WEB制作

人気記事

新着記事

  • WordPress エラーの原因 解決方法

    2024.02.13 WEB制作

    【初心者向け】WordPressでエラーが発生する原因と解決方法を解説
    WordPressでエラーが起こってしまい、困った経験はないでしょうか?自社サイトの運用では、特にマーケティングやコンテンツ制作の担当がエラーに遭遇して立ち往生してしまう場面をよく見かけます。WordPressに詳しいシステム担当がいなかったとしても、意外と簡単に解決できることがあります。まずはこの記事で紹介する方法を試してみましょう。この記事で紹介するのはあくまで初心者向けのエラー解決方法です。サイトの構築に深刻な問題がある場合、外部から攻撃を受けた場合などはむやみにサイトを触らず専門家に相談してみましょう。WordPressのサイトにエラーが発生する原因エラーの発生原因は大きく分けて5つ。もし原因が分かっていれば、生じている問題に合わせた解決方法を試してみましょう。もし分からない場合は①から順に確かめてください。また、WordPress側でエラーを検出した場合は管理者宛てにメールが届くかもしれません。まずはメールボックスを確認することをおすすめします。→メールが届いている場合の対処法はこちら①プラグイン、テーマに問題があるWordPressに何らかの異常があるときはまずプラグインとテーマが原因であることを疑ってみましょう。互換性の問題やバージョンが古いなどの理由でエラーが発生している可能性があります。まずは管理画面のプラグイン設定からプラグインを全て無効化し、エラーが解消するか試してみてください。(管理画面に入れない場合はデータベース内の情報を変更することで無効化させるという手段もあります。ファイルの編集ができる方は「wp-content/」>「plugins」のフォルダ名を別の名前に変更してみましょう。)プラグインを無効化によってエラーが解消した場合はいずれかのプラグインに問題があったということになります。テーマの場合は一旦テーマ設定をデフォルトにしてみましょう。それで解決すればテーマがエラーの原因です。→解決方法はこちら②メモリ制限がかかっているWordPressではデータを保存するためにメモリを使用するのですが、サイト規模が大きい場合や複雑なプログラムを実行するとより多くのPHPメモリを消費する場合があります。あらかじめ設定されているメモリ上限を超えると、サイトに紐づいているPHPが操作を実行できずにエラーが発生してしまいます。プラグイン・テーマが原因ではなかった場合はメモリの上限を超えていないか確認してみましょう。WordPressのPHPメモリ上限は、管理画面の「ツール」>「サイトヘルス」>「情報」>「サーバー」で確認することができます。多くのサーバーのデフォルト設定が256Mなので、それを下回っている場合はPHPメモリ上限がエラーの原因になっているかもしれません。→解決方法はこちら③サーバーにエラーが起こっているWebサーバー内でプログラムが正しく動作しない場合に発生するエラーです。サイトを表示しようとすると500エラーが出てくるようなら一時的な負荷が原因かもしれません。その場合は数分待てば解消されることも多いです。時間をおいても解決しないタイプのエラーは多くの場合ファイル内の記述ミスで発生します。特に「.htaccessファイル」はアクセスの制御ができるファイルなので、入力エラーが発生するとサイトにアクセスできなくなるなどの異変が起こりやすい傾向にあります。→解決方法はこちら④入力するログイン画面のURLを間違えているサイトは正常に表示されるのにログイン画面にエラーが出ている場合は、ログインのURLを間違えている可能性があります。かなり初歩的なことかもしれませんが、管理画面へのログイン設定をいじったときなどは意外とありがちなミスです。心当たりがあれば一度確かめてみるとよいでしょう。→解決方法はこちら⑤サイバー攻撃を受けた可能性を疑う①~④までの原因に当てはまらない場合、サイバー攻撃の影響を受けている可能性も考えられます。不正アクセスを受けてサイトを乗っ取られた不正ログインを試みた攻撃者によって制限がかかったという場合は、初心者では対応しきれないことがほとんどです。むやみにサイトを触るとマルウェアに感染するなど被害が拡大することもあるので、心当たりがあれば自分で解決しようとせず専門家に相談することが重要です。WordPressからメールが届いている場合の解決方法技術的なエラーが発生した旨のメールが管理者宛てに届いた場合は、メールの指示通りリカバリーモードで修復しましょう。リカバリーモードにアクセスできるリンクは有効期限1日しかありません。セッションが切れた後もう一度エラー画面を表示させると再度リカバリーモードのページに入ることができますが、いずれにせよなるべく早急に修復しましょう。原因①「プラグイン・テーマに問題がある」の解決方法その場合は一つずつ有効化していき、都度サイトを更新していってください。有効化してエラーが発生したら、そのプラグインが原因だったということになります。該当プラグインは削除し、代替を探すなどして解決しましょう。カスタマイズしている場合はデータ内の問題を探るか、親テーマそのものに問題があった場合は新しいテーマに変更するしかないでしょう。原因②「メモリ制限がかかっている」の解決方法容量の少ないサーバーを契約している場合はリソースが不足している可能性があるので、ホスティングの場合は契約しているサーバーに問合せてみるとよいでしょう。自分でPHPメモリを増やしたい場合はwp-config.php というファイルを編集すれば上限を増やすことができます。原因③「サーバーにエラーが起こっている」の解決方法サーバー内部のデータ記述に問題がある場合はログを確認したり、データベースを確認・編集したりする必要があるので、初心者が自力で解決を試みるのはおすすめしません。疑わしい事態の場合は専門家に相談すべきでしょう。ただし、レンタルサーバー(ホスティング)の有効期限が切れていたという場合は再更新すればすぐに解消できます。契約しているサーバーを一度確認してみましょう。また、一時的にサーバーがダウンする「500エラー」が頻繁に起こる場合はサーバーのスペックが足りていない可能性があります。スペックの高いサーバーに乗り換える検討をしてください。原因④「入力するログイン画面のURLを間違えている」の解決方法通常、ログイン画面のURLはhttps://ドメイン名/wp-login.phphttps://ドメイン名/サブディレクトリ名/wp-login.phpになっているはずです。タイプミスで入力を間違えるパターンは意外とあるので、入力しているものが間違っていないか確認しましょう。またセキュリティ対策でログイン画面のURLを変更したあと気付かずに前のURLを入力してしまうパターンもたびたび見られます。ログインURLを変えた場合はWordPressからメールが届いているはずなので、一度確かめてみてください。まとめWordPressでエラーが発生した場合は原因に合わせて簡単な対処法から試してみましょう。ただし、「サイバー攻撃を受けた」「復旧が難しい」「原因が分からない」といった場合は初心者では解決が難しいと思いますので、プロによる診断・復旧をおすすめします。当社でもサイト復旧やエラーを未然に防ぐ保守サービスを提供しておりますので、お困りの際はぜひお問い合わせください。

