいますか。(単一選択)※前項で「社内に人材がいない」と回答した方への質問68.0%の回答者が「社内にセキュリティ関連の知識・技術をもった人材がいる」と回答。一方、社内に人材が「いない」と回答した担当者のうち、54.5%が社外においても相談できる企業がいないと回答。いざ困った時にセキュリティ対応できるリソースがない状態でサイトを運用している企業が一定数いるという実態が浮き彫りとなった。Q24:社内でセキュリティ関連に強い人材の育成は行っていますか。(単一選択)社内でセキュリティ人材の育成を行っていると回答した参加者は63.2%。およそ6割の企業でセキュリティ人材の育成が進められているようだ。また、前項の「社内にセキュリティ人材がいるか」への回答と併せて集計した結果、以下のようになった。既に社内に人材を持っている企業はさらに育成を行っており、人材がいない企業は育成もしていないという二極化が進んでいることが分かる。Q25:セキュリティ対策における社内の理解度・意識についてどう感じますか。(単一選択)セキュリティ対策における社内の理解度、意識について聞いたところ、「高いと思う」「どちらかといえば高いと思う」と回答した担当者は合計25.6%。「どちらかといえば低いと思う」「低いと思う」と回答した担当者は69.6%と過半数を超えた。サイト運営者のセキュリティ意識はあっても従業員間の意識はまだまだ低いと感じる現実が垣間見えた。最後に、セキュリティ以外も含めサイト運営全般に対する担当者の悩みを質問した。サイト運用における悩みQ26:サイト運用業務で困ることはありますか。(複数選択)サイト運用業務で困っていることとして最も多かったのは「予算が足りない」40.8%、次いで「自分自身・社内のスキル不足」「社内の理解が足りない」36.8%という結果だった。上位にあがった項目から、「自分自身・社内のスキル不足」「現状の課題が分からない」「効果的な改善ポイントが分からない」などのスキル不足・アドバイザー不足に悩みを抱える担当者も多いことが伺える。ここで前項の質問にあったセキュリティ対策の運用状況別に悩みを集計したところ傾向に差が見られた。セキュリティ対策を自社で行っている企業のうち52.5%が「自分自身・社内のスキル不足」に困っていると回答。予算は足りているものの人材が不足している状況が伺える。一方、「部分的」もしくは「全て」外部委託でセキュリティ対策を行っている企業は48.0%が「予算が足りない」と回答。また、「効果的な改善ポイントが分からない」37.3%、「現状の課題がわからない」36.0%と、リテラシーに悩む傾向も強いようだ。調査まとめ・「表示崩れ」や「不具合」を理由にWordPressのシステムやプラグインのアップデートを後回しにした経験があると回答したサイト運用者は77.6%・71.2%のサイト運用者がセキュリティ被害を「他人事に思ったことがある」と回答・52.8%がWebサイトのセキュリティ被害に遭ったと回答今回の調査でWebサイトがセキュリティ被害に遭った経験を持つ担当者が過半数を超えていた。その一方、「(被害を)他人事に思ったことがある」「保守の内容や予算を把握していない」など、Web担当者の把握が不十分であること、知識不足が散見する場面もあった。ここから推測されることは、運営担当者の業務がコンテンツ更新作業や集客効果の測定がメインでセキュリティ対策は二の次になっていることだ。それゆえ、運営はするがセキュリティ対策は責任対象外という担当者が多いように感じられた。セキュリティ対策や保守に関して外部委託しているケースや、複数部署で共同管理している企業でも、運営担当者が自社の状況を把握しておくことは重要である。「誰かがやっているだろう」という油断がセキュリティの穴となり、被害を生み出すことを忘れずに運用してほしい。ECマーケティングのWordPress保守サービス調査を通じ、セキュリティ対策や保守作業が十分にできていない企業が多いことが分かりました。また、いざというときに頼れる人材、パートナー企業がいない状態で運用している企業も一定数見られました。ECマーケティングの「WordPress丸ごとおまかせ(保守)サービス」は低コストで健全なWebサイト運用をサポートしています。【関連サービス】WordPress丸ごとお任せ保守
  • CMS セキュリティリスク 比較 WordPressの強化方法は?

    2024.02.28 WEB制作

    CMS製品のセキュリティリスク比較!WordPressの強化方法も紹介
    Webサイトを構築するCMSといえばWordPressが有名ですが、種類によってセキュリティリスクが違うことはご存じですか?使いやすいCMSほどサイバー攻撃に狙われやすく、手軽なCMSの普及と比例してWebサイトのマルウェアの感染事例も増えています。CMSはセキュリティリスクも考慮して選び、製品に適した対策をとっていくことが大切です。今回は代表的なCMS製品のセキュリティリスクを比較しながら、狙われやすい製品のセキュリティ強化方法を解説します。これからCMSを選ぶ人も、すでにCMSを稼働している人も参考になる内容ですので、ぜひご覧ください。1.CMSは種類によってセキュリティリスクが違うCMS(Contents Management System)は、Webサイトの画像・テキスト・テンプレートなどの情報を一元管理するシステムのことです。CSSやHTMLなどの専門知識がなくてもWebページの作成・更新が可能になるため多くの企業が導入しています。ただし、「専門知識が不要」という特性から、CMSのセキュリティ知識がないまま運用してサイバー攻撃の標的にされる事例が増えています。CMSは種類によってセキュリティリスクが異なるので注意しましょう。CMSは以下の3種類に分かれます。オープンソース型:セキュリティリスク 高プログラムのソースが公開されているCMS。安価で誰でも利用しやすい反面、もっともサイバー攻撃で狙われやすい。ベンダーのサポートがないため自主的なセキュリティ対策が必要。パッケージ型:セキュリティリスク 低ベンダーが独自開発したCMSを自社サーバーにインストールして利用する。ソースが非公開であり、セキュリティ対策もベンダーが対応するため比較的安全性が高い。自社サーバーをもつ中規模以上のサイト向けが主流。クラウド型(SaaS型):セキュリティリスク 低ベンダーが独自開発したCMSをインターネット経由で利用する。パッケージ型と同様に、ソースが非公開でベンターがセキュリティを担当するため比較的安全性が高い。サーバー不要のため個人や小規模企業でも運用しやすい。使い勝手の良いオープンソース型を利用する場合は、しっかりとしたセキュリティ対策が必須と覚えておきましょう。さらにくわしく知りたい方はこちらの記事をご覧ください。 CMSのセキュリティリスク|種類ごとの危険性・対策を紹介2.代表的なCMS製品のセキュリティ比較日本でよく利用される5つのCMS製品のセキュリティリスクを比較してみましょう。CMSの種類セキュリティリスクセキュリティ対応オープンソース型WordPress最も高い自社Drupal高い自社パッケージ型Movable Type低いベンダーMovable Type低いベンダークラウド型MTCMS Cloud低いベンダーWordPress(ワードプレス)WordPressはオープンソース型でプラグインが豊富な上、80%以上のシェア率があるためもっともサイバー攻撃に狙われやすいCMSといわれています。セキュリティ情報も豊富でますが、利用者の自己対応頼りのため脆弱性が出やすいのが特徴です。→WordPressのセキュリティリスクについて詳しくはこちらDrupal(ドゥルーパル/ドルーパル)Drupal もオープンソース型でセキュリティが自己対応のため脆弱になりやすい面があります。日本で知名度が低いこともあり、セキュリティ情報が少なく万全な対策が難しいCMSです。Movable Type(ムーバブル・タイプ)Movable Typeはソース非公開のパッケージ型CMSであり、比較的セキュリティリスクは低いでしょう。純国産でベンダーからのサポートが受けられ、セキュリティ対策やトラブル時の対処も任せられるので安心です。SiteCore(サイトコア)SiteCoreは顧客データの保護に特化したパッケージ型CMSです。ベンダーがセキュリティの対策と対処を担当し、24時間体制でセキュリティ監視・脆弱性の管理・外部侵入テストを行っています。MTCMS Cloudクラウド型CMS のMTCMS Cloudは、プラットフォームであるAmazon Web Serviceの提供元の㈱スカイアークがセキュリティを担当します。専門家に対策を任せられるため安全性は高いでしょう。このようにセキュリティに力を入れているCMSを選ぶことでリスクは下げられますが、知識を身につけて利用者自身で対策をすれば、より安全性は高まります。使い勝手の良さを優先したい場合にも役立つでしょう。次章ではCMSのセキュリティを強化する方法をご紹介します。3.WordPressのセキュリティを強化する方法もっとも利用者が多いWordPressは、もっとも狙われやすいCMSだといわれています。以下の方法でセキュリティを強化しておきましょう。→WordPressのセキュリティ対策について詳しくはこちらプラグインやテーマ、バージョンを最新に保つ古いプログラムやツールでは新たなマルウェアに対応できません。常に最新のバージョンにしておくことがセキュリティ対策の基本です。CMSの自動更新機能を過信せず自らチェックし、確実にアップデートする。不要なテーマやプラグインは削除する。PCも同様にOSやアプリケーションを常に最新バージョンに適用する。利用者が多いWordPressは、プログラムに脆弱性が見つかったその日に攻撃を仕掛ける「ゼロデイ攻撃」が起きた事例もあります。更新通知がきたらすぐに適用しましょう。→セキュリティに強いプラグインの選び方複雑なユーザー名やパスワードに設定する法則性があるユーザー名やパスワードはセキュリティリスクが高いため複雑なものに設定し直します。10桁以上の英数字を組み合わせたものか、自動生成ツールの活用がおすすめです。使用するPCも同様に設定しましょう。セキュリティ対策がしっかりしたサーバーを選ぶレンタルサーバーのセキュリティ対応は提供会社によって大きな差があります。セキュリティ規約をよく確認し、WordPress専用のセキュリティ対策機能があるなど信頼できるサーバーを利用しましょう。サイトをSSL化する「サイトのSSL化」とはデータ通信を暗号化し情報漏洩や改ざんを防ぐ方法です。WordPressの場合はレンタルサーバーにSSL化に対応したプラグインをインストールして利用するのが一般的ですが、サーバーによっては無料提供もあるので活用しましょう。→サイトのSSL化について詳しくはこちらWAFを導入するWAF(ウェブ・アプリケーション・ファイアーウォール)はファイアーウォールでは防ぎきれない攻撃に備えるセキュリティソフトです。顧客情報や金融情報を扱う場合は確実に入れた方がいいでしょう。セキュリティ対策用プラグインを導入するシェア率が高いWordPressにはセキュリティ対策用プラグインがたくさんあります。ログインページ保護に特化したSiteGuard WP Plugin、サイトのSSL化機能があるiThemes Security、スパムメールを防止するAll In One WP Security & Firewallなど、サイトの特性に合わせて導入しましょう。→WordPressのおすすめセキュリティプラグイン設定ファイルへの外部アクセスを防ぐ設定ファイルへの外部アクセスを防ぐのもセキュリティ強化に有効です。以下の設定をしましょう。FTPソフトでファイルの属性(パーミッション)を400にするwp-config.phpと同じディレクトリにある「.htaccess」ファイルにorder allow,deny deny from all」を追記するセキュリティ状況を定期的にチェックするサイバー攻撃の手口は日々巧妙化しており、プログラムの脆弱性が後から見つかることも珍しくありません。WPScans.com、WPdoctorなどの診断サービスや対策用プラグインのWordfence Securityを使って定期的に脆弱性をチェックして対策を見直すことも大切です。4.CMSのセキュリティ強化は保守サービスがおすすめCMSは事業規模や担当者のスキルに適した製品を選ぶ必要もあり、セキュリティばかり重視するわけにはいかないのが現実です。結果的に使い勝手の良いオープンソース型を選ぶ企業も多いでしょう。かといって、専門知識を学びながら自社でCMSのセキュリティ対策をしていくのは大変なことです。そんなときは保守サービスの利用がおすすめ。手ごろな費用でCMSのセキュリティを丸ごと依頼できます。例えば、ECマーケティング株式会社の「WordPress丸ごとお任せ(保守)サービス」では月額3万円から以下のようなサービスが受けられます。独自のAIを用いたセキュリティチェック脆弱性のチェック~更新まで半自動化WAFと不正アクセス検知による高いセキュリティ対策充実した監視体制による安定稼働その他、定期的なバックアップや改ざんチェック、トラブル時のデータの復元まで経験豊かなエンジニアが対応してくれるので安心です。ECマーケティング株式会社「WordPress丸ごとお任せ(保守)サービス」WordPressのほか、どんなCMSにも柔軟に対応しておりますので詳しくはお問い合わせください。CMSを選ぶ際に使いやすさや機能はとても大切です。不安なセキュリティを外部に任せられれば、本当に欲しいCMSを選べるようになるでしょう。5.まとめCMSにはオープンソース型、パッケージ型、クラウド型の3種類があり、ソースが公開されているオープンソース型はセキュリティリスクが特に高いといわれています。中でも、圧倒的なシェアをもつWordPressはサーバー攻撃の標的にされやすいため利用者自身がセキュリティ強化に積極的に取り組まなくてはいけません。WordPressのセキュリティを強化するには、プラグインやOSの更新、サイトのSSL化、WAFの導入など様々な方法がありますが、専門知識を持った保守サービスを利用するのが安心です。セキュリティを保守サービスに委ねることで、CMSの選択肢の幅も広がります。ぜひ検討してみてはいかがでしょうか?
  • コンテンツマーケティングとは?効果・目的