  • 標的型攻撃攻撃とは?手口・対策

    2024.02.08 WEB制作

    標的型攻撃とは?種類や手口、企業が行うべき対策を教えます
    サイバー攻撃の手法は日々複雑化してきており、その中でも標的型攻撃は見分けがつきづらく悪質です。あなたはどんな手段で攻撃者がセキュリティの穴を潜り抜けるか知っていますか?「自分の会社は大丈夫」などと他人事に考えている人も多く、会社組織として対策を講じず担当者の裁量に任せた結果、多額の損害を抱えてしまう事案もたびたび見られます。手口を学んで想定される被害に応じて対策をすれば最悪の事態に及ぶリスクを減らすことができますが、なかなか周知されていないのが現状です。この記事ではサイバー攻撃の一種である「標的型攻撃」について、種類や手口をくわしく解説します。企業が行っておくべき対策もお伝えしますので、ぜひ参考にしてください。1.標的型攻撃とは?|手口と特徴標的型攻撃は特定の組織・個人をターゲットにしてサイバー攻撃を行う手口のこと。無作為にメールを送る「ばらまき型攻撃」と比較すると、攻撃の見分けがつきにくいのが特徴です。>>>サイバー攻撃の種類について詳しくはこちら<<<IPAが2023年に発表した情報セキュリティ10大脅威ランキング※1では、3位に「標的型攻撃による機密情報の窃取」がランクインしていることからも、攻撃としての危険性が分かります。具体的な攻撃の手口メール等を利用し特定組織のPCをウイルスに感染させる組織の機密情報窃取やシステムの破壊を行う などシステムに侵入後すぐに被害をもたらす攻撃以外にも、内部システムに潜入して攻撃の範囲を徐々に広げる「潜伏型」と呼ばれる手法もあります。2.標的型攻撃の種類あらかじめターゲットを定めてからサイバー攻撃を行うことをおおまかに「標的型攻撃」と呼びますが、さらに具体的な攻撃の種類を細かく分けることもできます。メールによる攻撃(標的型攻撃メール・スピアフィッシング)不正な添付ファイルを開かせる不正なウェブサイトへのリンクをクリックさせる など何者かになりすまして標的にメールを送信し、情報の窃取などを行う攻撃を「標的型攻撃メール」「スピアフィッシング」と呼びます。オーストラリアのITセキュリティ企業バラクーダが行った調査※2によれば、およそ75%の企業が過去12ヶ月以内にメール攻撃の被害に遭ったと回答したそうです。そのうち55%が「機器のマルウェア/ウイルスへの感染」、49%が「機器データの盗難(情報漏えい)」の被害に遭ったと答えていることからも、スピアフィッシングの悪質さがうかがえます。→対策はこちらビジネスメール詐欺関連会社やベンダー、内部の従業員などの信頼できそうな人物になりすましてメールを送る攻撃手法を特に「ビジネスメール詐欺」と呼びます。ビジネスメール詐欺の恐ろしいところは実在する組織や人物からメールが送られてくる点です。何の関係もない企業から来たメールは「怪しい」と一目見て判別できますが、実際の取引先の企業の実在する人物から不審なメールが届いたら思わず信用してしまうのではないでしょうか?最近のフィルタリングサービスは不審なサイトのURLやマルウェアを仕込んだファイルが添付されていた場合、ツールが自動でスパム認定する機能がついています。明らかに不審な内容が含まれていればうっかり開かないようフィルタリングで除外できますが、ビジネスメール詐欺の中にはツールによる検知を防ぐために対策されたものもあるのが厄介なポイントです。悪意あるプログラムをあえて含まず、メッセージのやり取りのみで内部情報やアクセス情報を聞き出す手法を「ソーシャルエンジニアリング」と呼びます。ソーシャルエンジニアリング型の攻撃はツールでの察知が非常に難しいため、一人ひとりのリテラシーが重要になってきます。→対策はこちらサイト経由での攻撃(水飲み場攻撃)ターゲットとなる企業や組織をあらかじめ調査し、頻繁に利用するウェブサイトを閲覧するとマルウェアに感染するよう改ざんする手法を「水飲み場攻撃」と呼びます。自社の内部システムを強化している企業であっても、従業員がうっかりリンクを開いてしまうとそこから攻撃が広まってしまうという仕組みです。「いつも開くサイトだから大丈夫」「知っている企業のサイトだから安心」という心理を逆手に取った悪質な攻撃だと言えるでしょう。→対策はこちら不正アクセスによる攻撃サーバーの脆弱性を突いて不正にアクセスし、個人情報を盗んだりする攻撃手法もあります。最初の攻撃で内部システムへの侵入口を発見し、そこからさらに他の端末やサーバーに危害を加えることも。攻撃を受けた際「まずはインターネットから遮断してオフラインの環境にするべき」と言われるのはそのためです。→対策はこちら実際の事例①航空会社大手がビジネスメール詐欺で3.8億円の被害2017年、大手航空会社として知られる日本航空(JAL)がビジネスメール詐欺の被害に遭い、累計3.8億円の被害を受けたことが明らかになりました※3。普段やり取りしている取引先になりすまし、同じ名前とメールアドレスから請求書を送ってきたため詐欺に気が付かず、偽の銀行口座に送金してしまったとのこと。セキュリティ管理が比較的しっかりしている大手企業を巧妙に騙す悪質性の高い事例だと言えるでしょう。実際の事例②:不正アクセスからなりすましの二次被害発生2023年9月、人材採用サービスなどを手掛ける仕事旅行社が内部のサーバーに不正アクセスされるというサイバー攻撃を受けました※4。サービス利用者の個人情報33,670 件が流出した恐れがあるほか、会員の氏名を名乗る人物によって別の人のメールアドレスやオンライン掲示板に「爆破予告」など不安をあおる文言が送信されていたとのこと。窃取した個人情報をもとに別の二次被害が発生していることが分かります。このように一度サイバー攻撃を受けて盗んだ情報を踏み台に別の攻撃を行うパターンもあるので、未然に防ぐための対策だけでなく被害にいち早く気づくシステムづくりも重要です。3.標的型攻撃の対策攻撃手法ごとにとるべき対策は変わってきます。あらゆる可能性に備えておくようにしましょう。メール攻撃への対策スピアフィッシング、ビジネスメール詐欺などのメール攻撃を防ぐには、とにかく「来たメールに触らない」「報告する」ことが一番です。具体的には以下のような対策をとっておくべきでしょう。●社内ルールを徹底する怪しいメールは開かない受信した場合、誤って開いてしまった場合は報告する などどこの誰であってもアドレスさえ分かっていれば誰でもメールを送ることができるのはメリットでもありますが、「悪意ある人物からのメッセージを防ぎきれない」という弱点はどうしてもできてしまいます。まずは社内ルールを決め、リスクの周知と対策方法の共有を行うことが重要です。>>>社内ルールの策定方法について詳しくはこちらから<<<●対策ソフトを導入する社内ルールは重要ですが、攻撃を受けた際の報告と調査には手間と時間がかかります。対策ソフトを導入して「悪意あるものを振り分ける、共有する」作業を自動化することで、コスト・タスク削減にもつながるでしょう。WAF、ファイアウォールなどのセキュリティソフトフィルタリングサービスはメール等の安全性を担保するためにも最低限導入しておきましょう。近年のメールサービスの中には自動でフィッシングメールを振り分ける以上の機能をつけているものもあります。ユーザーが受信したメールを「攻撃」と判断して報告する機能や、不審なURLをクリックしてしまったときなどに自動でアラートを発動させる機能を搭載したフィルタリングサービスを利用すれば、管理の手間とリスクを減らすことができるのでおすすめです。●従業員向けのメール訓練を実施する標的型攻撃を想定してメール訓練を各従業員に送信します。正規のメールと区別がつくか、誤ってURLや添付ファイルを開いていないかなど、従業員のセキュリティ意識を実際にチェックすることができます。サイト攻撃・不正アクセスへの対策サイト攻撃への対策は個人レベル・端末レベルの保守では不十分です。エンジニアによる定期的な管理が前提となっていることは頭に入れておきましょう。●端末・サーバー等のアップデート端末・アプリ・サーバー何であってもアップデートの放置は脆弱性を生みます。「サイトへの不正アクセスを防ぐ」「閲覧者として不審なサイトに入らない」両方への対策としてこまめな更新が必要です。●対策ソフトを導入するサイト経由での攻撃は「運用側」「見る側」両方に被害を生みます。もちろん閲覧するサイトに注意するのも重要ですが、不正アクセスを受けて改ざんされた自社サイトが攻撃者になってしまう、といった被害を生むリスクも避けなければいけません。端末だけでなく、運用しているサイトや接続しているサーバーにも対策ソフトを導入しておきましょう。●アカウント管理を徹底するID・パスワードの使いまわしをしていないか、推測されやすいものをしていないか、など。特に乗っ取りが起きた場合に大きな被害を生む管理者権限アカウントは厳重に管理すべきです。●改ざん検知・監視ツールを入れるサイトが不正ログイン・改ざんされているかどうかは手動で判別するのは困難です。仮に手動で改ざん検知をしていたら余計な時間がかかることは必至でしょう。改ざん検知・死活監視のツールを入れて、異変が起こっていないか常に監視する体制を取るようにしましょう。●定期的なセキュリティ診断を行う上記の項目がきちんと達成されているか、更新された脆弱性に対応できているかは定期的にセキュリティ診断を行わなければ分かりません。「保守管理を外注に任せていたつもりが、脆弱性だらけだったことに攻撃を受けてから気付いた」というのは意外とありがちなパターンです。定期的な診断をするのが一番ですが、全くやっていないという企業は一度セキュリティ診断をしてみましょう。無料セキュリティ診断はこちらから。セキュリティ診断について詳しく知りたい方は「Webサイトのセキュリティ診断は必要?種類や価格の相場、チェック項目を紹介」をご覧ください。4.まとめターゲットをあらかじめ決めてから計画立てて攻撃を行う「標的型攻撃」は非常に悪質で、無差別なばらまき型よりも対策が困難です。しかし、従業員一人ひとりへの教育や強固なシステム構築によってリスクを最小限に抑えることはできます。どのような攻撃があるのか知っておくのも有効な対策です。サーバーやサイトの保守など、エンジニアによるセキュリティ管理が不十分だとお考えでしたら、ぜひ今からでも保守サービスの利用を検討してみてください。※1 IPA+「情報セキュリティ10大脅威2023 組織編」※2 Barracuda+「2023年 スピアフィッシングの動向」※3 日経クロステック+「JALが「信じ込んでしまった」手口とは、振り込め詐欺で3.8億円被害」※4 仕事旅行社+「不正アクセス者による情報の不正利⽤について」

  • あなたの会社は大丈夫?情報セキュリティインシデント

    2024.02.08 WEB制作

    情報セキュリティインシデントとは|企業がとるべき対策・発生時の対応
    企業が抱えるサイバーリスクは日々増加しています。従業員による情報漏えいからマルウェアなどを用いたサイバー攻撃まで、さまざまなインシデント(事故)に備えて対策しなければなりません。情報セキュリティインシデントについて知り、被害を未然に防ぐ対処法を学びましょう。1.情報セキュリティインシデントとは情報セキュリティインシデントとは、会社の情報管理について、重大な被害に進展しうる事故・事件を指します。セキュリティにおける脅威をただ単に「セキュリティインシデント」と呼ぶこともあります。情報セキュリティインシデントの具体例マルウェアに感染させるパソコンやサーバーなどへの不正アクセス従業員による情報漏えい(機密情報の誤公開・不正な情報持ち出しなど)従業員による情報漏えいの場合は悪意のない過失である可能性もありますが、それ以外は基本的にどれもサイバーセキュリティの穴から悪意ある攻撃が原因で発生します。インシデントの規模によっては業務に大きな支障が出ることもありますし、会社の存続を脅かす損害を与える可能性もあるでしょう。例えば不正アクセスを受けて顧客の個人情報を漏えいした場合、訴えられて損害賠償を負うリスクが生じます。情報漏えいのリスクについて、詳しくは「情報漏えいのセキュリティリスクを知っておこう|実際の事例・対策を紹介」で紹介していますのでそちらもご参照ください。[word_balloon id="unset" src="https://www.ecmarketing.co.jp/contents/wp-content/uploads/2024/02/icon_white-1-1.webp" size="M" position="L" radius="true" name="" balloon="talk" balloon_shadow="true"]WEB広告運用担当・ニャーケッターからのひとこと企業間においても、新規取引開始の際にインシデントについて確認される場面はとても増えている。とくにコンペ形式の場合、インシデントに対する管理体制で比較されることも多いから営業的観点でも重要なポイントにゃ。[/word_balloon]2.情報セキュリティインシデントの発生原因情報セキュリティインシデントが起こる原因は大きく分けて2つ。社内に問題があったか外部から攻撃を受けたかに分類されます。それぞれ具体的に何が原因になるのか見ていきましょう。①社内の人員に問題がある(内部要因)社内の人員が不注意によって情報を公開(漏えい)してしまったり、故意に持ち出したりといったインシデントは、従業員のセキュリティ意識が不十分であることが大きな原因となっていることが多いです。情報端末の紛失・盗難なども内部要因のインシデントにあたります。②外部の攻撃を受けた(外部要因)外部から攻撃を受けて情報を窃取されたり、システム障害が起こったりするパターンは外部要因に分類されます。直接的な要因は外部攻撃ですが、社外からの不正な行動を監視・排除できていない社内の体制が要因になっているとも言えるでしょう。3.情報セキュリティインシデントを防ぐ対策IPAが2021年に行った実態調査※1では、「情報セキュリティに関する専門部署(担当者を設置している)」と回答したのは全体のわずか7.7%。半数以上が「組織的には行っていない(各自の対応)」「わからない」と回答しています。つまり、日本の企業はまだまだ「セキュリティを組織的に向上させる」意識が低いということです。個人としての意識は徐々に向上しているものの、企業全体でのアプローチをもっと強めるべきでしょう。ここからは、社内でできる基礎的なセキュリティ対策をご紹介します。社内のデータ・情報を確認する情報漏えいへの対策として内部に保管されているデータや情報を把握し、管理できるような体制を作りましょう。ここでいう「データや情報」はコンピューター内に保管されている情報のことだけではありません。紙媒体やUSBなどに保管されているデータに関しても取り扱いのルールを決めましょう。確認後は重要性を分類し、それに応じた対策基準を決めるのが基本です。クレジットカード情報や宗教・病歴など機密性が高く、漏えいした際のリスクが大きいものは特にしっかりと対策をする必要があります。組織体制を整備する先述したように、セキュリティ部署を設置している企業はまだまだ少ないのが現状です。社内の規模にもよりますが、セキュリティ対策専門の部署を設置できるなら整備を進めた方がよいでしょう。セキュリティ対策に割ける専門のリソースがない場合は外部への委託を検討するのも一つの手です。ネットワークやシステムをすぐに復旧させられる人員・チームの配置は欠かさず行ってください。有事の連絡方法や指揮系統を明文化し、従業員同士で共有するのも大切です。端末やサーバーのセキュリティを高める業務用PC、サーバーで定期的にバックアップを取るセキュリティ対策ソフトを入れるデータの送受信時は暗号化通信を用いる(VPNを使用する)私用の端末で社内のネットワークに接続できないようにするなど、内部のシステムで被害を未然に防ぐ対策を行うことも非常に重要です。また、脆弱性に関する情報を定期的に収集して、セキュリティに新たな穴ができていないかチェックしておくのもよいでしょう。>>>脆弱性対策について詳しくはこちらから<<<4.情報セキュリティインシデントが起こった際の対応実際にインシデントが起こってしまった場合も「発生してからどう動くか」が被害の最小化に大きくかかわってきます。情報漏えいなどが起こってしまったときに求められる対応をあらかじめ知っておくことで、万が一の事態に備えましょう。①インシデントの発見・初動検知ツールや社内外からの通知でインシデントの発生に気付くパターンが多いでしょう。専門知識がない社員は通報があっても不用意に操作しないのが基本です。システム上に残された証拠が消えてしまわないよう注意を払ってください。●セキュリティ担当が行うべき初動対応サイトを閉鎖する端末をネットワークから遮断する(マルウェアの被害に遭っていることが想定される場合)セキュリティ対策機関への情報提供(同様の被害防止)取引先、顧客への情報提供警察への連絡(特に不注意による紛失、盗難の場合は早い方がよい)パスワードの変更、アカウントの停止重要な情報のバックアップ など求められる初動対応は発生したインシデントの種類によっても変わってきます。被害想定のマニュアルを作るのであれば、何種類かパターンを想定しておきましょう。②原因の調査・公表残された記録から被害をなるべく正確に把握します。「誰が」「いつ」「どこで」「何を」「なぜ」「どうしたのか」、この6項目を分析、記録するよう心がけてください。情報漏えいによる被害が大きくなると、別途公表する手続きを取る場合もあります。お知らせ文の作成や法律に照らし合わせた判断が必要になってくるので、公表には外部委託の専門家によるアドバイスを求めるパターンが多いでしょう。公表する場合、一般的には以下のような項目を含みます。インシデント発生の経緯、原因調査方法、システムの状況漏えいした情報の内容当面の対応策再発防止策問い合わせ窓口③システム・端末の復旧インシデントの影響を受けて停止したサービスやアカウントがあれば、復旧作業を行います。サイバー攻撃を受けた場合は特に復旧が困難です。セキュリティ保守の専門家が社内にいなければ、外部に委託することになるでしょう。④再発防止策の決定建物への侵入防止情報の保管・持ち出し方法の見直しウイルス対策製品の導入通信の暗号化やアクセス制御 など原因となった部分を改善する形で再発防止策を決定します。外部に大きな被害が及んでいる場合は再発防止策も公表するのが一般的です。5.まとめ情報セキュリティインシデントへの対策は現代の企業に不可欠です。まずは基本的な対処法を実践し、安全性を高めていきましょう。また、自社サイトの保守運用をしっかりと行うことがインシデント対策のアピールにもなります。サイト運用にはコンバージョンや流入数が重要なのも確かですが、セキュリティに無知なマーケティング担当のみで維持するのはあまりにも危険です。もし自社サイトのセキュリティ管理ができていないようでしたら、保守サービスの利用も検討してみるべきでしょう。万が一サイト経由で攻撃を受けた場合も適切に対応しやすいのもメリットです。※IPA+「2021年度 中小企業における情報セキュリティ対策に関する実態調査」

  • 2024.02.07 WEB制作

    マルウェアに感染した?診断と対処の方法を分かりやすく解説
    マルウェア感染が急拡大している今、少しでも違和感を覚えたらすぐに診断したいですよね。でもまずは、デバイスを「隔離」しましょう。マルウェアを検出している間にも感染は拡大します。隔離後に落ち着いて対処することが何より大切です。この記事では、マルウェア感染の診断方法と感染していた場合の対処手順をご紹介します。あせらずに対処すれば被害を最小限に抑えられるはずです。1.マルウェアは診断前にまず「隔離」と「報告」少しでもマルウェアに感染した可能性があったら、すぐにネットワークから隔離し、上司に報告しましょう。診断前の不確実な段階でも「隔離と報告」を優先し、被害を最小限にすることが重要です。デバイスに以下のような症状がみられたら、マルウェア感染を疑っていいでしょう。マルウェア感染の症状動作の遅延や前触れのないクラッシュ突然のシャットダウンや再起動不自然なバッテリーやメモリの消費エラーメッセージやポップアップの頻発サイトへアクセスできない、無関係なサイトへの移動覚えのない動作や送信がある覚えのないデータの変更や削除がある 見覚えのないファイルやスクリプトがある などこのような症状がでないマルウェアもあるため、当てはまらないからと安心してはいけません。何気ない違和感や同じネットワーク上のデバイスの不具合、不審な共有ファイルなどにも注意しましょう。2.マルウェアの診断方法マルウェア感染が疑われたら、隔離後にセキュリティツールでマルウェアの検知と感染箇所の特定を行います。マルウェアの主な診断方法は以下の4つです。無料セキュリティソフトでのスキャンパソコンに標準搭載されている無料ウイルス対策ソフトのスキャンを行います。Windowsの場合、「Windowsセキュリティ→ウイルス&脅威の保護→スキャン→オフライン スキャンWindows Defender→今すぐスキャン」の流れで実行できます。無料オンラインスキャンを利用するMicrosoftやトレンドマイクロなどPCやソフトウェアのメーカーホームページでは、Windows用マルウェア検知・駆除ツールを無料で提供しています。「無料オンラインスキャン」「無料ウイルススキャン」などで検索してみましょう。有料のセキュリティソフトを購入する無料のスキャンツールは性能が低いためマルウェアの種類によっては検知できない場合があります。確実に診断したいなら有料のセキュリティ対策ソフトの購入がおすすめです。オンラインでも提供されていますが高性能ツールは非常に少なく、新たなマルウェアの感染経路になる悪質なものも存在します。信頼できる店舗で手に入れる方が安全でしょう。保守サービスへ検知を依頼するマルウェアの中には、トロイの木馬やファイルレスマルウェアな検出や駆除が難しいものも増えています。確実に検知・駆除するのであれば保守サービスの利用が効果的です。マルウェアの診断はもちろん、感染対処や復旧、自社の環境に最適な対策まで依頼できるため今後の感染リスクを大幅に下げられるでしょう。3.マルウェア診断後の対処手順マルウェア診断で感染が確定された後は、以下の手順で対処します。【ステップ1】セキュリティツールで駆除する多くのマルウェアはセキュリティツールで検出後、自動駆除できます。しかし、マルウェアの種類によっては必要なプログラムが違うケースがあるので注意しましょう。マルウェアの種類と駆除に必要なセキュリティツールの一例●アドウェアアドウェア駆除機能があるアンチマルウェアプログラムが必要。●ウイルスまたはトロイの木馬ディープスキャンを実行できるウイルス対策プログラムまたはマルウェア対策プログラムが必要。●ワームワームを検出できる強力なアンチマルウェアソフトウェアが必要。マルウェアの種類について詳しく知りたい方は「マルウェアにはどんな種類がある?感染経路や症状、対策を解説」をご覧ください。【ステップ2】残った感染ファイルの駆除・隔離セキュリティツールで自動削除できなかった感染ファイルは、手動で隔離か駆除をします。確実に駆除するは専門知識が必要なため、セキュリティ部門や保守サービスなどに依頼すると安心です。完全に駆除できなかった場合はPCの初期化をすることになります。【ステップ3】マルウェア対策を強化するマルウェアの駆除が完了したら、再び感染しないように対策を強化しましょう。基本的な対策は以下の6つです。OSを常に最新に保つ定期的なウイルススキャン定期的なバックアップとサーバーログの保管社内ルールの見直し、周知と徹底最新セキュリティソフトの導入保守サービスの利用 これらを全社員で実行できるように社内ルールを設けて周知すること、保守サービスなどを活用し、いつでもプロに相談できる体制を整えておくことも重要です。4.マルウェアは診断も対処も保守サービスがおすすめマルウェアにはさまざまな種類があり手口も巧妙化しています。ファイルレスマルウェアやワームのように、一般的なセキュリティソフトでは診断・駆除できないものも多く、専門知識のない人が効果的な対策をとるのは非常に難しくなっています。セキュリティ部門がない場合は、マルウェアの検知や対処は外部の保守サービスの利用も視野に入れるといいでしょう。定期的なマルウェア診断やアップデート、脆弱性のスキャンと改善の他、感染時の対処まで丸ごと任せられます。費用も月額数万円程度からと手ごろなサービスも多いため、被害コストや日頃のマルウェア対策の労力も考慮して前向きに検討してみましょう。5.まとめ「マルウェアに感染したかも」と思ったらまず隔離と報告を行い、それから診断を始めましょう。感染拡大を防止することが何より大切です。マルウェアの診断方法は標準搭載のセキュリティソフトや無料オンラインスキャンを利用する方法もありますが、確実性や性能を考慮すると有料セキュリティソフトの購入や保守サービスへの依頼がおすすめです。マルウェアは種類によって駆除に必要なソフトウェアや手順が異なり、安全に行うには専門知識が必要です。今後の感染リスクを減らすためにも保守サービスの利用を検討してみましょう。