    2024.02.26 WEB制作

    コンテンツマーケティングとは?目的や効果、成功するためのコツを伝授!
    最近何かと注目を集めている「コンテンツマーケティング」。よく聞く言葉ではありますが、そもそもコンテンツマーケティングとは何か、どんな効果があるのか理解できているでしょうか?記事や動画などのコンテンツを通じて集客するマーケティング手法のことで、中小企業・大企業問わず、BtoBでもBtoCでもWebサイトやSNSのアカウントがあれば気軽に始めることができます。しかし、むやみに「コンテンツマーケティングを始めてみよう」と手を付けてみても成果には結びつかないかもしれません。根底的な考え方・目的を理解し、順序を踏んで時間をかけてコンテンツを作ることが大切です。この記事では、コンテンツマーケティングの基本情報と成功するための戦略をプロの視点からお伝えします。1.コンテンツマーケティングとは?目的・効果コンテンツマーケティングは顧客にとって価値のある情報(コンテンツ)を提供することで、集客や売上の向上につなげるマーケティング手法のことです。言葉の意味としては雑誌などの紙媒体での発信も含まれていますが、現在は主に「Webやインターネットを用いたコンテンツによる集客方法」を指します。新規参入する企業が始めるコンテンツとしてはオウンドメディアを利用したコンテンツSEOやメルマガ、ホワイトペーパーの導入が一般的でしょう。コンテンツマーケティングが注目されている背景かつてはマーケティングといえば顧客に商品を直接宣伝する「売り込み型」が一般的でした。企業が自社の情報を外部に大きく発信するにはテレビや街頭の広告などで多額の費用をかけて売り込みにいくことが最も効果的だったからです。しかし、インターネットの普及などの要因により、企業と消費者との接点は徐々に増加していきます。また、顧客は広告で発信される情報を受動的に見るだけでなく、買う前の商品の情報を自分で調べることができるようになりました。このような経緯から、自ら売り込むのではなく見込み顧客の求める情報を発信して間接的にユーザーを増やすコンテンツマーケティングが注目されるようになったのです。コンテンツマーケティングの目的コンテンツマーケティングの主な目的は、顧客となりうる人にとって有益な情報を発信し、自社や商品との接触の機会を増やし、売り上げを伸ばすことです。購買までのプロセスと関心度でユーザーを分類すると、以下のような小目的があります。フェーズ小目的①非認知層(関心度低)商品について知ってもらう、ニーズに気付いてもらう②潜在層(関心度中)商品を思い出してもらう、購入を検討してもらう③顕在層(関心度高)購入を後押しする、再購入につなげる段階によってアプローチが異なる場合もありますが、最終的に「コンテンツを見たユーザーの行動変容を促す」ことが目標である点は共通しています。コンテンツマーケティングには効果があるのか?コンテンツマーケティングは自社製品について知っているか否かに関わらず幅広く集客できる手法です。例えばコンテンツSEOはWebサイトさえあれば簡単に始めることができます。しかし、その手軽さゆえに十分な施策を用意せずにスタートして失敗してしまう事例も少なくありません。他のマーケティング手法と同じく見込み顧客に合わないアプローチをしていては結果に結び付かないので、「コンテンツマーケティングには効果がない」と言われてしまう場面も散見します。もちろん、適切な方法を用いてユーザーに接触すれば成果もついてきます。ただし、広告費を払って宣伝したときと比較すると結果が出るまでに時間がかかるのは事実です。短期的な売上アップを求める施策ではないことには留意しましょう。2.コンテンツマーケティングのメリットコンテンツマーケティングを行うことでいくつかのメリットが見込めます。見込み顧客を増やせる見込み顧客とはニーズがあるものの購買には至っていない顧客のことを指します。コンテンツマーケティングを通じて自社製品の情報を発信することで、ニーズに適合した見込み顧客を効果的に増やすことができます。コンテンツが資産になる一度作ったコンテンツは情報としてインターネット上に蓄積され、長期的に利益をもたらす資産となります。コンテンツを作ってからしばらく経ってコンバージョンするケースも少なくありません。ただし、何もしていない状態では資産としての価値が劣化する恐れもあるでしょう。定期的な更新や改善は必須です。比較的取り組みやすい広告で十分な効果を出すためには数十万~数千万かかることも珍しくありませんが、コンテンツマーケティングは無料もしくは安価に始めることができます。ただし、一見安価に見えたとしても成果を出すには相応のコストがかかる点には注意しましょう。[word_balloon id="unset" src="https://www.ecmarketing.co.jp/contents/wp-content/uploads/2024/02/icon_white-1-1.webp" size="M" position="L" radius="true" name="" balloon="talk" balloon_shadow="true"]〈WEB広告/コンテンツマーケティング担当・ニャーケッターより〉無料・安価でコンテンツマーケティングを展開するには知見のある人間が社内にいて内製できる状態でなければならないにゃ。文章書くだけならできそう、と手を出すと残念なコンテンツSEO事例で紹介したような費用と工数を無駄にする自己満マーケティングに陥るので注意して欲しいにゃん。[/word_balloon]顧客のデータを収集できるコンテンツを見たユーザーのデータを収集すれば、それが見込み顧客のデータになります。Webサイトならアクセスしたユーザーのうちどのくらいが資料請求したのか、購入に至ったのかツール等を使って分析することで、新たな戦略を生み出すことができるのは大きなメリットです。3.コンテンツマーケティングのデメリット・注意点先んじて注釈をつけた箇所もありますが、コンテンツマーケティングにはいくつかの注意点があります。「取り組めばすぐに利益が発生する」という魔法ではないので、相応のデメリットを理解したうえで臨みましょう。効果が出るまでに時間がかかるコンテンツマーケティングの最大の注意点は売り上げに直結せず、長期的な施策が必要なことです。安価で始められるからと言ってサイトを作って記事を数本出して終わりではありません。中途半端な導入は却って損害になる可能性すらあります。最低でも半年、商材によっては数年単位で見る必要があるかもしれません。一定期間こつこつコンテンツを更新し続けて費用、時間、工数を確保し続ける覚悟が必要です。効果検証しづらい「Webサイトからの集客」というと購入や問合せなどのCV(コンバージョン)で効果を測るイメージが強いかと思いますが、コンテンツマーケティングの場合は分かりやすいゴールに直結するとは限りません。SNSで美味しそうな食べ物やオシャレな洋服の情報を見て、リンク先のネット通販ではなく実店舗へ買いに行った経験はないでしょうか?検索からサイトにアクセスしたことがきっかけで社名を知り、しばらくしてからふと思い出してサービスを利用するケースもあるかもしれません。成果に至らずとも自社名や事業内容、実績など認知してもらうことで後のコンバージョンにつながるパターンも往々にしてあります。特にBtoBではその傾向は顕著でしょう。(かくいう当社もBtoB企業ですので、実際の体感でも時間差でお問い合わせをいただくケースは非常に多いです)直接なきっかけではなかったとしても、成約に至るまでのフェーズのいずれかに貢献しうるのがコンテンツマーケティングです。効果検証しづらいというデメリットゆえ上層部に効果を理解してもらえず、道半ばで断念してしまうような事例も中にはあります。スキルが必要ここまで述べてきた注意点を包括すると、「スキルを持った人材による専門的なフォローが必要」ということになります。顧客の分析やコンテンツの制作方法を理解したWeb担当者はもちろん、Webサイトであればセキュリティ管理のための保守なども必要です。>>>Webサイトの保守についてはこちらから<<<4.コンテンツマーケティングとコンテンツSEOの違い「コンテンツマーケティング」と「コンテンツSEO」は領域が類似しているため間違われがちですが、正確には意味合いが異なります。コンテンツSEOは特定の検索ワードでの検索結果で上位表示することで、より多くの検索ユーザーにページやコンテンツを見てもらうための施策です。検索流入に特化しているマーケティング手法だと言えるでしょう。一方、コンテンツマーケティングはコンテンツSEOを含む「コンテンツを利用したマーケティング全体」を指します。5.コンテンツマーケティングで効果を出すコツ3選大切なことなので繰り返し説明しますが、「とりあえずコンテンツマーケティング」「とりあえずSEO」では効果的な集客はできません。コンテンツマーケティングを専門に扱う当社が考えるに、上手く結果を出すには少なくとも以下のコツを押さえておくべきでしょう。顧客がほしい情報を分析するコンテンツを制作する前にまずは「自社製品をほしがるのはどんなお客様か」「見込み顧客はどんな情報を求めているか」を考え、整理しましょう。既存顧客、営業担当へのアンケート・インタビュー既存顧客データの分析研究機関、政府組織が取ったデータなどを分析し、顧客のニーズを把握できるとよいでしょう。価値のある情報を提供するコンテンツマーケティングにおいて大切なのは「企業側が提供したい情報」ではなく「顧客が知りたい情報」です。ニーズを分析したら、求める情報に沿った方法でコンテンツを制作しましょう。昨今ではコンテンツの中身をより充実させたリッチなコンテンツが好まれ、需要が高まっています。内容に富んだ専門性・独自性のある記事コンテンツは検索エンジンにも高く評価されるため、同時にSEO対策もできます。>>>リッチコンテンツについて詳しくはこちらから<<<誰にとって価値あるコンテンツを作るべきか一つ注意すべきは、多くの場合自社の商品について全く知らない人(非認知層)と実際に購入を検討している人(顕在層)では求めている情報が異なることです。冷蔵庫を売るためのコンテンツを制作すると仮定して考えてみましょう。自社製品のことを全く知らず、買い替えも考えていない非認知層の顧客には「キャベツを長持ちさせる方法」という内容の記事コンテンツを用意すれば機能の高い冷蔵庫に興味を持ってもらえるかもしれません。実際に買い替えを考えてくれる可能性もあるでしょう。一方、既に自社製品のことを知っている顕在層の顧客に対してはどうアプローチすべきでしょうか。実際に購入を検討しているユーザーに対して野菜を長持ちさせる方法を発信しても、売り上げにはつながりません。この場合は、第三者に近い立場から冷蔵庫の性能や価格を詳しく比較する記事を制作するのがよいでしょう。複数の顧客像(ペルソナ)が考えられる場合には、基本的に購入に近い顕在層のニーズに寄り添ったコンテンツ制作から始めるのがよいでしょう。そこから徐々に購買から遠い潜在層→非認知層にもリーチを広げていくと、説得力を持って施策を推し進めることができます。継続的にコンテンツを更新するコンテンツマーケティングはすぐに結果が出るものではありません。効果を感じられたかに関係なく、最低でも半年~1年程度はコンテンツの更新を継続することが大切です。また、既に制作したコンテンツも情報が古くなってしまうと資産として機能しなくなるケースもあります。例えば法律改正時に更新せず古い情報のまま放置したコンテンツは、情報資産どころかむしろマイナスの評価を受ける可能性すらあるでしょう。出したら終わり、ではなく定期的に内容を見直すことが大切です。6.まとめコンテンツマーケティングとは、記事やメルマガ、ホワイトペーパーなどのコンテンツを通じて見込み顧客の求める情報を発信する集客方法のことです。「何を売りたいか、伝えたいか」ではなく、「誰に求められているか、どんな情報を欲しているか」を考え、ユーザーに寄り添った施策を行うことで効果をもたらします。しかし、ターゲットを狙い撃つ的確なコンテンツを制作するのは至難の業。自社製品への理解はもちろん、マーケティングの知識やコンテンツ制作スキルも必要です。内製で始めるのであれば、コンテンツマーケティングに携わった経験のある人材を用意しましょう。もし内製でコンテンツ制作が難しいようなら外部へ委託するのも一つの手です。当社ではSEOの観点から専門的なアドバイスを加えつつ、フルオーダーメイドで高品質なコンテンツ制作プランを設計します。
  • 分かりやすく解説!DoS攻撃とDDoS攻撃の違い