  • 知っておこう マルウェア 種類

    2024.02.07 WEB制作

    マルウェアにはどんな種類がある?感染経路や症状、対策を解説
    「マルウェア」は「悪意のあるソフトウェア(malicious software)」の略称です。ウイルスやワームなど様々なプログラムがあり手口の巧妙化に伴って種類が増え続けています。マルウェアの被害にあわないためには、よく使われるマルウェアの種類や特徴、感染経路を把握することが重要です。今回はいま知っておくべきマルウェアの種類と特徴について解説します。主な感染経路と感染時の症状、効果的な対策をご紹介するのでぜひお役立てください。1.2024年に知っておくべきマルウェアの種類13選2024年に注意すべきマルウェアの種類をご紹介します。特に1~5のウイルス、ワーム、トロイの木馬、ランサムウェア、ファイルレスマルウェアは被害件数が特に多く、内容も悪質なので対策は必須です。マルウェアの種類特徴主な被害1ウイルス感染例が最も多いマルウェア。自己増殖し、他のサイバー攻撃の引き金にもなる感染ファイルの実行によって行動を開始する。データ破壊システム停止情報の盗難 など2ワーム・自己完結型のマルウェアで急速に拡散・対策が非常に困難・ファイルの実行や宿主がなくとも自己増殖する・システムの占拠・アクセスの遮断・メモリの搾取・データの盗難・削除・改ざん・悪質ソフトの自動インストール など3トロイの木馬・正常なファイルやプログラム、サイトになりすまし実行させる・自己複製はしないが拡散しやすく防御が困難・よくハッキングの窓口に使用される・システムやデバイスの乗っ取り・機密情報の盗難・ネットワーク全体の感染 など4ランサムウェア・デバイスに自動でインストール・データを暗号化して復旧と引き換えに身代金を要求・1台の感染でネットワーク全体が標的になり、復旧はほぼ不可能・組織や企業の被害も急増中・データの暗号化・身代金被害・ハッキングによるサイト訪問者の誘導 など5ファイルレスマルウェア・正規のプログラムを利用して侵入・ファイル保存やインストールが不要で、メモリに直接入り込みコードをリモートで注入し拡散する・追跡や駆除が極めて困難・データの盗難・改ざん・レジストリ操作・他のマルウェアの検知・駆除の妨害 など6Gootloader・感染したWebサイトを信頼できると偽装させ感染拡散・複数サイトのCMSを変更し、検索上位表示を埋めて罠を仕掛ける・サイトのページファイルの改ざん・偽コンテンツの大量ダウンロード・サイト訪問者の誘導 など7スパイウェア・PCに限らずすべてのデバイスに自動インストールし情報を収集・盗難・デバイス本体に害はなく情報収集を目的とする・機密情報の漏洩、盗難・サイバー攻撃リスクの増加 など8アドウェア・広告作成を目的に閲覧履歴などの情報を収集・同意なしに広告主に情報を販売される可能性がある・個人情報の漏洩・ブラウザや検索エンジンの設定変更偽警告や広告の表示 など9マルバタイジング・金銭を支払った正規広告に仕込まれるマルウェア・クリックによってマルウェアのインストールや悪質サイトへのリダイレクトが実行される・広告表示のみで実行される場合も・他マルウェアの感染拡散 など10キーロガー・感染したユーザーの行動監視に利用・デバイスやオンライン上の行動追跡や機密情報の盗難にも・機密情報の盗難・行動や取引情報の漏洩など11ボット(ボットネット)・リモートでコマンドを実行するソフトウェア・アプリケーション・ボットの集まりを形成してすべての機器にアクセスし、遠隔で多くの攻撃を実行できる自己増殖型・遠隔操作によるシシステムの実行・DDoS攻撃 など12ルートキット・最も危険なマルウェアともいわれるバックドア・プログラム・管理者権限を含め完全にアクセスし、外部からのリモート制御が可能に・他のマルウェアの隠ぺいにも利用。・管理者権限を含めた乗っ取り・設定やデータの変更・機密情報の盗難・他マルウェアの拡散 など13SQLインジェクション(SQLi)・ウェブサイトの入力フィールドに悪意のあるSQLクエリを挿入・機密データへのアクセスやシステムファイルの復元、コア・データベースなどへのハッキングに利用アクセス権限・システム情報の変更機密情報の盗難ファイルの削除・復元・改ざんなど2.マルウェアの感染経路と症状マルウェアの主な感染経路と感染症状は対策する上で必須の知識です。効果的な対策と素早い対応が被害を最小限にくい止めます。主なマルウェアの感染経路●メールやSNSの添付ファイルやリンクメールやSNSからの事例がマルウェア感染の約9割を占めます。添付されたファイルやURLは信頼性をよく確認しましょう。●ソフトウェアのダウンロードソフトウェアのダウンロードと同時に感染するケースも後を絶ちません。特に無料ソフトウェアやアプリケーションには注意しましょう。●P2Pでのファイル共有P2P(ピア・ツー・ピア)とはサーバーを利用せず直接データのやりとりを行う通信方式です。脆弱性がある先との接続が感染源になり、不特定多数の端末が接続されているため感染拡大リスクが高いといわれています。 ●ローカルネットワーク1台のデバイスが感染するとネットワーク上のデバイス全体が一瞬で感染します。ネットワークに上げたファイル共有が感染源になるケースも多くみられます。●感染したデバイスやUSBの接続感染したデバイスやUSBを知らずに持ち込み、接続して感染する場合もあります。不特定多数の人間が使用するデバイスやそれに接続したUSB、出所が不明な記録媒体などは利用を控えましょう。●ソーシャルエンジニアリングソーシャルエンジニアリングは心理的な働きかけでユーザーを騙し、機密情報やデバイスへのアクセス権を手にする方法です。フィッシングメールや関係者に感染源になるUSBを拾わせるなど様々な手法があり、オフラインでも狙われる可能性があります。マルウェアに感染したときの症状以下のような症状がみられたらマルウェア感染を疑いましょう。パフォーマンスの低下不審なポップアップの表示電源が落ちる、起動しない、再起動を繰り返す覚えのない動きをするバッテーリーやストレージの容量が激減している覚えのないデータの消失や変更がある 特定のファイルが削除できない など症状が現れずにコードの実行やデータ抽出をするファイルレスマルウェアやスパイウェアなどもあるため、症状がなくても油断は禁物です。違和感がある場合はすぐに接続を切り、セキュリティソフトで検出してみましょう。3.駆除方法はマルウェアの種類によって異なることもマルウェア感染が疑われる場合は以下のように対処・駆除するのが基本です。ネットワークの接続を切り隔離→アンチウィルスソフトで検知・駆除しかし、マルウェアの種類によっては一般的アンチウィルスソフトで対応できない場合があるためマルウェアの種類を特定し、対処できるソフトウェアを準備しましょう。<マルウェアの種類別 対応例>●ウイルスまたはトロイの木馬ディープスキャンを実行できるウイルス対策プログラムまたはマルウェア対策プログラムをインストール。●ワームワームを検出する強力なアンチマルウェアソフトウェアをインストール。●ランサムウェア要求には応じず、証拠を保存し警察へ連絡。サイバーセキュリティソフトウェアで除去し、バックアップデータから復旧。(暗号化データの復旧は難しい)ランサムウェアの詳しい対処法はこちらの記事をご覧ください。https://www.ecmarketing.co.jp/contents/archives/28014.効果的なマルウェアの感染対策とはマルウェアの効果的な感染対策は以下の6つを平行して実践することです。セキュリティソフトの導入OSは常に最新に保つ定期的なバックアップとサーバーログの保管不審なリンクや添付ファイルは開かないダウンロードやインストールは信頼性を確認する専門家に相談・委託する上記の1~5は基本的なマルウェア対策として必須項目です。全社員で実行できるように社内ルールを設けて周知しましょう。しかし、様々な種類があるマルウェアは環境や状況によって最適な対策や対処法が異なり、本格的な取り組みには専門知識と手間が必要になります。通常業務をこなしながら万全に備えるのは難しい企業がほとんどでしょう。マルウェア対策は検討する段階から専門家に相談し、保守を委託するのがおすすめです。悩みや環境に即した対策ができる他、定期的な脆弱性の検証や見直し、感染時の対処まで丸ごと任せられます。マルウェア被害にあった場合の損害や通常業務の効率を考えれば、コストパフォーマンスも決して悪くありません。マルウェア対策について詳しく知りたい方はこちらの記事もご覧ください。https://www.ecmarketing.co.jp/contents/archives/26575.まとめマルウェアの種類は日々巧妙化して増え続け、被害も拡大しています。ウイルスやワーム、ランサムウェアなど代表的なマルウェアの特徴を押さえてしっかりと対策しましょう。主な感染経路はメールの添付ファイルや外部のUSB、ソフトウェアのダウンロードなどある程度共通していますが、駆除となると種類によって有効な対処法が変わってきます。セキュリティソフトの導入やOSのアップロード、定期的なバックアップなど基本対策に加えて、専門知識をもった保守サービスを利用すると安心です。ぜひ検討してみましょう。

  • Webサイト 改ざん検知 ツール・サービス

    2024.02.06 WEB制作

    Webサイトの改ざん検知とは?仕組みやおすすめツールの選び方を紹介
    Webサイトの運用において、サイバー攻撃への備えは必要不可欠です。「サイトの表記がおかしい」「急に全く違うサイトに差し代わってしまった」などの改ざん被害に遭った場合、想定しうる損害は大きなものになります。自社サイトが攻撃に遭うだけでなく、ユーザーを巻き添えにした被害が起こってしまった場合は加害者として損害賠償をしなければならないかもしれません。サイトの改ざん検知ツールを導入するのは被害を最小限に食い止めるための有効な対策です。この記事ではWebサイトにおける改ざん検知について、仕組みやツール・サービスの選び方、改ざんを未然に防ぐ対策方法をお伝えします。1.Webサイト改ざん検知とはコンテンツや管理設定など、Webサイト内のデータの改ざんが起こったときに検知・通報するシステムのことを「改ざん検知」と呼びます。サイバー攻撃を受けた場合、異変に気付いていち早く対応することが重要です。そのため、セキュリティリスクの管理には欠かせないツールであると言えます。Webサイトに限らずシステム内部、アプリなどにも改ざん検知をつけることができますが、今回は特にWebサイトが改ざんされたかどうかチェックするシステムに着目してご紹介します。2.改ざん検知のやり方・仕組みサイトが改ざんされたかどうか判断する方法はいくつかあり、やり方によって検知できる範囲に違いが出ることもあります。仕組みを知り、自社サイトに適したツールを選ぶ材料にしましょう。サーバー内部監視型内部のシステムまで監視対象に入れられる改ざん発生時迅速に対応しやすい外形監視パターンマッチ型過去のパターンをもとに分析するハッシュリスト比較型ハッシュ値を分析することで改ざんされたファイルを特定しやすい原本比較型Webサイトの原本を保管し、実際のWebサイトと比較することで改ざんを検知サーバー内部監視型改ざん検知を行いたいWEBサーバーの内部に検知ツールを設置して監視します。サーバー内のデータに変更が加えられていないかチェックすることで改ざんを検知するという仕組みとなっていて、内部のシステムまで監視対象に入れられるのがメリットです。また、設定によっては改ざんが起こった瞬間リアルタイムで通知されるシステムにすることも可能なので、有事に迅速な対応を行いやすい点も長所だと言えます。ただし、内部監視型の改ざん検知ツールを入れるにはサーバー運用側の設定が必要です。共用サーバーを使っている場合は提供者の都合によって使えないこともあるので注意しましょう。パターンマッチ型(ソース解析型)外部の別サーバーから該当するWebサイトにアクセスし、過去に行われた改ざん事例と照らし合わせる形で検知する方法です。WordPress等の動的コンテンツに対応しています。過去のパターンをもとに分析するため、よく使われる手法の攻撃には高い効果を発揮しますが、未知の攻撃に対しては対処できないこともある点には注意が必要です。また、画像ファイルなど未対応フォーマットのファイルや公開されていない内部ファイルも改ざん検知の領域に含まれていないことには留意しておきましょう。ハッシュリスト(ハッシュ値)比較型定期的に監視対象ファイルのハッシュ値を計算し、誤差が出ていないかどうか比較する方法。運用側がカスタマイズ等で意図的にファイルを変更した場合に誤作動しやすいものの、ハッシュ値を分析することで改ざんされたファイルを特定しやすいというメリットがあります。原本比較型監視対象となるWebサイトの原本を保管し、実際のWebサイトと比較することで改ざんを検知します。原本比較型のツールは内容を更新するたびに改めて原本を用意し直さなければならないのがややネックです。3.改ざん検知ツール・サービスの選び方ここまでご紹介してきた通り、改ざん検知にはさまざまな種類があります。「何を基準に選べばよいか分からない」という方は、以下のポイントを押さえて自分に合ったサービスを選びましょう。改ざん検知の頻度検知方法によって改ざんチェックの頻度はかなり異なってきます。もちろん同じ方法を取っていても価格帯やエンジニアによって検知の周期が変わることもありますが、一つの基準にはなるでしょう。サーバー内部監視型であればファイルの変更があった瞬間に検知する常時監視システムを採用できるので、セキュリティ的には一番確実です。その他の検知方法は外部のサーバーから監視するシステムのため「外形監視」と呼ばれます。仕組み上改ざんが起きた瞬間に通知することは不可能ですが、改ざんの頻度を上げれば「すぐに改ざんに気が付く」システムにすることは可能です。契約するサービスやツールによってはタイムラグが発生する場合もあるので、どのくらいの頻度で改ざんチェックするのかは必ず検討項目に入れるようにしましょう。監視する対象ツールによっては内部の設定ファイルなども改ざんの対象になることもあります。「表には分からないが内部のファイルが改ざんされている」という事態まで考慮して対策したいのであれば、監視対象の範囲が広いサーバー内部監視型がおすすめです。外部からの侵入に備えるという意味では外形監視型でも問題ないでしょう。改ざん発覚時の対応ツールの中には「改ざんがありました」と通知するだけのものもあります。特に無料・安価なサービスは改ざん等の被害が発生したときに自分で修復できる人向けなので、対応できる人がいない状況ではおすすめできません。原因の特定や修正まで行うのが困難であれば、サイトの復旧や再発防止策の提案などの事後対応までサービスに含まれたものを選ぶべきでしょう。4.改ざん検知以外の対策方法も改ざん検知はあくまで「改ざんが起こってからの初動を早める」目的で導入するツールです。セキュリティを強化したいのであれば、まず改ざんが起こる前の対策ができているかチェックしましょう。ファイアウォールなどの対策ソフトの導入不審なアクセスをブロックする役割を持つ対策ソフトの導入が第一です。ファイアウォールWAFなどがサイトと紐づいているサーバーに設置されているかどうか確かめてみましょう。侵入検知システム(IDS)の導入IDSは不正アクセスを検知するためのツールです。改ざんが起こる前には不正アクセス攻撃を受けていることが多いので、サイトの改ざんがあったかどうかよりも先に不正なアクセスを検知するシステムを導入しておきましょう。不正な通信を遮断するIPS(侵入防止システム)というセキュリティツールもあります。こちらを導入すれば検知だけでなくブロックまでしてくれるので、まだインストールしていないようであればいち早く導入しておくことをおすすめします。アップデート、脆弱性情報の管理WordPressなどのオープンソースCMSは特にアップデートが頻繁にあるので、更新しないで放置していると脆弱性が見つかって改ざん被害に遭う可能性が高まります。こまめにアップデートを行い、脆弱性に関する情報を収集することでリスクを軽減できることを頭に入れておきましょう。しかし、アップデートに対応するとサイトが表示崩れを起こしたりレイアウトが変わってしまったりと何かと手間が多いもの。「管理しきれない…」という場合は、保守サービスの利用もおすすめです。改ざん検知システムの導入や定期的な診断レポートの作成なども一括で代行できるので、自社サイトの状態を把握しながらプロに管理を任せることができます。>>>WordPress保守サービスについて詳しくはこちらから<<<5.まとめサイトが改ざんされたかどうか検知するツールを導入するのは被害を最小限に食い止めるのに必要です。また、改ざん検知だけでなく多方面からしっかりとセキュリティ対策を行うことで、自分のサイトを守ることになります。もし導入がお済みでなければ、早急に対応することをおすすめします。