    2024.02.20 WEB制作

    DoS攻撃とDDoS攻撃の違いとは?手法や対処法まで分かりやすく解説!
    「大量のデータ送信を受けてサーバがダウンした!」これはDoS攻撃またはDDoS攻撃を受けた時の症状ですが、この2つに違いはあるのでしょうか?実は、サーバに負荷を与えて妨害する点は同じですが、対応の難しさや被害規模には大きな違いがあります。対処する際はDoS攻撃とDDoS攻撃を見極めることが大切です。この記事ではDoS攻撃とDDoS攻撃の違いや特徴、代表的な手法を解説しながら、それぞれの対処法にも触れていきます。1.DoS攻撃とDDoS攻撃の違いは「攻撃元のパソコン数」サイバー攻撃を受けたときは「攻撃の種類の見極め」が最適な対処につながります。DoS攻撃とDDoS攻撃は、どちらもサーバに大量の不可を与えて正常な稼働を妨害するサイバー攻撃です。ただし、攻撃元のパソコン台数が違うため被害規模や対処法が変わってきます。DoS攻撃は攻撃者本人の1台のパソコンが発信元ですが、DDoS攻撃は不正アクセスで支配下におかれた複数のパソコンから攻撃されます。1台のIPアドレスを特定すればいいDoS攻撃にくらべ、不特定多数の端末を利用するDDoS攻撃は相手の特定や対処が難しく、下記のような障害の規模や損失も大きくなるのが特徴です。DoS攻撃やDDoS攻撃による被害・Webサイトやサービスの停止、メールの停止による機会損失や賠償の発生・サーバの大量処理による利用料金の増大・攻撃に紛れたマルウェアへの感染・社会的信頼の失墜 など次章からDoS攻撃とDDoS攻撃の特徴をくわしく解説していきます。2.DoS攻撃の特徴と手法まずは、DoS攻撃の特徴と代表的な手法からご紹介します。DoS攻撃とはDoS(Denial Of Service)攻撃とは1台のパソコンから標的のサーバに多数の要求を送信して負荷をかけ、システムダウンを強いるサイバー攻撃です。サーバは大量の情報処理にリソースを割かなければならず、運用しているWebサイトやサービスに障害が発生します。一般的なDoS攻撃のほとんどはデータ盗難や乗っ取りなどのプログラムは含まれておらず、攻撃者に利益はありません。いたずらや嫌がらせの要素が強いサイバー攻撃といえるでしょう。DoS攻撃の代表的な手法メールボム攻撃一度に大量のメールを送り続け、メールサーバのパンクを狙う攻撃。メールの送受信ができなくなる。●F5攻撃キーボードの「F5」(再読み込みキー)の入力を繰り返させてサーバに負荷を与える。3.DDoS攻撃の特徴と手法つぎにDDoS攻撃の特徴と代表的な手法をみてきましょう。DDoS攻撃とはDDoS攻撃とは「Distributed(分散型) Denial Of Service」の略称で、マルウェアで支配下においた複数のパソコンを使って大規模なDoS攻撃を仕掛ける手口です。「踏み台」とも呼ばれる攻撃用パソコンは犯人との関連性がなく、IPアドレスの特定やブロックが困難なため対応に時間がかかります。最近ではネットワークカメラやルーターなどのIoT機器が踏み台にされるケースも多く、より特定が難しくなっています。DDoS攻撃は被害規模が大きい上、不正アクセスやマルウェア攻撃の窓口としても利用されるため慎重な対処が必要です。DDoS攻撃の代表的な手法SYNフラッド攻撃支配下にある複数のパソコンからSYNパケット(接続要求)を大量に送る手法。システム障害に乗じて不正アクセスを仕掛ける。その他の攻撃SYNフラッド攻撃と同様の手口でFINパケット(切断要求)、ACKパケット、UDPフラッドを利用した攻撃もある。4.DoS攻撃とDDoS攻撃は対処法にも違いがあるDoS攻撃とDDoS攻撃は対処法にも違いがあります。DoS攻撃の対処法は相手のIPアドレスを特定し、サーバのIPアドレス制限機能でアクセスを遮断します。攻撃元の端末が1台のため、知識さえあれば特定もそれほど大変ではありません。一方で、複数の端末から攻撃してくるDDoS攻撃はすべてのIPアドレスの特定と制限は難しいのが現実です。各手法に対応したファイアウォールやIPS、DDoS攻撃対策ツールなどでの対処になるでしょう。ただし、どちらも専門知識がない場合や大規模攻撃になった場合は自社での対処は困難です。被害が大きくなる前に保守サービスへの依頼を検討しましょう。保守サービスでは現在の攻撃への的確な対処はもちろん、DoS攻撃やDDoS攻撃以外のサイバー攻撃も含めた対策や定期的な脆弱性チェックなど、Webサイト全体の保守を強化できます。最近では自社のWebサイトに遠隔操作系のマルウェアを仕掛けられ、閲覧者の端末がDDoS攻撃に使われたという事例も増えています。自社の信頼や大切なユーザーを守るためにもDoS攻撃やDDoS攻撃をきっかけに、全体の保守を見直すことが重要です。5.まとめDoS攻撃とDDoS攻撃の大きな違いは攻撃に使われるパソコンの台数です。DoS攻撃では1台、DDoS攻撃では複数のパソコンが使用されます。また、DoS攻撃はいたずら要素が強く、DDoS攻撃はさらなるサイバー攻撃の窓口にされやすいといった特徴があります。対処法としては、DoS攻撃にはIPアドレスの特定とアクセス制限が有効ですが、複数の端末が利用されるDDoS攻撃は同様の対処は困難です。使われた手法に対応できる、より専門的な方法が求められます。知識に不安がある場合や被害を最小限に抑えたい場合は、専門知識をもった保守サービスに依頼しましょう。攻撃の対処はもちろん、今後の対策においても大きな助けになるはずです。
  • もし不正アクセスされたら?

    2024.02.20 WEB制作

    【企業向け】不正アクセスされたらどうすべき?対処法をくわしく解説
    サイバー攻撃はもう日常です。「不正アクセスされたら、どうするか?」は、すべての企業がすべての従業員に伝えるべき最優先事項ともいえるでしょう。不正アクセスは「権限を持たない人間がシステム内部に入り込んだ」ということ。情報の盗難や改ざん、マルウェア感染、システムの異常がいつ起こってもおかしくない状態です。気が付いた本人がすぐに正しく動かなければ、大きな損害につながります。この記事では、不正アクセスされたときの対処法をくわしく解説します。落ち着いて確実に対処できるように手順を頭に入れておきましょう。1.不正アクセスされたときの対応手順まずは、すぐにネットワークから遮断しましょう。不正アクセスは「アクセス権限のない人間がシステム内部にいる」状態です。データの盗難や改ざん、マルウェアの感染と拡大、システムの停止など大きな被害を防止するために端末の隔離を優先します。被害を最小限に抑えるには不正アクセスに気づいた時点で、すばやく正しい手順で対処することが大切です。「①遮断、②パスワード変更、③報告」は特に迅速に行いましょう。不正アクセスされたときの手順サーバや端末をネットワークから遮断パスワードを変更する関係者や上司、セキュリティ担当に報告原因を調べる(マルウェア感染・情報漏洩など)被害状況を調べ・証拠を保存する復旧作業を行う警察へ連絡する再発を防ぐ対策をするこれらの手順について、次章からより詳しく解説していきます。2.不正アクセスされたら「被害の拡大防止」が最優先不正アクセスを発見して最初に考えるべきことは「被害の拡大防止」です。下記の手順を何よりも優先しましょう。サーバや端末をネットワークから遮断すぐにサーバや端末をネットワークから遮断します。「不正アクセス」と確定していない時点でも動きましょう。もし拡散型のマルウェアで攻撃されていたら、ネットワーク全体が被害を受けることになります。パスワード変更現在のパスワードは入手されている可能性が高く、攻撃者にパスワードを変更されてしまうと、こちらがログインできなくなります。早急に分かりにくいパスワードに変更しましょう。不正アクセスの報告ネットワークからの遮断とパスワードの変更が済んだら、感染拡大防止と対処のため関係各所へ連絡します。職場によって違いはありますが、企業端末の場合は下記3か所への報告が一般的です。上司同じネットワークを使用している全スタッフセキュリティ担当3.次に不正アクセスされた原因と被害を調べる端末の隔離や報告が終わったら、原因と被害状況を調べます。不正アクセスの原因を調べる不正アクセスの原因はこのような方法で調べます。不審なファイルやサイトの開封履歴はないか通信履歴のあるサイトやメール相手にも被害がでていないかセキュリティ上の脆弱性(古いOSやアプリなど)がないかIDやパスワードが漏洩する機会がなかったか(人的要素も含める)ウイルススキャンでマルウェアを検出する※※ウイルススキャンでの確認はマルウェアの種類やソフトウェアの性能によっては検出できない場合もあるので注意しましょう。被害状況を調べる覚えのないパスワード変更通知やパソコンの動作異常などで不正アクセスに気づくケースが多いようですが、その他の被害も潜んでいる可能性が高いので注意深く調べましょう。企業でよくある被害は以下の通りです。Webサイトの改ざん(マルウェアの感染経路にされる)データの改ざん・破壊・流出データ破壊による身代金要求(ランサムウェア)個人情報・機密情報の漏洩遠隔操作による不正送金企業アカウント盗難による「なりすまし被害」 など通報のために証拠を保存する不正アクセスは「不正アクセス禁止法違反」にあたる犯罪です。各都道府県の警察に設置されたサイバー犯罪相談窓口への届け出が必要となります。証拠保存のためサーバログのバックアップをとりましょう。警察のサイバー犯罪相談窓口は不正アクセスの対処や復旧の相談にものってくれます。4.不正アクセスの復旧と防止対策は専門家へ不正アクセスが日常的に増えているとはいえ、オフラインにした後の対応は自分では難しいと感じる方も多いでしょう。不正アクセスの被害の確認はデータの異常有無やメールの送受信点検など多岐にわたり、「マルウェア感染があった」ともなれば駆除や復旧にさらなる専門知識が必要です。また、復旧後は再発防止のために脆弱性を見直し、新たな対策をたてなければなりません。社内にセキュリティ部門がない場合は、外部の保守サービスの利用がおすすめです。月3万円程度の費用で不正アクセスの被害検証からサイトの死活監視、今後のセキュリティ対策まで丸ごと任せられます。オプションで障害発生時の復旧まで受けられる手厚いサービスもあります。日々手口が巧妙化している不正アクセスに、通常業務をこなしながら万全の対策をするのは難しいものです。専門家の手を借りることも視野に入れましょう。5.まとめ不正アクセスをされたら、まずネットワークから遮断しましょう。乗っ取りやマルウェアの被害拡大を防ぐために「遮断→パスワード変更→報告」の手順で対処することが大切です。それらが済んだら、落ち着いて原因の究明や被害状況の把握を行います。セキュリティ対策ソフトウェアでのマルウェア検出や人的要因の可能性までしっかりと調べ、警察へ届け出るときの証拠としてログの記録もとっておきましょう。これらの不正アクセスへの対応は専門知識がないと難しい場合もあります。不安がある場合は保守サービスの利用も検討しましょう。対処復旧から今後の対策まで、かなり頼りになるはずです。
  • CMSセキュリティリスク