  • 情報漏えい セキュリティリスク 事例も紹介

    2024.02.06 WEB制作

    情報漏えいのセキュリティリスクを知っておこう|実際の事例・対策を紹介
    企業で情報漏えいが発生した場合のリスクは近年徐々に知られるようになってきました。しかし、実際にセキュリティインシデントが発生したらどのような損害が生じるかはご存知でしょうか?情報漏えいによって損害賠償が発生した場合、企業全体に大きな打撃を与える可能性は極めて高いと言えます。 この記事では企業の情報漏えいの事例から、被害を防ぐための対策をご紹介します。情報漏えいの損害賠償リスク情報漏えいによって被害を受けた顧客へ損害賠償をしなければならない場合は、1人当たりの賠償額を算出し、被害者数から総額を決定します。重大な被害が発生しなかった場合の1人当たりの金額は3,000円 ~ 5,000円だとされています。仮に1万件の個人情報が流出して1人5,000円賠償したとすれば、5,000円×1万人=5,000万円の損害賠償となります。1人5,000円というとたいしたことはないように聞こえますが、被害に遭った人数が多ければかなり大きな賠償額になることが分かると思います。とくに自社サイトで会員登録させている場合、会員数で被害額をイメージしてみてください。セキュリティ対策にかかるコストと天秤にかけるまでもなく、管理を蔑ろにできないことは明確です。1人当たりの賠償額決定基準は主に以下の3つです。これらの基準に則って基本的な賠償額が決まりますが、何らかの要因によってより重大な過失が認められた場合はさらに金額が上がることも考えられます。漏えいした情報の内訳クレジットカードの情報などの情報が含まれていると賠償額は高額化します。住所と氏名が紐づいた情報の流出など、個人が特定するのが容易なレベルまで漏えい被害が発生した場合も額が高くなるでしょう。また、情報の流出に精神的苦痛が伴う「手術歴」「看護記録」「宗教」などの情報が含まれていた場合も重篤な漏えいとみなされます。二次被害の有無流出したメールアドレスに迷惑メールが送られてくる流出した住所に身に覚えのないダイレクトメールが送られてくるクレジットカード情報の不正利用が発生しているなどの二次被害が発生している場合は賠償額がさらに高くなります。インシデント後の対応賠償額を決定する要因は実際に起きた被害の規模だけではありません。情報漏えいが発生した後の対応が適切であったかどうかも最終的な額に影響してきます。具体的には、被害者への速やかな連絡不具合の原因への迅速な対応再発防止策の策定などが挙げられます。2022年に施行された改正個人情報保護法で、個人の権利・利益を害する可能性が高い情報漏えいが発生した場合は「個人情報保護委員会への報告および本人への通知」が義務になりました。適切な対応を行わなかった場合は「法令を遵守する意識がない」とみなされて賠償額が高まる可能性もあるため、有事の際は誠実な対応を心掛けなければなりません。情報漏洩時に想定される損害賠償以外のリスク情報漏えい時に発生する被害額は損害賠償だけではありません。日本ネットワークセキュリティ協会(JNSA)が2023年に実施したアンケート※によれば、Webサイトからの情報漏えいで生じた被害金額は平均2,955万円、クレジットカード情報を含む情報漏えいだった場合は3,843万円でした。不正利用に対するカード会社からの賠償請求などが発生するため、比較的金額が高くなることが分かります。また、漏えい被害に遭ったと回答した中の7割超が中小企業だったとのデータも出ています。大きい会社が攻撃を受けやすいわけではなく、会社の規模を問わず莫大な額の被害に遭っていることにも注目すべきです。被害金額の内訳として、具体的には以下のような被害が想定されます。詐欺・脅迫などによる損害例えば「顧客情報を公開されたくなければ●千万円払え」といった脅迫が届くなど、攻撃者からのアクションによって損害を被ることも少なくありません。また、インターネットバンキングを乗っ取って直接金銭を盗み取るパターンなども想定できます。脅迫の場合は拒否したときにも新たな損害が起こる可能性があるため、慎重に対処する必要があります。イメージ低下・顧客の喪失情報漏えいが起こったとなるとイメージが低下し、顧客からの信頼も下がってしまいます。上場企業であればイメージの低下が株価の下落につながる可能性も高いでしょう。具体的な数値として被害額を出すことは難しいかもしれませんが、イメージ低下によってユーザーの離反が起こることも考えるとかなりの打撃になると考えられます。サイト停止による機会損失サイト経由で不正アクセスや情報漏えいが起こった場合、一時的にサイトを閉鎖しなければならない可能性が高いです。サイトの閉鎖期間中、本来ならば得られたはずの機会損失も被害の一部と捉えられます。閉鎖したサイトが売り上げに直結するECサイトだった場合は特に甚大な損害を生むでしょう。被害額としての算出が難しい項目ですが、イメージダウンによる損失も併せて考えると決して無視できない被害になります。問題解決までの業務にかかる費用情報漏えいが発覚してから全ての問題を解決するまでには多大な時間と人件費がかかります。外部に委託しなければならない業務も多々あるため、こちらも損害としては大きくなるでしょう。①調査費用・復旧費用特にサイバー攻撃による漏えい被害が発生した場合、残ったデータを詳しく調査して原因を特定しなければなりません。また、セキュリティの専門家がいない場合は復旧作業を外部のサービスに頼ることになるでしょう。対応費用はインシデントの被害規模によりますが、数十万~数百万円はかかると想定されます。また、端末やサーバーの入れ替えが必要となればさらに高額な費用が発生します。②法律相談、裁判費用顧客から賠償請求があった場合の対応、行政への手続きには法律の専門家によるアドバイスが必要です。裁判に発展した場合は弁護士費用もかなり高額になってくる可能性があります。③顧客対応のコールセンター費用、広告宣伝費被害者の規模によって対応は変わってくるものの、顧客へのケアにもかなりの費用がかかるでしょう。具体的には、一人一人にDMを送る、マスコミを通じて被害の通知と謝罪を行うなどの対応が挙げられます。実際の事例では、賠償とは別にお詫びの品を送る対応を行う企業もありました。また、情報漏えいによって被害を受けた顧客が多かった場合は外部のコールセンターに委託して専用の対応窓口を設けるパターンも存在します。事例①関連会社での情報漏えいによる損害賠償ここからは実際に起こった損害賠償の事例についてご紹介します。まずは2014年に発覚したベネッセコーポレーションの顧客情報流出事件。(参考:日本経済新聞※1)社員による情報の持ち出しが発覚したのはベネッセ本社ではなく委託先の関連会社ですが、運営元であるベネッセに監督義務違反があったとして訴訟に発展しました。情報漏えい被害に遭った顧客約5700人がベネッセを相手に訴訟を起こし、1人当たり3,300円・総額約1,300万円の賠償が決定しました。流出した情報についてはそこまで秘匿性が高くないと判断されたため1人当たりの金額は比較的少額ですが、機密情報を有するサプライチェーン企業のセキュリティ保全の必要性が分かる事例です。事例②情報漏えいの責任を巡って委託先へ損害賠償を求める2018年に群馬県前橋市の学校で発生したこの事例で発生した賠償金は一審時点で約1億4,200万円とかなり高額です。(参考:前橋地方裁判所判例※2)なぜこんなに高額な賠償になったのかというと、顧客への賠償ではなく「情報漏えいによって受けた損害すべて」を委託先であるNTT東日本に請求した事案だからです。先述したように、情報漏えいが発生した場合は多額の損害が発生します。この事例では学校ネットワークを管理していたNTT東日本に責任があるとして、前橋市が同社を提訴したという形です。裁判所の資料では、当初前橋市が請求していた賠償金約1億7,000万円の内訳を以下のように記しています。調査・システム復旧費用:(外部・内部あわせて)約6360万円端末復旧費用:約8260万円保護者対応費用、職員の時間外勤務手当など:約1470万円第三者委員会、弁護士への報酬:約1720万円※金額は10万の位で四捨五入して各項目をまとめた概算です。学校組織で発生したインシデントなので内訳の細かい部分は違ってくるかもしれませんが、45,000件以上の個人情報が流出したサイバー攻撃の事例でかかった費用の例としてはかなり具体的で参考になると思います。企業で起きた情報漏えい事例だと委託先を提訴することは少ないため、ここまできっちりと被害金額を公表しているパターンはほとんどありません。そのため、「実際にこのくらいの費用が発生する」という金銭的被害を具体的に算出・公表した貴重な一例であると言えます。情報漏えいリスクを避けるためのセキュリティ対策情報漏えいが起こる前の対策をしっかりしておけば、リスクは圧倒的に軽減されます。まずは基本的な対策がきちんとできているかチェックしましょう。もっと詳しくセキュリティ対策について知りたい方は「サイバー攻撃とは?企業が行うべき対策を分かりやすく解説」もご覧ください。怪しいURLやファイルを開かない特にサイバー攻撃はフィッシングメールを通じたマルウェアへの感染、不正アクセスが原因であることが多いです。不審なメールに記載されたURLやファイルは開かないようにしましょう。ブラウザにフィルタリング設定を入れるのも有効です。セキュリティ対策ソフトを入れるファイアウォール、WAFなどのソフトでの対策も必要不可欠です。個人が所有するデバイスだけでなく、サイトを管理するツールやサーバーにも設置するようにしましょう。パスワードを厳密に管理する推測されやすいPWは使わない、使いまわしはしないなど。簡易的なパスワードを使っていると、攻撃者が認証を突破してしまうリスクが高まります。十分に注意しましょう。Webサイトのセキュリティを強化するバックアップを取る、アップデートの管理を行うなど。例えばWordPressのサイトならセキュリティ用のプラグインを入れるといった対策も考えられます。もし保守しきれていないようであれば、外部サービスの利用も検討すべきです。また、先述したようにセキュリティ会社の保守に抜けがある可能性もあります。定期的なセキュリティ診断を欠かさないことが大切です。>>>保守サービス・無料セキュリティ診断についてはこちらから<<<まとめ情報漏えいによって発生する損害は数百万円~場合によっては数億円にまでのぼる可能性があります。自社が大きな被害をこうむることがないよう、普段からセキュリティ対策を怠らないようにしましょう。もし自社のサイトやサーバーの状態に不安がある場合は当社の保守サービスも検討してみてください。※1 JNSA+「サイバー攻撃被害組織のアンケート調査(速報版)」※2 前橋地方裁判所民事第2部「令和2(ワ)145 損害賠償請求事件」

  • WordPress 表示速度 改善

    2024.02.06 WEB制作

    WordPressサイトの表示速度が遅い原因はこれだ!改善方法や必須プラグインをご紹介
    たくさんの人に見てもらえるようなサイトを作っていくには何が必要だと思いますか?ページのレイアウトやコンテンツの内容ももちろんとても重要ですが、「サイトが早く表示されるかどうか」という点もユーザーの満足度を維持するのに欠かせない要素です。特にWordPressは対策をせずそのまま運用していると表示スピードに関する悩みを抱えがちです。自社サイトの表示が遅いと感じているようであれば、原因を分析してサクサク表示されるサイトを目指しましょう。1.WordPressの表示速度が遅くなる原因WordPressで制作したサイトが重くなる原因はいくつかあります。原因ごとに対策も変わってきますので、まずは自分のサイトを見て表示が遅い原因をチェックしましょう。画像サイズが大きすぎる・フォーマットが悪い画像はそのままだとサイズが非常に大きい場合もあります。デスクトップでの閲覧を想定しても最も大きい場合で1920px×1080pxくらい。それ以上であれば、画像が大きすぎると判断してよいでしょう。表示する場所によっても適切なサイズは違うことにも注意すべきです。小さいアイコン画像なのに必要以上に大きいサイズで表示していないかなどにも気を配ってください。また、画像のフォーマットにも注目してみても良いかもしれません。例えば写真の現像時に使われるRAWファイルは容量が極端に大きいので、サイトにアップするには不向きです。一般的に使われているPNG・JPEGのほか、最近はWEBPと呼ばれる軽量化された画像ファイル形式も知られてきています。2024年現在ではまだブラウザカバー率が低いため積極的な導入は推奨されていませんが、必要であればフォーマットの変更も検討するのも一つの手です。HTML・JavaScript・CSSが最適化されていないWordPress内部のファイルをHTML等でカスタマイズしている場合に考えられる原因です。例えば「WordPressをカスタマイズした形跡があるが、何度か担当者が変わってどのようにファイルをいじったか分からない」といった場合は、不要なコードがあって処理に時間がかかっている可能性が想定されます。サーバーの処理速度が遅いWordPressなどの動的サイトはデータベースからサーバーを介して情報をやり取りするので、サーバーのスペックが悪いと処理速度が遅くなる可能性があります。「データ量の多い大規模なコンテンツを運用しているのにレンタルサーバーの一番安いプランを契約している」といったケースでは、サーバーの処理速度が追いついていないのが原因になっていることも考えられるでしょう。2.表示スピードの改善に必要な対策実際に表示スピードを改善するのに必要な対策は以下の通りです。原因が分からないという方は、最初に紹介する「Page Speed Insightsでサイトの速度をチェック」をまず試してみましょう。Page Speed Insightsでサイトの速度をチェックサイト速度のチェックは厳密には対策ではありませんが、具体的な対策を練る前の現状分析に必要です。まずは何らかの手段でサイトの表示速度を分析してみましょう。今回紹介する「Page Speed Insights」はGoogleが提供している表示速度分析ツールですが、表示速度を測るツールは複数あるのでどれを使っても構いません。項目ごとにスコアを見ることで、表示速度を効果的に改善することができます。Largest Contentful Paint(LCP):ページ内で一番サイズが大きいデータ(画像や動画など)が表示されるまでの時間First Input Delay(FID):ページで何らかの動作を行ったときに反応にかかる時間Cumulative Layout Shift(CLS):ページを読み込んだ後のレイアウトのずれFirst Contentful Paint(FCP):ページを読み込み始めてから何らかのコンテンツが表示されるまでの時間Interaction to Next Paint(INP):ブラウザの応答に最も時間がかかったアクションTime to First Byte(TTFB):ブラウザがサイトのサーバーから1バイトを最初に受信するまでの時間例に挙げたこのサイトでは特に「FCP」と「TTFB」のスコアが悪いことが見てわかると思います。TTFBの読み込みが遅いということは、サーバーの応答に時間がかかっていることが原因の一つでしょう。ですので、キャッシュ系のプラグインを入れたり、サーバーをアップグレードしたりといった対処法が考えられます。サイズ画像の圧縮画像を適切なサイズに圧縮すると表示速度が改善されます。画像サイズを圧縮できるツールやサイトもありますが、WordPressであれば後述するようにプラグインを入れるのが簡単です。画像を遅延読み込みさせる画面外の画像(オフスクリーン画像)を後から読み込むことで、ユーザーから見える表示スピードが向上します。画像などの読み込みを遅延させる仕様をLazy-loadと呼びますが、WordPressならプラグインなどを入れなくてもデフォルトで対応可能です。バージョン5.5以降はLazy-loadが標準で実装されるようになっているので普通にメディア追加機能を使っていれば遅延読み込みされるはずですが、古いバージョンを使っているなどの要因があれば改善の余地があるかもしれません。キャッシュを活用するキャッシュとは、閲覧履歴のあるWebページをブラウザに保存させて、再度読み込む際の動作や時間を短縮する機能です。キャッシュの活用もWordPressならプラグインの導入で対応できます。使っていないコードの削除不要なコードの処理を減らすことで表示速度が改善することもあります。ただし、内部ファイルの編集にはJavaScriptやCSSの知識が必要です。仕組みをよく分かっていない初心者がいきなり内容をいじってしまうと、サイトの表示崩れなどさらに重篤な不具合をもたらす可能性があることには留意しておきましょう。もし周囲に知識を持った人がいないのであれば、専門家に相談してみるのもおすすめです。>>>WordPressの保守をプロに相談<<<サーバーを変えるレンタルサーバーを利用しているようであれば、契約しているプランがコンテンツの大きさと合っていない可能性もあります。多くの場合コストは上がりますが、サイトの規模感に合っていないようならよりパフォーマンスの高いサーバーに乗り換えるのも一つの手です。 3.表示スピードを改善しないことによるデメリットそもそも「表示スピード」はWebサイトの要素として重要なのでしょうか?答えはYESです。コンテンツ内容に直接かかわるものではないかもしれませんが、ユーザーの流入数や直帰率には大きな影響を及ぼします。デメリットを認識し、表示速度を高める工夫をしましょう。ユーザーの満足度が低下するスマホで情報を調べているとき、サイトがなかなか表示されなくてイライラした経験はないでしょうか?あまりに長いこと表示されなければそのまま「戻る」ボタンを押してしまう人も多いと思います。表示スピードが遅いとユーザーの満足度が低下してしまいます。満足度が下がるだけでなく、求める情報にたどり着く前にあきらめて離脱してしまう可能性も高まるでしょう。サイトの評価を上げてユーザーの直帰率を下げるための施策として、表示スピード対策は非常に重要だと言えます。検索順位に悪影響を及ぼすGoogleはサイトの表示スピードが検索順位を決める基準の一つとなっていることを公表しています。サイト内のコンテンツ内容と直接の関係はありませんが、ユーザーの利便性を考えて基準の一つとして採用しているものと推測されます。表示が遅いサイトは検索順位が上がらない、つまり顧客の満足度以前にアクセスしてもらえない可能性があるということです。4.WordPress表示スピード高速化に役立つおすすめプラグイン2選以下は当サイトの表示速度改善にも導入している必須プラグインです。WordPressサイトの表示スピードにお悩みでしたら、まずは導入してみましょう。※画像の遅延読み込み(Lazy-load)はバージョン5.5から標準機能として搭載されているため、現在はプラグイン非推奨です。キャッシュ高速化:W3 Total Cacheキャッシュの高速化を行えるプラグイン。キャッシュを保存しておくことでその手順を省くことができ、結果的に表示速度が上がります。画像圧縮:EWWW Image Optimizer画像を自動的に圧縮してくれるプラグイン。ページに画像が表示される際にファイルサイズが小さくなるため、WordPressを高速化できます。通常画像の圧縮にはやや手間がかかるので、一括で置換してくれる便利なツールです。5.まとめWordPressの表示速度改善はサイトの健全な運用に不可欠です。Page Speed Insightsのスコアが悪い場合は何らかの対策を取ることをおすすめします。プラグインの導入など簡単な対策で解決することもありますが、根本的な原因の解消にはプロの分析を頼った方がいいかもしれません。当社のサービスではWordPressの表示スピード改善も承っています。セキュリティ保守と一括で柔軟に対応しますので、「管理周りのことは全部プロに頼みたい」という方にもおすすめです。