    2024.02.16 WEB制作

    CMSのセキュリティリスク|種類ごとの危険性・対策を紹介
    CMSはContents Management Systemの略。Webサイトの更新と管理を助けてくれるシステムのことです。代表的な例としてWordPressをご存知の方も多いのではないでしょうか。基本的にインターネットを通じて利用するシステムなので、サイバー攻撃や内部の情報漏えいなどのセキュリティリスクにさらされることもあります。CMSでも種類によって生じやすいリスクや対策が若干変わってきますので、しっかり把握しておくことが大切です。この記事ではCMSのセキュリティリスクについて、種類ごとに分かりやすく解説します。1.CMSは種類によってセキュリティリスクが異なる?CMSは日本語で言うと「コンテンツ管理システム」の略称です。CSSやHTMLへの専門知識が必要なサイト制作を管理システム内で簡単に行えることから、現在ではサイト作りのために多くの人が導入しています。しかし、運用者の中にはセキュリティリスクに無知な人もおり、サイバー攻撃の被害に遭うケースも少なくありません。企業のサイト運用でありがちなのは、担当者が売上アップを狙えるコンテンツ(記事など)の制作にリソースを割きすぎて保守に手が回っていないパターン。特にWordPressなどのオープンソース型CMSでは自主的なセキュリティ管理が肝要です。>>>WordPressのセキュリティリスクについてはこちらから<<<CMSの種類・メリットとデメリット種類メリットデメリットオープンソース型カスタマイズ性が高い自主的なセキュリティ対策が必要パッケージ型ベンダーによる安全対策が整っている自主サーバーの整備が必要クラウド型サーバーがなくても安価or無料カスタマイズ性が低いCMSは大きく分けてこの3種類。それぞれの特徴について詳しくは後述しますが、最もシェアが大きいのは無料で誰でも使えてカスタマイズもしやすいオープンソース型のCMSです。2.オープンソース型CMSのセキュリティリスクオープンソース型CMSにもさまざまな種類がありますが、その中でも一番多くの人に使われているのはWordPressです。W3Techsのデータ※によれば、CMSで制作したサイトのうち62.8%はWordPressを使っているそうです。シェアが大きい上、以下のような問題点があるためセキュリティリスクは比較的高いと言えます。もちろん安全に利用しているユーザーもたくさんいますし、必ずしも危険というわけではありません。WordPress向けの保守サービスを提供している会社としては、セキュリティ対策を認識せず脆弱性を突かれて攻撃を受けるWebサイトが多いことは非常にもったいなく思います。「サイトを作ったら終わり」ではなく、以下のようなセキュリティリスクを踏まえたうえで一定の対策を講じる必要があることは認識しておきましょう。コードが公開されているオープンソース型CMSの特徴はカスタマイズ性の高さです。Webサイトを構築するためのコード(具の中身)は基本的にどのサイトも同じで誰にでも見られる状態になっています。攻撃者から見ると脆弱性を突きやすい状況だと言えるでしょう。プラグイン・モジュールなどから侵入されやすいオープンソース型CMSはあらかじめサイトを作るための基本的な機能を搭載した状態で誰でもダウンロードできるよう公開されていますが、便利に使うためにはカスタマイズが必要になります。オープンソース型では、追加で機能が必要になった時のために拡張機能が使えるようになっていることがほとんどです。ツールによってプラグイン・モジュールなどさまざまな言い方はありますが、「誰でも作れる」「他の人とも共有できる」拡張機能であることは共通しています。拡張機能はCMSの開発者でなくとも自由に作ることができますし、中には作るだけ作って更新を放置してしまう人もいます。オープンソース型の場合、こういったプラグインやモジュールの脆弱性から攻撃を受けるリスクがあるのです。対策を十分にしていない人が多いオープンソース型CMSのサイトで被害を受ける人が多い一番の理由は、シェアの大きさと参入のハードルの低さゆえに対策のやり方を分かっていない初心者でも簡単に導入できてしまうためです。特にWordPressは対策の浅さが原因でセキュリティが甘い状態になっているサイトが多く見られるので、「狙われやすい」と言われがちです。実際、バージョンの管理をしていないようなサイトがどんどん標的になっています。>>>WordPressの脆弱性事例<<<3.パッケージ型・クラウド型(SaaS型)CMSのセキュリティリスクパッケージ型、クラウド型のCMSはオープンソース型CMSと違い、制作と管理を担う企業(ベンダー)が存在します。そのため、基本的には自社でセキュリティ対策に割くリソースは少なくなるでしょう。その分カスタマイズ性が下がり、高度な拡張機能の搭載には比較的高額なオプション代が必要になります。パッケージ型CMSの特徴ベンダーが独自に開発したCMSライセンスを購入し、自社サーバーにインストールするタイプのCMSです。オープンソース型はフォーム機能やデザインのカスタマイズなどの基本要素を拡張機能によって補う必要がありますが、パッケージ型の場合はあらかじめ必要な機能が搭載されています。CMSをインストールするサーバーを運用側で調達・管理することが前提になっているので、サーバーを自社で用意できる中~大規模サイトに利用されることが多いのが特徴です。クラウド型(SaaS型)CMSの特徴ベンダーが制作したCMSをインターネット(ブラウザ)経由で利用できるのが特徴です。パッケージ型と違って自前でサーバーを用意する必要がないので、小規模なサイトや個人ブログ運用にも手軽に利用できます。ただし、カスタマイズの自由度はかなり下がることには注意が必要です。代表的なクラウド型CMSといえば、「WordPress.com」。初心者には混同されがちですが、「.com」の方はWordPressと同じ開発者がオープンソース型のWordPressをクラウドで使える形にしたサービスです。オープンソース型CMSとの違い、セキュリティリスクパッケージ型CMSもクラウド型CMSもベンダーが提供するシステムを利用するという点が共通しています。オープンソースと比較すると自由度が低くなる分、比較的セキュリティリスクは低いと言えるでしょう。ただし、セキュリティリスクがゼロになるわけではありません。パッケージ型はサーバー等への不正アクセスの対策やアップデートなどのメンテナンスは自社で行う必要があります。クラウド型は自社サーバーがなくても利用できますが、サービスを提供しているベンダーのセキュリティ対策や有事のサポート制度によるところが大きいのがセキュリティ的なデメリットになりうるでしょう。サイト制作が終わった後にCMSを乗り換えるのは至難の業なので、これからサイトを作る方は熟慮して利用するCMSを決めるべきでしょう。4.CMSのセキュリティリスクを回避する対策CMSはインターネットを通じてサイト制作を管理するシステムなので、利用するうえではどうしてもセキュリティリスクが生じてしまいます。では、どんな方法を取ればリスクを回避できるのでしょうか。自社に合ったタイプのCMSを取り入れるどのタイプのCMSも一長一短。「これを選んだら安全」ということもないので、作りたいサイトの形式や制作環境に応じて使い分けるのが大切です。それぞれのCMSの特徴を把握して、自社の求めるコンテンツに沿ったものを取り入れましょう。セキュリティ対策ソフトを導入する特に自分で環境を整えなければならないオープンソース型では、WAFやファイアウォールを設置して自分の身を守ることが重要です。例えばWordPressにはWAFをサイトのシステムに組み込めるプラグインなどもあるので、利用する場合は導入しておいた方がいいでしょう。(セキュリティ対策のプラグインについては「WordPressの安全を守る!セキュリティ対策プラグイン7選」で詳しく解説しています。)脆弱性情報を収集する脆弱性情報の収集も非常に重要です。特にオープンソースCMSの運用者は誰かが定期的にチェックしておくことをおすすめします。システム内の脆弱性は時間が経ってから見つかることもあるので、更新される情報についていかなければどんどん穴のあるサイトになっていってしまいます。セキュリティ対策をして終わりではなく、日々移り変わる情報を集めて対策することが大切です。アップデートを管理するアップデート(バージョンアップ)は新しい機能の追加のほか、セキュリティの脆弱性を修正する目的で実施されることも多々あります。そのため、アップデート情報が出たら可能な限り早く実装するようにしましょう。特にオープンソース型ではアップデート後に拡張機能との互換性の問題で表示崩れなどが発生するケースがかなりの確率(弊社エンジニアの体感だとメジャーアップデート時は40%くらい)で起こります。「サイトの表示を保ちたいから」という理由でバージョンをそのままにしてしまう事例が散見されますが、しっかり管理されていないサイトはサイバー攻撃を受けるリスクを増大させてしまいます。表示崩れ等が起こるのはある程度仕方のない現象ですので、放置せずしっかり対応するのが重要です。自社のリソースでアップデートの管理が難しいようなら、保守サービスの利用も検討してみましょう。定期的にサイトのセキュリティ診断を行うどんな形式のサイトでも、脆弱性診断を行うことでセキュリティの課題点を洗い出して改善することができます。また検索流入を増やしてコンバージョンを上げるには、表示スピードの改善などの対策も必要です。セキュリティ保守と並行してSEOの内部対策を行うのもおすすめです。5.まとめCMSにはオープンソース型パッケージ型クラウド型(SaaS型)の3種類があります。特にシェアの大きいオープンソース型はカスタマイズ性が高い分、対策を怠るとセキュリティリスクが高まります。しかし、どんなCMSであっても基本的なセキュリティ対策は非常に大切です。もし自社サイトのセキュリティへの対策が十分でないとお考えでしたら、保守サービスの利用をおすすめします。当社のサービスでは、WordPressはもちろんご相談次第で他のCMSの保守も代行できます。「自社のCMSに対応してくれるか知りたい」という方はまずお問い合わせください。当社の専門家が丁寧にヒアリングいたします。→WordPressサイトの無料セキュリティ診断はこちら※W3Techs+「Usage statistics of content management systems」
  • WordPressは狙われる?仕組みを解説

    2024.02.13 WEB制作

    WordPressが狙われるのはなぜ?仕組みを分かりやすく解説します
    「WordPressはセキュリティ的に危ない」「やめとけ」という言説はたびたび流布します。WordPressの保守運用サービスを提供する会社として本当のところは違うと考えていますが、実際のところWordPressがサイバー攻撃の標的になることが多いことは事実です。しかし仕組みを理解してどのような面に危険性が潜んでいるか知って対策できていれば、リスクをかなり低減させることができます。なぜ「狙われやすい」と言われるのか仕組みの側面から分かりやすく解説しますので、WordPressの安全性に不安がある方はぜひ参考にしてください。1.WordPressは狙われやすくて危険なのか?冒頭でも述べましたが、結論から言って「WordPressばかり狙われる」「危険だからやめるべき」というわけではありません。誰が作ったどんなツールにも弱点が存在します。攻撃を避けるために自分でコードを書いてサイトを作ったとしても、脆弱性のリスクがゼロになることは実質不可能です。しかしWordPressは構築の自由度が非常に高いため、その分リスクヘッジを自分たちでやらなければならないのも確かでしょう。サイバー攻撃の標的にならないよう、対策をしっかり行うことはとても重要です。→対策はこちら2.WordPressが狙われやすいのはなぜか?理由5選WordPressが狙われやすいと言われる原因は何でしょうか?簡単に説明すると「よく知らずに使っている人が多いから」です。具体的には、大きく分けて5つの要因があると考えています。無料ゆえにシェアが大きいW3Techsのデータ※によればWordPressの市場シェアは約62.8%。類を見ないほどシェアが大きいCMSです。利用者が多い端的な理由の一つは「無料だから」でしょう。サイトの構築にはサーバーやドメインが必要ですが、裏を返せばそれ以外の部分にはほとんどお金がかかりません。カスタマイズに必要なプラグインやテーマも無料のものがたくさんあるので、CMSの中では参入障壁がとても低いと言えるでしょう。利用者の多さゆえ、必然的に攻撃に遭うサイトのCMSを調べるとWordPressである可能性も高くなります。単純ですが、これが被害を受ける人が多いと言われる要因の一つです。更新せず放置している人が多いサイバー攻撃のターゲットにしやすいのは「セキュリティについて知らない人」です。そしてアップデート(バージョンアップ)の放置はセキュリティに無知であることを最も分かりやすく示す証拠になります。まずはWordPressの仕組みから考えてみましょう。アップデートには脆弱性を修正するという大切な役割もありますが、オープンソースという性質上強制的に適用されることはありません。バージョンの更新はあくまで自己意思によって行わなければならないということです。マーケティング担当者がSEO対策やコンテンツ作成業務の一環でWordPressを使用している企業はかなり多いはずです。本来サイトの運用担当はシステムの更新・管理を担うはずですが、マーケティング担当者の最終ミッションは集客効果・売上効果アップなので、直接利益につながらない保守業務を怠りがちになります。したがって、何らかのエラーや表示崩れが起きるまで更新・管理を放置してしまう担当者が多いのが現実です。セキュリティリスクを考えると脆弱性を放置すべきではありませんが、シェアの大きさ故どうしても安全管理の重要性に気付かない運用者が一定数出てきます。そういう意味では、攻撃者から見たWordPressはネギをしょったカモがたくさんいる状態に近いのかもしれません。プラグイン・テーマに脆弱性があるWordPress本体(コア)は脆弱性が見つかってもすぐに修正されるため、2017年以降大規模なサイバー攻撃は起こっていません。しかしプラグインやテーマなどの拡張機能は誰でも作れるので、深刻な脆弱性が元から存在するパターンや後から見つかった問題を放置してしまうパターンも多いです。テーマとプラグインに生じる脆弱性は攻撃者に狙われやすい一因を作っていると言えるでしょう。プログラムの仕組みが分かりやすいWordPressはオープンソースのCMSです。「オープンソース」とはプログラムのソースを公開しているという意味であり、プログラムの設計が誰でも見られる・編集できる状態にあることが特徴です。WordPressが人気なのは管理のしやすさを優先して内部ファイルの設計を簡単にカスタマイズできる仕様にしているからですが、それゆえ攻撃者側から見ても脆弱性を突きやすいという代償を生み出しています。初期設定ではログイン画面のセキュリティが甘いWordPressは初期設定のままだとURLアドレス・ログインID・パスワードの3つを揃えるだけで誰でもログインできてしまいます。管理者権限を持つユーザーの管理画面に入ることさえできれば、内部の情報を入手するのは簡単です。サイトの改ざん、コンテンツの消去などはもちろん、サイトのシステム内部を経由して他のデバイスから情報を抜き取られてしまうかもしれません。3.WordPressの仕組み・狙われるポイントWordPressは動的CMSと呼ばれる区分のツールなので、運用者がCMSのインターフェイス(管理画面)から画像やテキストなどのコンテンツを入れることができます。管理画面からプラグイン、テーマの変更することで簡単にデザインや内部の設定をサイト上に反映できるので、初心者でも簡単にページをカスタマイズできるのも特徴です。そのため、CMSのデータベースを直接編集する知識がないまま運用しているケースも少なくありません。知識のなさを狙ってハッカーが攻撃を仕掛けてくるのです。セキュリティ保全を怠った場合、自社サイトが攻撃の対象になっても気が付かない可能性があるのも恐ろしいところです。4.今すぐできる!WordPressのセキュリティ対策誤解のないよう何度も言いますが、「WordPressだから狙われやすい」ということはありません。セキュリティに予算を割き、安全にサイトを運用している企業もたくさんあります。ご自身が運営しているWordPressのサイトにセキュリティ的な懸念があるようでしたら、まずは以下の対策がきちんとできているか確かめてみましょう。プラグイン・テーマを管理するプラグイン・テーマの放置はサイトに脆弱性をもたらす一番の原因です。入れたら終わりではなく、管理する必要があることを忘れないでください。具体的には以下の項目を実行できるとよいでしょう。●使わないものは削除保守の対象となるサイトの中には使っていないプラグインを「無効化」のまま放置しているパターンが散見されますが、無効化にしたプラグインからも脆弱性をかいくぐられる可能性は十分あります。使わないことが分かったら削除するようにしてください。●長期間更新されていないものは使わないWordPressのテーマやプラグインはバージョンアップに合わせたり、発見された脆弱性を修正したりするために定期的な更新が必要になります。しかし、もちろん義務ではないので中には長期間更新されていないものもたくさんあります。おすすめ記事などで過去に紹介された有名なプラグインであっても、1年以上更新されていなければ使わないようにしましょう。●セキュリティ系のプラグインを入れる先述したように、初期設定の管理画面は不正アクセスを受ける可能性が高まります。その他にもWAFの設置などセキュリティ強化の機能が入ったプラグインの導入は必須です。>>>おすすめセキュリティ対策プラグイン記事はこちらから<<<常に最新バージョンを保つWordPress本体(コア)もプラグイン・テーマも、アップデートがあればできるだけ早くインストールするよう心がけましょう。たまに「表示崩れするから」などの理由でアップデートを放置してしまう運用者も見受けられますが、もし自分で管理が難しいなら外注での保守も検討すべきです。>>>自社サイトの更新を代行!保守サービスについて詳しく知る<<<ID・パスワードを管理する生年月日、1234など推測されやすい文字列を使ったパスワードは危険です。また、ログインのためのIDをドメイン名にしているのも危険なのでやめた方が良いでしょう。従業員のパスワード管理基準を明確にするために、規定を明文化したパスワードルールを作るのも一つの手です。セキュリティ診断をするセキュリティ診断を行うと、サイトに隠れた脆弱性を簡単に見つけることができます。特に初心者の運用はセキュリティリスクを見落としていることが多いため、企業サイトを安全に保守したい場合は定期的にプロに問題点がないか見てもらった方が安心です。>>>無料セキュリティ診断はこちらから<<<5.まとめWordPressが狙われやすいと言われる理由は、端的に説明すると「セキュリティについて知らずに運用している人がたくさんいるから」です。セキュリティ対策をしっかり行い、自分の身は自分で守る体制ができていればリスクが高すぎるということはありません。裏を返せば、セキュリティに予算を割かない企業はWordPressの運用には向いていないと言えるでしょう。「自社で運用しているWordPressサイトのセキュリティに不安がある」という方は、今からでも保守管理を行うことをおすすめします。※W3Techs+「Usage statistics of content management systems」
  • WordPress セキュリティ対策 プラグイン

    2024.02.13 WEB制作

    WordPressの安全を守る!セキュリティ対策プラグイン7選
    WordPressを安全に運用するにはさまざまな面でのセキュリティ対策が不可欠です。しかしサイト運用の初心者にとっては難しい対策方法もあり、どうすればいいか分からないと悩んでいるWEB担当者は多いのではないでしょうか。「何の対策もできていない」とお思いでしたら、まずWordPressの拡張機能であるプラグインを利用して基本的なセキュリティを整備しましょう。1.セキュリティ対策プラグインは必要不可欠WordPressは何の対策もしていない初期設定だとセキュリティが十分とは言えません。例えば、WordPressの管理画面へのURLは初期設定だとサイトのドメインから簡単に推測できる仕様になっています。ログインページから不正アクセスを試みるサイバー攻撃(ブルートフォース攻撃など)は管理画面に入らなければ実行できないため、ログインURLを変更することが一定のセキュリティ保護につながるでしょう。サイバー攻撃についての詳細は「サイバー攻撃の種類をカテゴリごとに分かりやすく解説!」でもご紹介しています。興味があればぜひこちらもご覧ください。ログイン画面のカスタマイズは内部のファイル(.htaccess)を編集することでも可能になりますが、知識のない人がコードを直接いじるのはおすすめできません。WordPressはプラグインの導入であらゆる機能を強化できるのが利点でもあるので、どんどん入れて使いましょう。(ただし入れすぎは脆弱性を生む要因になりますし、サイトの表示スピードが遅くなるリスクもあります。必要ないものは入れないようにすることも重要です。)今回紹介するプラグインだと「SiteGuard WP Plugin」で管理画面をカスタマイズできます。特にセキュリティ関連のプラグインはどんなサイトにも適用できるので、もし入っていないプラグインがあれば導入しておくことをおすすめします。おすすめセキュリティ対策プラグイン一覧おすすめ度プラグイン名主な機能★★★★★SiteGuard管理画面のカスタマイズ★★★★★Wordfenceサイバー攻撃防止★★★★☆BackWPupデータのバックアップ★★★★☆Easy Updates Manager自動更新アシスト★★★★☆Akismetスパムコメント防止★★★☆☆Meta Generator and Version Info Removerバージョン非表示★★★☆☆Two-Factorログイン二段階認証2.【導入必須編】WordPressセキュリティ対策プラグインまずは導入ほぼ必須の基本プラグインをご紹介しましょう。これから挙げるもの以外にも類似するプラグインはいくつかありますが、今回は当社のセキュリティ保守エンジニアが実際に導入しているものをピックアップします。SiteGuard:管理画面のカスタマイズ管理画面をカスタマイズすることができるプラグインです。先述したようにデフォルト設定だとログイン画面から不正アクセスされやすいので、ぜひインストールしておきましょう。●主な機能URL変更管理ページへのアクセス制限画像認証追加ログインアラート(メールでの通知) などWordfence:サイバー攻撃防止セキュリティ全般を保護してくれる便利なプラグイン。セキュリティ機能を提供しているプラグインは多種ありますが、当サイトではWordfenceを使っています。さまざまなセキュリティを一括で実装してくれる上、アップデートも頻繁にあるので安心して使えるプラグインです。●主な機能WAFの設置ファイアウォールの設置マルウェアスキャンログイン二段階認証RECAPTCHA(フォームの不正アクセス防止)侵入アラートテーマ、プラグインの脆弱性監視、通知 など有料版と無料版がありますが、基本的な機能は無料版でも揃っています。3.【導入推奨編】WordPressセキュリティ対策プラグイン導入推奨編のプラグインは利用している機能やサーバーの仕様によっては導入をおすすめしているものです。必要なければ入れなくても問題ない場合もありますが、基本的には入れておいたほうがよいでしょう。当社の保守サービスでは、サイトの状況を見つつ基本的にBackWPupとEasy Updates Managerの導入をおすすめしています。BackWPup:データのバックアップアップデート時の障害やサイバー攻撃の被害にあったときなどには、まず元あったデータを復元する必要があります。レンタルサーバー(ホスティング)と契約している場合は利用しているサービスによってバックアップ機能がついていることもありますが、自社サーバーを使っている場合や契約サーバーにバックアップ機能がない場合は導入必須のプラグインです。Easy Updates Manager:自動更新アシストWordPressの本体(コア)は自動更新設定が可能で、プラグインとテーマも自動更新機能がついているものも多くあります。しかし中には自動更新機能がデフォルトでついていないものもあるので、このプラグインを使って自動更新を管理しておくとよいでしょう。自動更新によってアップデートのし忘れによる脆弱性の発生を防ぐことができます。プラグインの自動更新については「【WordPress担当者必見】プラグインの自動更新機能について!停止方法も解説」もご覧ください。Akismet:スパムコメント防止スパムコメントを自動的にスパムフォルダへ振り分けるプラグイン。ブログやオウンドメディアなどを運用していてコメント欄を実装している場合は導入必須です。コメント欄がない場合は入れなくてもよいでしょう。4.【あったら便利編】WordPressセキュリティ対策プラグインここからはサイトのセキュリティをさらに強化するためにあったら便利なプラグインをご紹介します。先述しましたが、プラグインはたくさん入れすぎるとサイトが重くなってしまう可能性もあります。デメリットも考慮したうえで導入してください。Meta Generator and Version Info Remover:バージョン非表示WordPressのバージョンを外部から非表示にしてくれるプラグイン。バージョンの非表示はプラグインを使わなくてもテーマのファイル(functions.php)の記述を変更すれば比較的簡単に実装できます。しかし、「コードを編集するのは怖い」という人は導入しておくといいかもしれません。ただし24年2月時点で半年間アップデートの通知がないので、これ以上未更新の状態が続くようならインストールはやめておいた方がいいでしょう。導入を検討している方は最新の更新情報を確認してみるのをおすすめします。Two-Factor:ログイン二段階認証現在はWordFenceに二段階認証システムが搭載されているため、基本的には必要ないプラグインです。ただし、Wordfenceの二段階認証はアプリを導入しなければならないワンタイムパスワード式で少し手間がかかるので、メール認証、セキュリティキーの認証など違う手段でログインしたい方におすすめです。5.まとめWordPressのセキュリティ対策にはプラグインの導入が欠かせません。管理画面のカスタマイズやWAFを設置できるプラグインをインストールすることで、ある程度のセキュリティを確保することができます。まだ対策がきちんとできていない方は早めに導入しておきましょう。ただし中には機能が被っている場合や、サイトの軽量化などを考えるとプラグインではない方法で実装した方がよい場合もあります。また、「入れたから安全」というわけでもありません。プラグインだけでは回避しきれない攻撃がある点にも注意しましょう。管理が難しいと思うのであれば、サイト保守に代行してもらうのも一つの手です。特に自社サイトの運用に手が回っていないようなら導入を検討してみてください。
  • WordPress エラーの原因 解決方法

    2024.02.13 WEB制作

    【初心者向け】WordPressでエラーが発生する原因と解決方法を解説
    WordPressでエラーが起こってしまい、困った経験はないでしょうか?自社サイトの運用では、特にマーケティングやコンテンツ制作の担当がエラーに遭遇して立ち往生してしまう場面をよく見かけます。WordPressに詳しいシステム担当がいなかったとしても、意外と簡単に解決できることがあります。まずはこの記事で紹介する方法を試してみましょう。この記事で紹介するのはあくまで初心者向けのエラー解決方法です。サイトの構築に深刻な問題がある場合、外部から攻撃を受けた場合などはむやみにサイトを触らず専門家に相談してみましょう。WordPressのサイトにエラーが発生する原因エラーの発生原因は大きく分けて5つ。もし原因が分かっていれば、生じている問題に合わせた解決方法を試してみましょう。もし分からない場合は①から順に確かめてください。また、WordPress側でエラーを検出した場合は管理者宛てにメールが届くかもしれません。まずはメールボックスを確認することをおすすめします。→メールが届いている場合の対処法はこちら①プラグイン、テーマに問題があるWordPressに何らかの異常があるときはまずプラグインとテーマが原因であることを疑ってみましょう。互換性の問題やバージョンが古いなどの理由でエラーが発生している可能性があります。まずは管理画面のプラグイン設定からプラグインを全て無効化し、エラーが解消するか試してみてください。(管理画面に入れない場合はデータベース内の情報を変更することで無効化させるという手段もあります。ファイルの編集ができる方は「wp-content/」>「plugins」のフォルダ名を別の名前に変更してみましょう。)プラグインを無効化によってエラーが解消した場合はいずれかのプラグインに問題があったということになります。テーマの場合は一旦テーマ設定をデフォルトにしてみましょう。それで解決すればテーマがエラーの原因です。→解決方法はこちら②メモリ制限がかかっているWordPressではデータを保存するためにメモリを使用するのですが、サイト規模が大きい場合や複雑なプログラムを実行するとより多くのPHPメモリを消費する場合があります。あらかじめ設定されているメモリ上限を超えると、サイトに紐づいているPHPが操作を実行できずにエラーが発生してしまいます。プラグイン・テーマが原因ではなかった場合はメモリの上限を超えていないか確認してみましょう。WordPressのPHPメモリ上限は、管理画面の「ツール」>「サイトヘルス」>「情報」>「サーバー」で確認することができます。多くのサーバーのデフォルト設定が256Mなので、それを下回っている場合はPHPメモリ上限がエラーの原因になっているかもしれません。→解決方法はこちら③サーバーにエラーが起こっているWebサーバー内でプログラムが正しく動作しない場合に発生するエラーです。サイトを表示しようとすると500エラーが出てくるようなら一時的な負荷が原因かもしれません。その場合は数分待てば解消されることも多いです。時間をおいても解決しないタイプのエラーは多くの場合ファイル内の記述ミスで発生します。特に「.htaccessファイル」はアクセスの制御ができるファイルなので、入力エラーが発生するとサイトにアクセスできなくなるなどの異変が起こりやすい傾向にあります。→解決方法はこちら④入力するログイン画面のURLを間違えているサイトは正常に表示されるのにログイン画面にエラーが出ている場合は、ログインのURLを間違えている可能性があります。かなり初歩的なことかもしれませんが、管理画面へのログイン設定をいじったときなどは意外とありがちなミスです。心当たりがあれば一度確かめてみるとよいでしょう。→解決方法はこちら⑤サイバー攻撃を受けた可能性を疑う①~④までの原因に当てはまらない場合、サイバー攻撃の影響を受けている可能性も考えられます。不正アクセスを受けてサイトを乗っ取られた不正ログインを試みた攻撃者によって制限がかかったという場合は、初心者では対応しきれないことがほとんどです。むやみにサイトを触るとマルウェアに感染するなど被害が拡大することもあるので、心当たりがあれば自分で解決しようとせず専門家に相談することが重要です。WordPressからメールが届いている場合の解決方法技術的なエラーが発生した旨のメールが管理者宛てに届いた場合は、メールの指示通りリカバリーモードで修復しましょう。リカバリーモードにアクセスできるリンクは有効期限1日しかありません。セッションが切れた後もう一度エラー画面を表示させると再度リカバリーモードのページに入ることができますが、いずれにせよなるべく早急に修復しましょう。原因①「プラグイン・テーマに問題がある」の解決方法その場合は一つずつ有効化していき、都度サイトを更新していってください。有効化してエラーが発生したら、そのプラグインが原因だったということになります。該当プラグインは削除し、代替を探すなどして解決しましょう。カスタマイズしている場合はデータ内の問題を探るか、親テーマそのものに問題があった場合は新しいテーマに変更するしかないでしょう。原因②「メモリ制限がかかっている」の解決方法容量の少ないサーバーを契約している場合はリソースが不足している可能性があるので、ホスティングの場合は契約しているサーバーに問合せてみるとよいでしょう。自分でPHPメモリを増やしたい場合はwp-config.php というファイルを編集すれば上限を増やすことができます。原因③「サーバーにエラーが起こっている」の解決方法サーバー内部のデータ記述に問題がある場合はログを確認したり、データベースを確認・編集したりする必要があるので、初心者が自力で解決を試みるのはおすすめしません。疑わしい事態の場合は専門家に相談すべきでしょう。ただし、レンタルサーバー(ホスティング)の有効期限が切れていたという場合は再更新すればすぐに解消できます。契約しているサーバーを一度確認してみましょう。また、一時的にサーバーがダウンする「500エラー」が頻繁に起こる場合はサーバーのスペックが足りていない可能性があります。スペックの高いサーバーに乗り換える検討をしてください。原因④「入力するログイン画面のURLを間違えている」の解決方法通常、ログイン画面のURLはhttps://ドメイン名/wp-login.phphttps://ドメイン名/サブディレクトリ名/wp-login.phpになっているはずです。タイプミスで入力を間違えるパターンは意外とあるので、入力しているものが間違っていないか確認しましょう。またセキュリティ対策でログイン画面のURLを変更したあと気付かずに前のURLを入力してしまうパターンもたびたび見られます。ログインURLを変えた場合はWordPressからメールが届いているはずなので、一度確かめてみてください。まとめWordPressでエラーが発生した場合は原因に合わせて簡単な対処法から試してみましょう。ただし、「サイバー攻撃を受けた」「復旧が難しい」「原因が分からない」といった場合は初心者では解決が難しいと思いますので、プロによる診断・復旧をおすすめします。当社でもサイト復旧やエラーを未然に防ぐ保守サービスを提供しておりますので、お困りの際はぜひお問い合わせください。
  • 標的型攻撃攻撃とは?手口・対策