  • セキュリティ診断 種類、相場など

    2024.01.31 WEB制作

    Webサイトのセキュリティ診断は必要?種類や価格の相場、チェック項目を紹介
    インターネットに関わる技術が進歩したことで、今やWordPressなどのツールを使えば誰でもWebサイトを制作できる時代になりつつあります。Webサイトの運用にはセキュリティ管理が必要不可欠ですが、コンテンツの中身にばかり意識が向いて「よく分からないから…」と放置してしまう会社も多いのではないでしょうか。作るだけ作ってセキュリティ対策を怠った状態になっているようであれば、何らかの改善策が必要です。「何から始めたらいいか分からない」「セキュリティ対策はしているつもりだけど、課題点があるかもしれない」そういった方にはセキュリティ診断をおすすめします。種類はさまざまですが、無料でしっかりとした診断を受けられるものもあります。参考にしたうえで、ぜひ自社に合ったサービスを選んでください。1.Webサイトのセキュリティ診断(脆弱性診断)とはセキュリティ診断とは「システムやネットワークのセキュリティ状況を評価する診断」のこと。サイトだけでなく、アプリや内部システムもセキュリティ診断の対象になります。Webサイトの診断においては、脆弱性を見つけて対策するための診断という意味で「脆弱性診断」とも呼ばれます。サイバー攻撃に遭う可能性のある脆弱性がないかどうかチェックし、対策を講じるために利用するのが一般的です。2.セキュリティ診断の種類・価格相場セキュリティ診断にもさまざまな種類があり、価格の相場は方法によって大きく異なります。大きく分けて「ツール診断」「マニュアル(手動)診断」に分類されますが、どちらか一方だけでなく両方を併用するようなサービスも多くあります。どの診断を利用するか迷っている場合は、診断方法をチェックしてみましょう。ツール診断自動検知ツールなどを使って脆弱性を測る方法。自動ツールを使って診断するため、手動よりも低コストかつ短時間で実施できるのが長所です。ツール診断は無料~数十万と比較的安価ですが、内部システムに関わる専門的な知識を要する脆弱性の検知など、ツールのみの診断では見落としが発生するリスクがあることには注意した方がよいでしょう。ツール診断の中でも以下の3種類の方法に分けられます。クラウド型インターネットを経由して診断を行います。ツールをインストールしたり管理したりする手間が省けるため、比較的手軽に利用できるのがメリットです。ソフトウェア型自社のパソコン・サーバーにツールを入れて診断するサービス。オフライン環境でも利用できるのがメリットです。オープンソース型インターネット上に公開されているソースコードを利用して診断できるツール。カスタマイズ性が高く無料で利用できるのがメリットですが、使いこなすには専門性が必要なので初心者向けではありません。マニュアル(手動)診断セキュリティの専門家に依頼し、人力で細かくセキュリティの穴がないかチェックします。相場は数万円~数百万と幅広いのが特徴です。ツール診断と組み合わせて診断するサービスであれば数万円、大規模なWebサイトをプロの手で網羅的に診断したい場合は数百万円かかるケースもあります。多くの場合は有料ですが、WordPressに特化したセキュリティ診断であれば無料で受けられるパターンも存在します。リモート診断遠隔地から外部からアクセスできるサーバーなどにアクセスし、脆弱性をチェックします。サーバーに設置されているファイアウォールが機能しているかなど、外部からの攻撃を想定した脆弱性を見つけることができます。オンサイト診断外部に公開されていないサーバーなども診断対象として、内部システムの脆弱性を測ります。万が一外部から侵入された後に攻撃を防ぐシステムができているか、社内のセキュリティシステムに問題がないかまでチェックすることができるのがメリットです。3.WordPressセキュリティ診断サービスの主なチェック項目WordPressで制作したサイトがセキュリティ対策の落とし穴になりやすいのはご存知でしょうか。初心者でも簡単に作れるがゆえに、「表示崩れが怖くてアップデートしていない」など、判別がつきやすい部分で脆弱性が生じているパターンが多いので注意が必要です。もしWordPressを使って運用しているサイトのセキュリティに不安があるようなら、WordPressのサイトを専門に診断できるサービスを受けてみましょう。具体的な診断項目は以下のようになっていることが多いです。内部システムの脆弱性コアファイルプラグインテーマなど、WordPressの内部を構築するファイルに脆弱性がないかチェックします。バージョンアップせず放置していたり、何年も更新していないプラグインが残っていたりする場合はセキュリティが甘いと判断されます。ユーザー情報・管理画面WordPressを運用するユーザーの管理も重要です。具体的には、パスワード、IDが推測されやすいもの(生年月日、ドメイン名など)でないか各ユーザーに適切な権限を与えているかパスワード画面が適切に保護されているかなどをチェックします。内部のシステムをしっかり警備していても、管理ユーザーのセキュリティが甘いとサイバー攻撃の標的になりやすいので注意が必要です。その他バックアップの有無通信の暗号化(SSL化)などもチェック項目に含まれていることが多いです。>>>通信の暗号化について詳しくはこちらから<<<バックアップは不具合発生時の復旧に必須なので、セキュリティ対策としては基本中の基本です。診断前にしっかりできているかチェックしておくとよいでしょう。4.セキュリティ診断を受けるべきサイトの特徴どんなWebサイトも定期的なセキュリティ診断を受けるのが最良ですが、特に以下の特徴に当てはまる場合は今すぐ一度セキュリティ診断を受けてみることをおすすめします。しばらくアップデートしていないどんなツールを使って作ったサイトであれ、アップデートの管理を怠った状態は一番攻撃者につけこまれやすいものだと認識しておきましょう。特にWordPressなどのオープンソースCMSは脆弱性への対策がアップデートを通じた自己対応に任せられているので、放置した場合の危険性はひときわ高いと言えます。アップデートを放置しているようなWebサイトには他の問題が生じている可能性もあるので、まずは何が問題なのか診断を通じてチェックしてみるべきでしょう。担当者が変わってしまったセキュリティ対策が甘いことに悩みを抱えている方は、当初と担当が変わって設定の情報などが分からなくなっているパターンも多いのではないでしょうか。担当者の変更が原因で放置してしまっているのであれば、一度セキュリティ診断を行って何が問題なのか可視化してからサイトの改善を行うのが近道です。セキュリティについて分かる人がいない場合でも、セキュリティ診断を専門家に頼めば適切なアドバイスがもらえます。>>>WordPress無料診断を依頼する<<<セキュリティ保守の予算が下りないサイト保守をしっかり行うとなると、自社でやるにも外注するにもある程度予算がかかります。しかし、特に中小企業ではサイバーセキュリティの重要性、情報漏えいなどのリスクが共有されず重要性が看過されがちです。上層部がセキュリティリスクを認識していないため対策に割く予算が下りず、現場で悩みを持つパターンも多いのが現状です。セキュリティ対策を外部に委託する保守サービスも実はそこまで高額ではありませんが、利益が生じる投資ではないため導入を渋るケースも見られます。「自分は関係ない」という思い込みがサイバー攻撃の被害を生み出すのです。まずは実際にセキュリティ診断を受けてみて、具体的な課題点やリスクが見えると予算を割く説得材料になります。もしセキュリティ対策にお悩みのようでしたら、一度診断を受けてみましょう。>>>無料セキュリティ診断はこちら<<<5.まとめセキュリティ診断サービスは多種多様で、サイトの規模や診断の適用範囲によって価格やサービス内容も大きく異なります。脆弱性情報は日々更新されるため定期的な診断を行うのが一番ですが、課題点を認識するにはまず一度診断を受けてみるのがよいでしょう。当社では、WordPressのセキュリティ保守サービスの一環として定期的なセキュリティ診断とレポート提出を行っています。「診断されても解決策が分からない…」という場合は、プロがセキュリティ管理まで一括でサポートします。自社サイトの課題点を認識するために無料セキュリティ診断を受けてみたいという方は、WordPress丸ごとお任せ(保守)サービスのページをご覧ください。

  • ランサムウェア 対策

    2024.01.31 WEB制作

    ランサムウェアに有効な7つの対策!感染したときの対処法まで解説
    突然データが暗号化され、復旧と引き換えに金銭を要求するメールが届くランサムウェア。データが戻ることはなく被害コストも甚大であり、事前対策が特に重要とされるマルウェアです。ランサムウェアの被害は事業規模や業種を問わず急拡大しており、被害にあった法人の累計被害額は3年間で平均1億7689万円※といわれています。どの企業においても早急な対応が必要です。 今回はランサムウェアに有効な対策と感染した場合の対処法をご紹介します。1.いますぐランサムウェア対策が必要な理由トレンドマイクロ㈱が2023年に行った「サイバー攻撃による法人組織の被害状況調査」※によると、この3年間のランサムウェア被害を受けた法人の累計被害額は平均1億7689万円。復旧にかかった業務停止期間は、通常のサイバー攻撃が平均4.5日のところランサムウェア攻撃では平均13日と3倍近い日数が報告されています。この数年でランサムウェア被害が急増した主な理由は、新型コロナ感染症や働き方改革によって社外へのネットワーク接続が増えたことです。テレワークやSaaS、RDS(遠隔操作サービス)の利用が急速に進められた中で、多くの企業が新たな環境に適したセキュリティへの移行が間に合わず、その脆弱性がランサムウェアに狙われています。ランサムウェアに一度感染すると完全な復元は不可能であり、事業存続にかかわる大きな被害を出す場合もあります。早急に対策を検討しましょう。2.ランサムウェアに有効な7つの対策ランサムウェアはネットワークの脆弱性やメールの添付ファイル、ソフトウェアのダウンロードなどから侵入します。以下の7つの対策を同時に行いましょう。定期的なバックアップ感染に備えて常にバックアップをとることが最も重要です。ランサムウェアにデータを暗号化されても最新情報をしていれば被害を最小限に抑えられます。バックアップへの感染を防ぐため複数コピーして外部からアクセスできない場所に保管しましょう。OSやアプリケーションを最新に保つOSやアプリケーションは時間が経つと脆弱性が見つかることがある上、ランサムウェアをはじめとしたマルウェアは日々進化します。OSやアプリケーションの更新連絡がきたらすぐに適用して最新のプログラムにしましょう。使用していない古いアプリの削除も必要です。セキュリティ対策ソフトの導入と更新ほかのマルウェアもランサムウェアの侵入経路になるため総合セキュリティ対策ソフトの導入は必須です。すでにセキュリティソフトを導入している場合は更新状況や十分な性能があるか見直します。ランサムウェアは従来型のソフトでは検知できないケースも多くあります。EDRも含めて導入を検討しましょう。パスワードの管理徹底・多要素認証の導入パスワード管理は基本ですが、慣れや作業性を優先して簡易化されやすいものです。定期的な変更、法則性のない並び、十分な長さなど改めて徹底させましょう。SMS認証や生態認証など多要素認証の導入もおすすめです。アクセス権限の最小化感染の予防と拡大防止のため、ユーザアカウントのアクセス権限や範囲などは必要最低限にします。特に、外部に公開されているアカウントは攻撃対象になりやすいので、内部への接続を可能な限り制限しましょう。ネットワークの監視とログの保存ネットワークの監視はランサムウェア感染時の不審な挙動の早期発見、ネットワークログの保存は侵入経路の特定につながります。感染時の被害をいち早く収めるために必ず行いましょう。全社員での警戒と危機意識の共有マルウェア対策はネットワーク全体で行わなければなりません。以下のようなセキュリティルールを作成し、全社員で情報共有・警戒を徹底しましょう。偽装メールやSNS、不審なUSB、公衆Wi-Fiへの警戒メールのスキャンやフィルタリング機能の活用不審な添付ファイルやURLをクリックしないダウンロード前に信頼性の確認を行うデバイス持ち込みは事前スクリーニングと報告 など>>>サイバー攻撃への対策について詳しくはこちらから<<<3.ランサムウェアに感染したときの対処法巧妙な手口が次々と生まれるランサムウェアは万全な対策をとっていても感染が避けられない場合があります。被害を最小限に抑えるために感染時の対処法も合わせて周知しておきましょう。ランサムウェアに感染した場合の対処は以下の手順で行います。①ネットワークの遮断感染が疑われたら、すぐに端末をネットワークから遮断して隔離します。同じネットワークを使用している端末はすべて感染の可能性があるため、早急に連絡して同様に対処させます。検出や駆除作業より優先させましょう。絶対に要求には応じないランサムウェアはデータを奪うまたは暗号化するなどして、その漏洩防止や普及と引き換えに金銭や資産を要求してきます。しかし、データが安全な状態で戻ることはありません。一度要求に応えてしまうとそのデータが共有され攻撃が増えるとも言われています。「要求には絶対に応じてはならない」と周知しておきましょう。②ランサムウェアの検出と駆除端末の隔離を終えたらセキュリティ対策ソフトでランサムウェアの検出と駆除を行います。多くの対策ソフトでは自動で特定箇所の削除や隔離がされますが、最新のランサムウェアの検知や駆除は非常に難しく対応できないソフトウェアも多いようです。対処しきれない場合はセキュリティ担当者やサポートセンターへ依頼しましょう。③ファイルとデータの復号暗号型ランサムウェアは、「No More Ransom Project」などの復号化ツールでファイルとデータを復号できる場合があります。ただし、すべてのランサムウェアに対応できるわけでなく、端末に不具合が生じる可能性があるためよく検討してから使用しましょう。④バックアップデータからの復旧ランサムウェアに奪われたデータは最新のバックアップデータから復旧させます。バックアップデータの保管場所によっては感染している恐れがあるので、安全が確認できたデータを使用しましょう。⑤警察へ通報ランサムウェアはれっきとした犯罪行為です。攻撃を受けたら警察の各都道府県のサイバー犯罪相談窓口へ通報しましょう。対処に悩んだときの相談先にもなってくれます。4.ランサムウェアの対策や感染は専門家に相談するランサムウェアをはじめとしたマルウェア対策は複数の対策を同時に行わなければならず、さらに常に変化する手口に最新の知識で対応する必要があるとなると、専門職でなければ難しいでしょう。社内に専門の担当者がいない場合は、24時間体制でサイバー攻撃を監視してくれるSOC(セキュリティ対策専門部署)やwebサイトの保守サービスなど外部の専門家に委託するのがおすすめです。ランサムウェアは事前対策と感染時の迅速な対応が被害規模に大きく影響します。損失を最小限に抑えるために、万全の体制を整えておきましょう。5.まとめランサムウェアの被害はこの数年で急増しており、復旧の難しさや事業への悪影響は他のマルウェアを大きく超えています。被害を受ける前に早急に対策しましょう。検知が難しいランサムウェアを防ぐには、定期的なバックアップやアプリの更新など基本的対策に加え、ランサムウェアに対応できる高性能セキュリティソフトの導入などもう一歩踏み込んだ対策が必要です。また感染被害を最小限に抑えるために正しい対処法も周知しておきましょう。感染したらまずネットワークを遮断、要求には応じない、警察への通報の3つです。セキュリティソフトを使った検出や駆除、暗号化されたデータの復号、データの復旧などの作業は専門知識をもったSOCや保守サービスなどの利用がおすすめです。※トレンドマイクロ株式会社+「サイバー攻撃による法人組織の被害状況調査​」