    2024.02.08 WEB制作

    標的型攻撃とは?種類や手口、企業が行うべき対策を教えます
    サイバー攻撃の手法は日々複雑化してきており、その中でも標的型攻撃は見分けがつきづらく悪質です。あなたはどんな手段で攻撃者がセキュリティの穴を潜り抜けるか知っていますか?「自分の会社は大丈夫」などと他人事に考えている人も多く、会社組織として対策を講じず担当者の裁量に任せた結果、多額の損害を抱えてしまう事案もたびたび見られます。手口を学んで想定される被害に応じて対策をすれば最悪の事態に及ぶリスクを減らすことができますが、なかなか周知されていないのが現状です。この記事ではサイバー攻撃の一種である「標的型攻撃」について、種類や手口をくわしく解説します。企業が行っておくべき対策もお伝えしますので、ぜひ参考にしてください。1.標的型攻撃とは?|手口と特徴標的型攻撃は特定の組織・個人をターゲットにしてサイバー攻撃を行う手口のこと。無作為にメールを送る「ばらまき型攻撃」と比較すると、攻撃の見分けがつきにくいのが特徴です。>>>サイバー攻撃の種類について詳しくはこちら<<<IPAが2023年に発表した情報セキュリティ10大脅威ランキング※1では、3位に「標的型攻撃による機密情報の窃取」がランクインしていることからも、攻撃としての危険性が分かります。具体的な攻撃の手口メール等を利用し特定組織のPCをウイルスに感染させる組織の機密情報窃取やシステムの破壊を行う などシステムに侵入後すぐに被害をもたらす攻撃以外にも、内部システムに潜入して攻撃の範囲を徐々に広げる「潜伏型」と呼ばれる手法もあります。2.標的型攻撃の種類あらかじめターゲットを定めてからサイバー攻撃を行うことをおおまかに「標的型攻撃」と呼びますが、さらに具体的な攻撃の種類を細かく分けることもできます。メールによる攻撃(標的型攻撃メール・スピアフィッシング)不正な添付ファイルを開かせる不正なウェブサイトへのリンクをクリックさせる など何者かになりすまして標的にメールを送信し、情報の窃取などを行う攻撃を「標的型攻撃メール」「スピアフィッシング」と呼びます。オーストラリアのITセキュリティ企業バラクーダが行った調査※2によれば、およそ75%の企業が過去12ヶ月以内にメール攻撃の被害に遭ったと回答したそうです。そのうち55%が「機器のマルウェア/ウイルスへの感染」、49%が「機器データの盗難(情報漏えい)」の被害に遭ったと答えていることからも、スピアフィッシングの悪質さがうかがえます。→対策はこちらビジネスメール詐欺関連会社やベンダー、内部の従業員などの信頼できそうな人物になりすましてメールを送る攻撃手法を特に「ビジネスメール詐欺」と呼びます。ビジネスメール詐欺の恐ろしいところは実在する組織や人物からメールが送られてくる点です。何の関係もない企業から来たメールは「怪しい」と一目見て判別できますが、実際の取引先の企業の実在する人物から不審なメールが届いたら思わず信用してしまうのではないでしょうか?最近のフィルタリングサービスは不審なサイトのURLやマルウェアを仕込んだファイルが添付されていた場合、ツールが自動でスパム認定する機能がついています。明らかに不審な内容が含まれていればうっかり開かないようフィルタリングで除外できますが、ビジネスメール詐欺の中にはツールによる検知を防ぐために対策されたものもあるのが厄介なポイントです。悪意あるプログラムをあえて含まず、メッセージのやり取りのみで内部情報やアクセス情報を聞き出す手法を「ソーシャルエンジニアリング」と呼びます。ソーシャルエンジニアリング型の攻撃はツールでの察知が非常に難しいため、一人ひとりのリテラシーが重要になってきます。→対策はこちらサイト経由での攻撃(水飲み場攻撃)ターゲットとなる企業や組織をあらかじめ調査し、頻繁に利用するウェブサイトを閲覧するとマルウェアに感染するよう改ざんする手法を「水飲み場攻撃」と呼びます。自社の内部システムを強化している企業であっても、従業員がうっかりリンクを開いてしまうとそこから攻撃が広まってしまうという仕組みです。「いつも開くサイトだから大丈夫」「知っている企業のサイトだから安心」という心理を逆手に取った悪質な攻撃だと言えるでしょう。→対策はこちら不正アクセスによる攻撃サーバーの脆弱性を突いて不正にアクセスし、個人情報を盗んだりする攻撃手法もあります。最初の攻撃で内部システムへの侵入口を発見し、そこからさらに他の端末やサーバーに危害を加えることも。攻撃を受けた際「まずはインターネットから遮断してオフラインの環境にするべき」と言われるのはそのためです。→対策はこちら実際の事例①航空会社大手がビジネスメール詐欺で3.8億円の被害2017年、大手航空会社として知られる日本航空(JAL)がビジネスメール詐欺の被害に遭い、累計3.8億円の被害を受けたことが明らかになりました※3。普段やり取りしている取引先になりすまし、同じ名前とメールアドレスから請求書を送ってきたため詐欺に気が付かず、偽の銀行口座に送金してしまったとのこと。セキュリティ管理が比較的しっかりしている大手企業を巧妙に騙す悪質性の高い事例だと言えるでしょう。実際の事例②:不正アクセスからなりすましの二次被害発生2023年9月、人材採用サービスなどを手掛ける仕事旅行社が内部のサーバーに不正アクセスされるというサイバー攻撃を受けました※4。サービス利用者の個人情報33,670 件が流出した恐れがあるほか、会員の氏名を名乗る人物によって別の人のメールアドレスやオンライン掲示板に「爆破予告」など不安をあおる文言が送信されていたとのこと。窃取した個人情報をもとに別の二次被害が発生していることが分かります。このように一度サイバー攻撃を受けて盗んだ情報を踏み台に別の攻撃を行うパターンもあるので、未然に防ぐための対策だけでなく被害にいち早く気づくシステムづくりも重要です。3.標的型攻撃の対策攻撃手法ごとにとるべき対策は変わってきます。あらゆる可能性に備えておくようにしましょう。メール攻撃への対策スピアフィッシング、ビジネスメール詐欺などのメール攻撃を防ぐには、とにかく「来たメールに触らない」「報告する」ことが一番です。具体的には以下のような対策をとっておくべきでしょう。●社内ルールを徹底する怪しいメールは開かない受信した場合、誤って開いてしまった場合は報告する などどこの誰であってもアドレスさえ分かっていれば誰でもメールを送ることができるのはメリットでもありますが、「悪意ある人物からのメッセージを防ぎきれない」という弱点はどうしてもできてしまいます。まずは社内ルールを決め、リスクの周知と対策方法の共有を行うことが重要です。>>>社内ルールの策定方法について詳しくはこちらから<<<●対策ソフトを導入する社内ルールは重要ですが、攻撃を受けた際の報告と調査には手間と時間がかかります。対策ソフトを導入して「悪意あるものを振り分ける、共有する」作業を自動化することで、コスト・タスク削減にもつながるでしょう。WAF、ファイアウォールなどのセキュリティソフトフィルタリングサービスはメール等の安全性を担保するためにも最低限導入しておきましょう。近年のメールサービスの中には自動でフィッシングメールを振り分ける以上の機能をつけているものもあります。ユーザーが受信したメールを「攻撃」と判断して報告する機能や、不審なURLをクリックしてしまったときなどに自動でアラートを発動させる機能を搭載したフィルタリングサービスを利用すれば、管理の手間とリスクを減らすことができるのでおすすめです。●従業員向けのメール訓練を実施する標的型攻撃を想定してメール訓練を各従業員に送信します。正規のメールと区別がつくか、誤ってURLや添付ファイルを開いていないかなど、従業員のセキュリティ意識を実際にチェックすることができます。サイト攻撃・不正アクセスへの対策サイト攻撃への対策は個人レベル・端末レベルの保守では不十分です。エンジニアによる定期的な管理が前提となっていることは頭に入れておきましょう。●端末・サーバー等のアップデート端末・アプリ・サーバー何であってもアップデートの放置は脆弱性を生みます。「サイトへの不正アクセスを防ぐ」「閲覧者として不審なサイトに入らない」両方への対策としてこまめな更新が必要です。●対策ソフトを導入するサイト経由での攻撃は「運用側」「見る側」両方に被害を生みます。もちろん閲覧するサイトに注意するのも重要ですが、不正アクセスを受けて改ざんされた自社サイトが攻撃者になってしまう、といった被害を生むリスクも避けなければいけません。端末だけでなく、運用しているサイトや接続しているサーバーにも対策ソフトを導入しておきましょう。●アカウント管理を徹底するID・パスワードの使いまわしをしていないか、推測されやすいものをしていないか、など。特に乗っ取りが起きた場合に大きな被害を生む管理者権限アカウントは厳重に管理すべきです。●改ざん検知・監視ツールを入れるサイトが不正ログイン・改ざんされているかどうかは手動で判別するのは困難です。仮に手動で改ざん検知をしていたら余計な時間がかかることは必至でしょう。改ざん検知・死活監視のツールを入れて、異変が起こっていないか常に監視する体制を取るようにしましょう。●定期的なセキュリティ診断を行う上記の項目がきちんと達成されているか、更新された脆弱性に対応できているかは定期的にセキュリティ診断を行わなければ分かりません。「保守管理を外注に任せていたつもりが、脆弱性だらけだったことに攻撃を受けてから気付いた」というのは意外とありがちなパターンです。定期的な診断をするのが一番ですが、全くやっていないという企業は一度セキュリティ診断をしてみましょう。無料セキュリティ診断はこちらから。セキュリティ診断について詳しく知りたい方は「Webサイトのセキュリティ診断は必要?種類や価格の相場、チェック項目を紹介」をご覧ください。4.まとめターゲットをあらかじめ決めてから計画立てて攻撃を行う「標的型攻撃」は非常に悪質で、無差別なばらまき型よりも対策が困難です。しかし、従業員一人ひとりへの教育や強固なシステム構築によってリスクを最小限に抑えることはできます。どのような攻撃があるのか知っておくのも有効な対策です。サーバーやサイトの保守など、エンジニアによるセキュリティ管理が不十分だとお考えでしたら、ぜひ今からでも保守サービスの利用を検討してみてください。※1 IPA+「情報セキュリティ10大脅威2023 組織編」※2 Barracuda+「2023年 スピアフィッシングの動向」※3 日経クロステック+「JALが「信じ込んでしまった」手口とは、振り込め詐欺で3.8億円被害」※4 仕事旅行社+「不正アクセス者による情報の不正利⽤について」
  • あなたの会社は大丈夫?情報セキュリティインシデント

    2024.02.08 WEB制作

    情報セキュリティインシデントとは|企業がとるべき対策・発生時の対応
    企業が抱えるサイバーリスクは日々増加しています。従業員による情報漏えいからマルウェアなどを用いたサイバー攻撃まで、さまざまなインシデント(事故)に備えて対策しなければなりません。情報セキュリティインシデントについて知り、被害を未然に防ぐ対処法を学びましょう。1.情報セキュリティインシデントとは情報セキュリティインシデントとは、会社の情報管理について、重大な被害に進展しうる事故・事件を指します。セキュリティにおける脅威をただ単に「セキュリティインシデント」と呼ぶこともあります。情報セキュリティインシデントの具体例マルウェアに感染させるパソコンやサーバーなどへの不正アクセス従業員による情報漏えい(機密情報の誤公開・不正な情報持ち出しなど)従業員による情報漏えいの場合は悪意のない過失である可能性もありますが、それ以外は基本的にどれもサイバーセキュリティの穴から悪意ある攻撃が原因で発生します。インシデントの規模によっては業務に大きな支障が出ることもありますし、会社の存続を脅かす損害を与える可能性もあるでしょう。例えば不正アクセスを受けて顧客の個人情報を漏えいした場合、訴えられて損害賠償を負うリスクが生じます。情報漏えいのリスクについて、詳しくは「情報漏えいのセキュリティリスクを知っておこう|実際の事例・対策を紹介」で紹介していますのでそちらもご参照ください。[word_balloon id="unset" src="https://www.ecmarketing.co.jp/contents/wp-content/uploads/2024/02/icon_white-1-1.webp" size="M" position="L" radius="true" name="" balloon="talk" balloon_shadow="true"]WEB広告運用担当・ニャーケッターからのひとこと企業間においても、新規取引開始の際にインシデントについて確認される場面はとても増えている。とくにコンペ形式の場合、インシデントに対する管理体制で比較されることも多いから営業的観点でも重要なポイントにゃ。[/word_balloon]2.情報セキュリティインシデントの発生原因情報セキュリティインシデントが起こる原因は大きく分けて2つ。社内に問題があったか外部から攻撃を受けたかに分類されます。それぞれ具体的に何が原因になるのか見ていきましょう。①社内の人員に問題がある(内部要因)社内の人員が不注意によって情報を公開(漏えい)してしまったり、故意に持ち出したりといったインシデントは、従業員のセキュリティ意識が不十分であることが大きな原因となっていることが多いです。情報端末の紛失・盗難なども内部要因のインシデントにあたります。②外部の攻撃を受けた(外部要因)外部から攻撃を受けて情報を窃取されたり、システム障害が起こったりするパターンは外部要因に分類されます。直接的な要因は外部攻撃ですが、社外からの不正な行動を監視・排除できていない社内の体制が要因になっているとも言えるでしょう。3.情報セキュリティインシデントを防ぐ対策IPAが2021年に行った実態調査※1では、「情報セキュリティに関する専門部署(担当者を設置している)」と回答したのは全体のわずか7.7%。半数以上が「組織的には行っていない(各自の対応)」「わからない」と回答しています。つまり、日本の企業はまだまだ「セキュリティを組織的に向上させる」意識が低いということです。個人としての意識は徐々に向上しているものの、企業全体でのアプローチをもっと強めるべきでしょう。ここからは、社内でできる基礎的なセキュリティ対策をご紹介します。社内のデータ・情報を確認する情報漏えいへの対策として内部に保管されているデータや情報を把握し、管理できるような体制を作りましょう。ここでいう「データや情報」はコンピューター内に保管されている情報のことだけではありません。紙媒体やUSBなどに保管されているデータに関しても取り扱いのルールを決めましょう。確認後は重要性を分類し、それに応じた対策基準を決めるのが基本です。クレジットカード情報や宗教・病歴など機密性が高く、漏えいした際のリスクが大きいものは特にしっかりと対策をする必要があります。組織体制を整備する先述したように、セキュリティ部署を設置している企業はまだまだ少ないのが現状です。社内の規模にもよりますが、セキュリティ対策専門の部署を設置できるなら整備を進めた方がよいでしょう。セキュリティ対策に割ける専門のリソースがない場合は外部への委託を検討するのも一つの手です。ネットワークやシステムをすぐに復旧させられる人員・チームの配置は欠かさず行ってください。有事の連絡方法や指揮系統を明文化し、従業員同士で共有するのも大切です。端末やサーバーのセキュリティを高める業務用PC、サーバーで定期的にバックアップを取るセキュリティ対策ソフトを入れるデータの送受信時は暗号化通信を用いる(VPNを使用する)私用の端末で社内のネットワークに接続できないようにするなど、内部のシステムで被害を未然に防ぐ対策を行うことも非常に重要です。また、脆弱性に関する情報を定期的に収集して、セキュリティに新たな穴ができていないかチェックしておくのもよいでしょう。>>>脆弱性対策について詳しくはこちらから<<<4.情報セキュリティインシデントが起こった際の対応実際にインシデントが起こってしまった場合も「発生してからどう動くか」が被害の最小化に大きくかかわってきます。情報漏えいなどが起こってしまったときに求められる対応をあらかじめ知っておくことで、万が一の事態に備えましょう。①インシデントの発見・初動検知ツールや社内外からの通知でインシデントの発生に気付くパターンが多いでしょう。専門知識がない社員は通報があっても不用意に操作しないのが基本です。システム上に残された証拠が消えてしまわないよう注意を払ってください。●セキュリティ担当が行うべき初動対応サイトを閉鎖する端末をネットワークから遮断する(マルウェアの被害に遭っていることが想定される場合)セキュリティ対策機関への情報提供(同様の被害防止)取引先、顧客への情報提供警察への連絡(特に不注意による紛失、盗難の場合は早い方がよい)パスワードの変更、アカウントの停止重要な情報のバックアップ など求められる初動対応は発生したインシデントの種類によっても変わってきます。被害想定のマニュアルを作るのであれば、何種類かパターンを想定しておきましょう。②原因の調査・公表残された記録から被害をなるべく正確に把握します。「誰が」「いつ」「どこで」「何を」「なぜ」「どうしたのか」、この6項目を分析、記録するよう心がけてください。情報漏えいによる被害が大きくなると、別途公表する手続きを取る場合もあります。お知らせ文の作成や法律に照らし合わせた判断が必要になってくるので、公表には外部委託の専門家によるアドバイスを求めるパターンが多いでしょう。公表する場合、一般的には以下のような項目を含みます。インシデント発生の経緯、原因調査方法、システムの状況漏えいした情報の内容当面の対応策再発防止策問い合わせ窓口③システム・端末の復旧インシデントの影響を受けて停止したサービスやアカウントがあれば、復旧作業を行います。サイバー攻撃を受けた場合は特に復旧が困難です。セキュリティ保守の専門家が社内にいなければ、外部に委託することになるでしょう。④再発防止策の決定建物への侵入防止情報の保管・持ち出し方法の見直しウイルス対策製品の導入通信の暗号化やアクセス制御 など原因となった部分を改善する形で再発防止策を決定します。外部に大きな被害が及んでいる場合は再発防止策も公表するのが一般的です。5.まとめ情報セキュリティインシデントへの対策は現代の企業に不可欠です。まずは基本的な対処法を実践し、安全性を高めていきましょう。また、自社サイトの保守運用をしっかりと行うことがインシデント対策のアピールにもなります。サイト運用にはコンバージョンや流入数が重要なのも確かですが、セキュリティに無知なマーケティング担当のみで維持するのはあまりにも危険です。もし自社サイトのセキュリティ管理ができていないようでしたら、保守サービスの利用も検討してみるべきでしょう。万が一サイト経由で攻撃を受けた場合も適切に対応しやすいのもメリットです。※IPA+「2021年度 中小企業における情報セキュリティ対策に関する実態調査」
  • 2024.02.07 WEB制作

    マルウェアに感染した?診断と対処の方法を分かりやすく解説
    マルウェア感染が急拡大している今、少しでも違和感を覚えたらすぐに診断したいですよね。でもまずは、デバイスを「隔離」しましょう。マルウェアを検出している間にも感染は拡大します。隔離後に落ち着いて対処することが何より大切です。この記事では、マルウェア感染の診断方法と感染していた場合の対処手順をご紹介します。あせらずに対処すれば被害を最小限に抑えられるはずです。1.マルウェアは診断前にまず「隔離」と「報告」少しでもマルウェアに感染した可能性があったら、すぐにネットワークから隔離し、上司に報告しましょう。診断前の不確実な段階でも「隔離と報告」を優先し、被害を最小限にすることが重要です。デバイスに以下のような症状がみられたら、マルウェア感染を疑っていいでしょう。マルウェア感染の症状動作の遅延や前触れのないクラッシュ突然のシャットダウンや再起動不自然なバッテリーやメモリの消費エラーメッセージやポップアップの頻発サイトへアクセスできない、無関係なサイトへの移動覚えのない動作や送信がある覚えのないデータの変更や削除がある 見覚えのないファイルやスクリプトがある などこのような症状がでないマルウェアもあるため、当てはまらないからと安心してはいけません。何気ない違和感や同じネットワーク上のデバイスの不具合、不審な共有ファイルなどにも注意しましょう。2.マルウェアの診断方法マルウェア感染が疑われたら、隔離後にセキュリティツールでマルウェアの検知と感染箇所の特定を行います。マルウェアの主な診断方法は以下の4つです。無料セキュリティソフトでのスキャンパソコンに標準搭載されている無料ウイルス対策ソフトのスキャンを行います。Windowsの場合、「Windowsセキュリティ→ウイルス&脅威の保護→スキャン→オフライン スキャンWindows Defender→今すぐスキャン」の流れで実行できます。無料オンラインスキャンを利用するMicrosoftやトレンドマイクロなどPCやソフトウェアのメーカーホームページでは、Windows用マルウェア検知・駆除ツールを無料で提供しています。「無料オンラインスキャン」「無料ウイルススキャン」などで検索してみましょう。有料のセキュリティソフトを購入する無料のスキャンツールは性能が低いためマルウェアの種類によっては検知できない場合があります。確実に診断したいなら有料のセキュリティ対策ソフトの購入がおすすめです。オンラインでも提供されていますが高性能ツールは非常に少なく、新たなマルウェアの感染経路になる悪質なものも存在します。信頼できる店舗で手に入れる方が安全でしょう。保守サービスへ検知を依頼するマルウェアの中には、トロイの木馬やファイルレスマルウェアな検出や駆除が難しいものも増えています。確実に検知・駆除するのであれば保守サービスの利用が効果的です。マルウェアの診断はもちろん、感染対処や復旧、自社の環境に最適な対策まで依頼できるため今後の感染リスクを大幅に下げられるでしょう。3.マルウェア診断後の対処手順マルウェア診断で感染が確定された後は、以下の手順で対処します。【ステップ1】セキュリティツールで駆除する多くのマルウェアはセキュリティツールで検出後、自動駆除できます。しかし、マルウェアの種類によっては必要なプログラムが違うケースがあるので注意しましょう。マルウェアの種類と駆除に必要なセキュリティツールの一例●アドウェアアドウェア駆除機能があるアンチマルウェアプログラムが必要。●ウイルスまたはトロイの木馬ディープスキャンを実行できるウイルス対策プログラムまたはマルウェア対策プログラムが必要。●ワームワームを検出できる強力なアンチマルウェアソフトウェアが必要。マルウェアの種類について詳しく知りたい方は「マルウェアにはどんな種類がある?感染経路や症状、対策を解説」をご覧ください。【ステップ2】残った感染ファイルの駆除・隔離セキュリティツールで自動削除できなかった感染ファイルは、手動で隔離か駆除をします。確実に駆除するは専門知識が必要なため、セキュリティ部門や保守サービスなどに依頼すると安心です。完全に駆除できなかった場合はPCの初期化をすることになります。【ステップ3】マルウェア対策を強化するマルウェアの駆除が完了したら、再び感染しないように対策を強化しましょう。基本的な対策は以下の6つです。OSを常に最新に保つ定期的なウイルススキャン定期的なバックアップとサーバーログの保管社内ルールの見直し、周知と徹底最新セキュリティソフトの導入保守サービスの利用 これらを全社員で実行できるように社内ルールを設けて周知すること、保守サービスなどを活用し、いつでもプロに相談できる体制を整えておくことも重要です。4.マルウェアは診断も対処も保守サービスがおすすめマルウェアにはさまざまな種類があり手口も巧妙化しています。ファイルレスマルウェアやワームのように、一般的なセキュリティソフトでは診断・駆除できないものも多く、専門知識のない人が効果的な対策をとるのは非常に難しくなっています。セキュリティ部門がない場合は、マルウェアの検知や対処は外部の保守サービスの利用も視野に入れるといいでしょう。定期的なマルウェア診断やアップデート、脆弱性のスキャンと改善の他、感染時の対処まで丸ごと任せられます。費用も月額数万円程度からと手ごろなサービスも多いため、被害コストや日頃のマルウェア対策の労力も考慮して前向きに検討してみましょう。5.まとめ「マルウェアに感染したかも」と思ったらまず隔離と報告を行い、それから診断を始めましょう。感染拡大を防止することが何より大切です。マルウェアの診断方法は標準搭載のセキュリティソフトや無料オンラインスキャンを利用する方法もありますが、確実性や性能を考慮すると有料セキュリティソフトの購入や保守サービスへの依頼がおすすめです。マルウェアは種類によって駆除に必要なソフトウェアや手順が異なり、安全に行うには専門知識が必要です。今後の感染リスクを減らすためにも保守サービスの利用を検討してみましょう。
  • 知っておこう マルウェア 種類

    2024.02.07 WEB制作

    マルウェアにはどんな種類がある?感染経路や症状、対策を解説
    「マルウェア」は「悪意のあるソフトウェア(malicious software)」の略称です。ウイルスやワームなど様々なプログラムがあり手口の巧妙化に伴って種類が増え続けています。マルウェアの被害にあわないためには、よく使われるマルウェアの種類や特徴、感染経路を把握することが重要です。今回はいま知っておくべきマルウェアの種類と特徴について解説します。主な感染経路と感染時の症状、効果的な対策をご紹介するのでぜひお役立てください。1.2024年に知っておくべきマルウェアの種類13選2024年に注意すべきマルウェアの種類をご紹介します。特に1~5のウイルス、ワーム、トロイの木馬、ランサムウェア、ファイルレスマルウェアは被害件数が特に多く、内容も悪質なので対策は必須です。マルウェアの種類特徴主な被害1ウイルス感染例が最も多いマルウェア。自己増殖し、他のサイバー攻撃の引き金にもなる感染ファイルの実行によって行動を開始する。データ破壊システム停止情報の盗難 など2ワーム・自己完結型のマルウェアで急速に拡散・対策が非常に困難・ファイルの実行や宿主がなくとも自己増殖する・システムの占拠・アクセスの遮断・メモリの搾取・データの盗難・削除・改ざん・悪質ソフトの自動インストール など3トロイの木馬・正常なファイルやプログラム、サイトになりすまし実行させる・自己複製はしないが拡散しやすく防御が困難・よくハッキングの窓口に使用される・システムやデバイスの乗っ取り・機密情報の盗難・ネットワーク全体の感染 など4ランサムウェア・デバイスに自動でインストール・データを暗号化して復旧と引き換えに身代金を要求・1台の感染でネットワーク全体が標的になり、復旧はほぼ不可能・組織や企業の被害も急増中・データの暗号化・身代金被害・ハッキングによるサイト訪問者の誘導 など5ファイルレスマルウェア・正規のプログラムを利用して侵入・ファイル保存やインストールが不要で、メモリに直接入り込みコードをリモートで注入し拡散する・追跡や駆除が極めて困難・データの盗難・改ざん・レジストリ操作・他のマルウェアの検知・駆除の妨害 など6Gootloader・感染したWebサイトを信頼できると偽装させ感染拡散・複数サイトのCMSを変更し、検索上位表示を埋めて罠を仕掛ける・サイトのページファイルの改ざん・偽コンテンツの大量ダウンロード・サイト訪問者の誘導 など7スパイウェア・PCに限らずすべてのデバイスに自動インストールし情報を収集・盗難・デバイス本体に害はなく情報収集を目的とする・機密情報の漏洩、盗難・サイバー攻撃リスクの増加 など8アドウェア・広告作成を目的に閲覧履歴などの情報を収集・同意なしに広告主に情報を販売される可能性がある・個人情報の漏洩・ブラウザや検索エンジンの設定変更偽警告や広告の表示 など9マルバタイジング・金銭を支払った正規広告に仕込まれるマルウェア・クリックによってマルウェアのインストールや悪質サイトへのリダイレクトが実行される・広告表示のみで実行される場合も・他マルウェアの感染拡散 など10キーロガー・感染したユーザーの行動監視に利用・デバイスやオンライン上の行動追跡や機密情報の盗難にも・機密情報の盗難・行動や取引情報の漏洩など11ボット(ボットネット)・リモートでコマンドを実行するソフトウェア・アプリケーション・ボットの集まりを形成してすべての機器にアクセスし、遠隔で多くの攻撃を実行できる自己増殖型・遠隔操作によるシシステムの実行・DDoS攻撃 など12ルートキット・最も危険なマルウェアともいわれるバックドア・プログラム・管理者権限を含め完全にアクセスし、外部からのリモート制御が可能に・他のマルウェアの隠ぺいにも利用。・管理者権限を含めた乗っ取り・設定やデータの変更・機密情報の盗難・他マルウェアの拡散 など13SQLインジェクション(SQLi)・ウェブサイトの入力フィールドに悪意のあるSQLクエリを挿入・機密データへのアクセスやシステムファイルの復元、コア・データベースなどへのハッキングに利用アクセス権限・システム情報の変更機密情報の盗難ファイルの削除・復元・改ざんなど2.マルウェアの感染経路と症状マルウェアの主な感染経路と感染症状は対策する上で必須の知識です。効果的な対策と素早い対応が被害を最小限にくい止めます。主なマルウェアの感染経路●メールやSNSの添付ファイルやリンクメールやSNSからの事例がマルウェア感染の約9割を占めます。添付されたファイルやURLは信頼性をよく確認しましょう。●ソフトウェアのダウンロードソフトウェアのダウンロードと同時に感染するケースも後を絶ちません。特に無料ソフトウェアやアプリケーションには注意しましょう。●P2Pでのファイル共有P2P(ピア・ツー・ピア)とはサーバーを利用せず直接データのやりとりを行う通信方式です。脆弱性がある先との接続が感染源になり、不特定多数の端末が接続されているため感染拡大リスクが高いといわれています。 ●ローカルネットワーク1台のデバイスが感染するとネットワーク上のデバイス全体が一瞬で感染します。ネットワークに上げたファイル共有が感染源になるケースも多くみられます。●感染したデバイスやUSBの接続感染したデバイスやUSBを知らずに持ち込み、接続して感染する場合もあります。不特定多数の人間が使用するデバイスやそれに接続したUSB、出所が不明な記録媒体などは利用を控えましょう。●ソーシャルエンジニアリングソーシャルエンジニアリングは心理的な働きかけでユーザーを騙し、機密情報やデバイスへのアクセス権を手にする方法です。フィッシングメールや関係者に感染源になるUSBを拾わせるなど様々な手法があり、オフラインでも狙われる可能性があります。マルウェアに感染したときの症状以下のような症状がみられたらマルウェア感染を疑いましょう。パフォーマンスの低下不審なポップアップの表示電源が落ちる、起動しない、再起動を繰り返す覚えのない動きをするバッテーリーやストレージの容量が激減している覚えのないデータの消失や変更がある 特定のファイルが削除できない など症状が現れずにコードの実行やデータ抽出をするファイルレスマルウェアやスパイウェアなどもあるため、症状がなくても油断は禁物です。違和感がある場合はすぐに接続を切り、セキュリティソフトで検出してみましょう。3.駆除方法はマルウェアの種類によって異なることもマルウェア感染が疑われる場合は以下のように対処・駆除するのが基本です。ネットワークの接続を切り隔離→アンチウィルスソフトで検知・駆除しかし、マルウェアの種類によっては一般的アンチウィルスソフトで対応できない場合があるためマルウェアの種類を特定し、対処できるソフトウェアを準備しましょう。<マルウェアの種類別 対応例>●ウイルスまたはトロイの木馬ディープスキャンを実行できるウイルス対策プログラムまたはマルウェア対策プログラムをインストール。●ワームワームを検出する強力なアンチマルウェアソフトウェアをインストール。●ランサムウェア要求には応じず、証拠を保存し警察へ連絡。サイバーセキュリティソフトウェアで除去し、バックアップデータから復旧。(暗号化データの復旧は難しい)ランサムウェアの詳しい対処法はこちらの記事をご覧ください。https://www.ecmarketing.co.jp/contents/archives/28014.効果的なマルウェアの感染対策とはマルウェアの効果的な感染対策は以下の6つを平行して実践することです。セキュリティソフトの導入OSは常に最新に保つ定期的なバックアップとサーバーログの保管不審なリンクや添付ファイルは開かないダウンロードやインストールは信頼性を確認する専門家に相談・委託する上記の1~5は基本的なマルウェア対策として必須項目です。全社員で実行できるように社内ルールを設けて周知しましょう。しかし、様々な種類があるマルウェアは環境や状況によって最適な対策や対処法が異なり、本格的な取り組みには専門知識と手間が必要になります。通常業務をこなしながら万全に備えるのは難しい企業がほとんどでしょう。マルウェア対策は検討する段階から専門家に相談し、保守を委託するのがおすすめです。悩みや環境に即した対策ができる他、定期的な脆弱性の検証や見直し、感染時の対処まで丸ごと任せられます。マルウェア被害にあった場合の損害や通常業務の効率を考えれば、コストパフォーマンスも決して悪くありません。マルウェア対策について詳しく知りたい方はこちらの記事もご覧ください。https://www.ecmarketing.co.jp/contents/archives/26575.まとめマルウェアの種類は日々巧妙化して増え続け、被害も拡大しています。ウイルスやワーム、ランサムウェアなど代表的なマルウェアの特徴を押さえてしっかりと対策しましょう。主な感染経路はメールの添付ファイルや外部のUSB、ソフトウェアのダウンロードなどある程度共通していますが、駆除となると種類によって有効な対処法が変わってきます。セキュリティソフトの導入やOSのアップロード、定期的なバックアップなど基本対策に加えて、専門知識をもった保守サービスを利用すると安心です。ぜひ検討してみましょう。
  • Webサイト 改ざん検知 ツール・サービス

    2024.02.06 WEB制作

    Webサイトの改ざん検知とは?仕組みやおすすめツールの選び方を紹介
    Webサイトの運用において、サイバー攻撃への備えは必要不可欠です。「サイトの表記がおかしい」「急に全く違うサイトに差し代わってしまった」などの改ざん被害に遭った場合、想定しうる損害は大きなものになります。自社サイトが攻撃に遭うだけでなく、ユーザーを巻き添えにした被害が起こってしまった場合は加害者として損害賠償をしなければならないかもしれません。サイトの改ざん検知ツールを導入するのは被害を最小限に食い止めるための有効な対策です。この記事ではWebサイトにおける改ざん検知について、仕組みやツール・サービスの選び方、改ざんを未然に防ぐ対策方法をお伝えします。1.Webサイト改ざん検知とはコンテンツや管理設定など、Webサイト内のデータの改ざんが起こったときに検知・通報するシステムのことを「改ざん検知」と呼びます。サイバー攻撃を受けた場合、異変に気付いていち早く対応することが重要です。そのため、セキュリティリスクの管理には欠かせないツールであると言えます。Webサイトに限らずシステム内部、アプリなどにも改ざん検知をつけることができますが、今回は特にWebサイトが改ざんされたかどうかチェックするシステムに着目してご紹介します。2.改ざん検知のやり方・仕組みサイトが改ざんされたかどうか判断する方法はいくつかあり、やり方によって検知できる範囲に違いが出ることもあります。仕組みを知り、自社サイトに適したツールを選ぶ材料にしましょう。サーバー内部監視型内部のシステムまで監視対象に入れられる改ざん発生時迅速に対応しやすい外形監視パターンマッチ型過去のパターンをもとに分析するハッシュリスト比較型ハッシュ値を分析することで改ざんされたファイルを特定しやすい原本比較型Webサイトの原本を保管し、実際のWebサイトと比較することで改ざんを検知サーバー内部監視型改ざん検知を行いたいWEBサーバーの内部に検知ツールを設置して監視します。サーバー内のデータに変更が加えられていないかチェックすることで改ざんを検知するという仕組みとなっていて、内部のシステムまで監視対象に入れられるのがメリットです。また、設定によっては改ざんが起こった瞬間リアルタイムで通知されるシステムにすることも可能なので、有事に迅速な対応を行いやすい点も長所だと言えます。ただし、内部監視型の改ざん検知ツールを入れるにはサーバー運用側の設定が必要です。共用サーバーを使っている場合は提供者の都合によって使えないこともあるので注意しましょう。パターンマッチ型(ソース解析型)外部の別サーバーから該当するWebサイトにアクセスし、過去に行われた改ざん事例と照らし合わせる形で検知する方法です。WordPress等の動的コンテンツに対応しています。過去のパターンをもとに分析するため、よく使われる手法の攻撃には高い効果を発揮しますが、未知の攻撃に対しては対処できないこともある点には注意が必要です。また、画像ファイルなど未対応フォーマットのファイルや公開されていない内部ファイルも改ざん検知の領域に含まれていないことには留意しておきましょう。ハッシュリスト(ハッシュ値)比較型定期的に監視対象ファイルのハッシュ値を計算し、誤差が出ていないかどうか比較する方法。運用側がカスタマイズ等で意図的にファイルを変更した場合に誤作動しやすいものの、ハッシュ値を分析することで改ざんされたファイルを特定しやすいというメリットがあります。原本比較型監視対象となるWebサイトの原本を保管し、実際のWebサイトと比較することで改ざんを検知します。原本比較型のツールは内容を更新するたびに改めて原本を用意し直さなければならないのがややネックです。3.改ざん検知ツール・サービスの選び方ここまでご紹介してきた通り、改ざん検知にはさまざまな種類があります。「何を基準に選べばよいか分からない」という方は、以下のポイントを押さえて自分に合ったサービスを選びましょう。改ざん検知の頻度検知方法によって改ざんチェックの頻度はかなり異なってきます。もちろん同じ方法を取っていても価格帯やエンジニアによって検知の周期が変わることもありますが、一つの基準にはなるでしょう。サーバー内部監視型であればファイルの変更があった瞬間に検知する常時監視システムを採用できるので、セキュリティ的には一番確実です。その他の検知方法は外部のサーバーから監視するシステムのため「外形監視」と呼ばれます。仕組み上改ざんが起きた瞬間に通知することは不可能ですが、改ざんの頻度を上げれば「すぐに改ざんに気が付く」システムにすることは可能です。契約するサービスやツールによってはタイムラグが発生する場合もあるので、どのくらいの頻度で改ざんチェックするのかは必ず検討項目に入れるようにしましょう。監視する対象ツールによっては内部の設定ファイルなども改ざんの対象になることもあります。「表には分からないが内部のファイルが改ざんされている」という事態まで考慮して対策したいのであれば、監視対象の範囲が広いサーバー内部監視型がおすすめです。外部からの侵入に備えるという意味では外形監視型でも問題ないでしょう。改ざん発覚時の対応ツールの中には「改ざんがありました」と通知するだけのものもあります。特に無料・安価なサービスは改ざん等の被害が発生したときに自分で修復できる人向けなので、対応できる人がいない状況ではおすすめできません。原因の特定や修正まで行うのが困難であれば、サイトの復旧や再発防止策の提案などの事後対応までサービスに含まれたものを選ぶべきでしょう。4.改ざん検知以外の対策方法も改ざん検知はあくまで「改ざんが起こってからの初動を早める」目的で導入するツールです。セキュリティを強化したいのであれば、まず改ざんが起こる前の対策ができているかチェックしましょう。ファイアウォールなどの対策ソフトの導入不審なアクセスをブロックする役割を持つ対策ソフトの導入が第一です。ファイアウォールWAFなどがサイトと紐づいているサーバーに設置されているかどうか確かめてみましょう。侵入検知システム(IDS)の導入IDSは不正アクセスを検知するためのツールです。改ざんが起こる前には不正アクセス攻撃を受けていることが多いので、サイトの改ざんがあったかどうかよりも先に不正なアクセスを検知するシステムを導入しておきましょう。不正な通信を遮断するIPS(侵入防止システム)というセキュリティツールもあります。こちらを導入すれば検知だけでなくブロックまでしてくれるので、まだインストールしていないようであればいち早く導入しておくことをおすすめします。アップデート、脆弱性情報の管理WordPressなどのオープンソースCMSは特にアップデートが頻繁にあるので、更新しないで放置していると脆弱性が見つかって改ざん被害に遭う可能性が高まります。こまめにアップデートを行い、脆弱性に関する情報を収集することでリスクを軽減できることを頭に入れておきましょう。しかし、アップデートに対応するとサイトが表示崩れを起こしたりレイアウトが変わってしまったりと何かと手間が多いもの。「管理しきれない…」という場合は、保守サービスの利用もおすすめです。改ざん検知システムの導入や定期的な診断レポートの作成なども一括で代行できるので、自社サイトの状態を把握しながらプロに管理を任せることができます。>>>WordPress保守サービスについて詳しくはこちらから<<<5.まとめサイトが改ざんされたかどうか検知するツールを導入するのは被害を最小限に食い止めるのに必要です。また、改ざん検知だけでなく多方面からしっかりとセキュリティ対策を行うことで、自分のサイトを守ることになります。もし導入がお済みでなければ、早急に対応することをおすすめします。