  • 社内向け セキュリティ対策ルール 策定方法

    2024.01.25 WEB制作

    【社内向け】セキュリティ意識を高めるルールの策定方法を解説
    最近はマルウェアによる被害や情報漏えいなどのセキュリティリスクが知られるようになってきて、「自社のセキュリティ対策は万全なのだろうか」と不安に感じる人も多いのではないでしょうか。実際、サイバー攻撃などのリスクに備えていない企業は何らかの被害に遭う確率が高まります。しかしその一方、「私は関係ない」とどこか他人事に思っている人が多いのも事実です。どれだけシステムの対策をしたとしても、一人の社員がスパムメールを開いてしまったら意味がありません。また、セキュリティへの意識的な取り組みだけでなくデバイスの管理など技術面での対策も重要です。この記事では、社内でセキュリティ対策を強化したい人向けに効果的なルールの策定方法を紹介します。1.社内セキュリティ対策ルール策定前の基本セキュリティ対策ルールを従業員間で共有・徹底するには、まず「ルールをどう扱い、改善していくか」という視点を身につけておくことが重要です。社内でルールを決める際は、事前に規則の扱い方を頭に入れておきましょう。セキュリティリスクを社内で共有するルールを定めても「なぜこのルールが必要なのか」理解していないと実施の徹底は困難です。サイバー攻撃を受けたときなどに被る損害賠償や業務停止のリスクについて周知し、全社員が自律的に取り組めるようサポートしましょう。上層部・システム担当・その他の社員が連携する予算を出すには上層部の許可が必要であり、技術面でのセキュリティ強化にはシステム担当の知識が必要です。さらに、全社員の協力がなければどこかにセキュリティホールが生じてしまいます。一部の社員ではなく、全員が守れるようなルールを定めて実施状況を確認するよう仕組みを整備しましょう。形式が明確な規定としてルールを共有したい場合は、セキュリティポリシーを設定するのも一つの手です。常に情報を収集し、ルールを改善するサイバー犯罪は日々複雑化しており、以前からのルールを守っているだけでは攻撃にさらされるリスクが高まります。IPAなどの機関が最新の脆弱性情報を発信していますので、常に誰かが一次情報を収集するよう心がけましょう。また、情報の更新や社内の変化に応じて必要であればルールの改善を行ってください。一度決めて終わりではなく、PDCAサイクルを回して改善していくことが重要です。2.ルール設定に役立つ!セキュリティの3大基本対策サイバーセキュリティの対策にはさまざまな種類がありますが、大きく3つに分類できると認識しておくとルールの設定に役立ちます。技術的対策ソフトウェアなどにセキュリティ対策を施し、システムを保護します。エンジニアによる技術支援が必要です。人的対策人間が起こすミスや不正行為を予防するための対策のこと。社内全員の協力が必要です。物理的対策オフィスへの侵入や災害などから物理的な保護を行います。特に中小企業では予算不足で物理的な対策が難しいこともありますが、リスクへの備えとしては不可欠です。3.【セキュリティ対策】社内ルールのチェックリスト13項目前章でご紹介した対策区分ごとにルールの一例をご紹介します。どのようなルールを決めるかは社内の状況にもよりますが、以下の事項は最低限ルールに組み込んでおくのがよいでしょう。対策区分No.チェック項目技術的対策1ファイアウォールを設置しているか2二段階認証を導入しているか3ウイルス対策ソフトを導入しているか4侵入検知システム(IDS)を導入しているか5インシデント発生時の対応を決めているか6不審なサイトへのアクセス制限をしているか7パスワードポリシーを定めているか人的対策8インシデント発生時の責任者を決めているか9社内でセキュリティ教育を行っているか物理的対策10従業員の入退室管理をしているか11社内に監視カメラなどを設置しているか12災害時のリスク管理を行っているか技術的対策チェックリスト①ファイアウォールを設置しているか悪意ある攻撃をブロックするファイアウォールの導入は対策を行う上での基本中の基本です。パソコンにはもちろん、仕事用のスマホや社内で利用しているサーバーにも設置しているか確認しましょう。②二段階認証を導入しているか特に機密性の高い情報を扱うツールはログイン時に二段階認証を導入しましょう。例えば、自社サイトをWordPressで制作しているならば管理画面に二段階認証を加えるプラグインを入れるとセキュリティを向上させることができます。③セキュリティ対策ソフトを導入しているかマルウェア攻撃を防ぐにはセキュリティ対策ソフトの導入が必須です。支給前にあらかじめ全てのデバイスにインストールしておくとよいでしょう。④侵入検知システム(IDS)を導入しているかIDSとは、不正アクセス等の不審な動きを検知するシステムのこと。セキュリティに異常が見られた場合、すぐに対応できるような監視システムの導入も大切です。⑤インシデント発生時の対応を決めているか不正アクセスなどが発見された場合、または情報漏えいや金銭詐取などの大きな被害が発生した場合などの対応方法はあらかじめ決めておきましょう。どれだけ対策していてもリスクは常につきまといます。万が一の事態が起きたときに被害を抑えられるよう、迅速な対応を行うことを意識してください。⑥不審なサイトへのアクセス制限(フィルタリング)をしているかフィッシング攻撃の被害を防ぐには、不審なサイトにアクセスしないようにするのが重要です。そのための対策として、不審なサイトをフィルタリングするよう設定するのも一つの手です。ただし、フィルタリングの結果見られないサイトが出てきて業務に支障をきたすことがないよう現場の状況は確認しておきましょう。⑦端末持ち出し時のルールを決めているか特にテレワークが許可されている職場では人目のない場所で端末を操作する時間が発生します。故意で情報を盗むような事案を防ぐのはもちろん、過失で生じるインシデントを防ぐためにも端末持ち出し時のルールは特に細かく決めておきましょう。⑧パスワードポリシーを定めているか「大文字小文字を混ぜる」「生年月日は使わない」「同じパスワードを使いまわさない」などのルール(パスワードポリシー)を決めるのも大切です。推測されやすいパスワードは不正ログインの被害に遭う可能性が格段に高まります。十分に注意しましょう。人的対策チェックリスト⑨インシデント発生時の責任者を決めているかサイバー攻撃を受けるなどのインシデントが発生した場合、責任の所在があいまいだと問題の解決が遅れてしまいます。インシデントへの対応を決定する責任者を決めることで組織的な課題が生じないようにしましょう。⑩社内でセキュリティ教育を行っているかデバイスの管理方法や不審なメールの扱い方はもちろん、先述したようにインシデントが発生した場合に生じる損害賠償のリスク等についても共有し、自主的な対策を促すようにしましょう。物理的対策チェックリスト⑪従業員の入退室管理をしているか情報を盗もうとする不審な人物が勤務スペースに入らないようにするという意味でも入退室管理は必須です。「いつ」「誰が」オフィスにいるのか正確に把握できるようなシステムを作りましょう。⑫社内に監視カメラなどを設置しているか同じく侵入者対策として監視カメラを設置することもサイバーセキュリティの一つになります。⑬災害時のリスク管理を行っているか災害時のリスク管理も重要な課題です。機密書類の処理方法や紛失時の補填についてなど、細かくルールを決めておきましょう。4.自社サイトのセキュリティ管理ルールも定める国家公安委員会、総務省、経済産業省にて掲載されている「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」によれば、2022年の1年間に認められた不正アクセス行為の発生は2,200件。警察に直接報告された不正アクセスの認知数なので、検挙されていない数も含めると実際の数字はもっと多いと推察されます。このことからも分かるように、Webサイトの保守もセキュリティ対策の一環として非常に重要です。不正アクセスを検知するツールを用いたり、こまめにバックアップとアップデートの管理を行ったりすることでWebサイトを経由したサイバー攻撃のリスクを低減することができます。5.まとめ社内のセキュリティルールを定める際は、従業員全員が守れるようなシステムづくりを行うことが非常に重要です。また、デバイスや社員の意識づくり以外にもサイトのセキュリティを改善することも対策になるでしょう。自社サイトの保守に不安がある場合は外部サービスを利用するのもおすすめです。

  • 今更聞けない!サーバー保守とは?

    2024.01.25 WEB制作

    サーバー保守とは?管理・運用の基本やサービスの一例を解説
    情報セキュリティを守るための業務の一つとして「サーバー保守」と呼ばれる作業があるのはご存知でしょうか。インターネットを安全に使うには必要な工程ですが、知名度はあまり高くありません。どんなタイプのサーバーを契約しているかにもよりますが、サーバーが正常に稼働しているかの管理は行っておくべきでしょう。具体的にどんな仕事が当てはまるのか知っておくことも大切です。この記事では、サーバー保守(運用)について、主な内容やメリットなどをご紹介します。1.サーバー保守(運用)とはサーバー保守とは、主にメンテナンスの管理やトラブルが発生した場合の復旧作業など、常に安定稼働できるようサーバーを維持する業務のこと。「サーバー運用」という単語も存在しますが、実際の意味合いは大きく変わらないためここでは同じ言葉として扱います。例えばWebサイトを動かすためのサーバーであれば、ページを正常に表示するためにサーバーの機能が動作しているか定期的にチェックする必要が出てきます。これが「サーバー保守」の仕事です。保守すべきサーバーの種類や保守エンジニアによって変わってくるので明確な定義はありません。例えばホスティングサーバー(レンタルサーバー)を利用している場合は保守運用のほとんどを業者が代行してくれます。しかし、それ以外の方法でサーバーを構築するのであれば何かしらの保守を自分で行う必要があります。具体的には以下のような業務を指すことが多いです。ハードウェアの管理エンジニアが取り扱う業務の範囲にもよりますが、自社サーバー(オンプレ)を利用する場合であればサーバーを物理的に構築・管理することもサーバー保守の一部に含まれます。アップデートの管理サーバーにも定期的なアップデートがあります。サーバー内のOSだけでなく、一部のソフトウェア(ミドルウェア)ごとに発生するアップデートも適用しなければならず、更新時にトラブルが起こる可能性もあるため作業は意外と煩雑です。アクセス制限の設定特にデータを取り扱うサーバーは、悪意を持った第三者にアクセスされると情報漏えいやデータ改ざんの被害に遭う恐れがあります。また、むやみに管理者権限を与えると攻撃を受けて権限を奪われる可能性が高まるため、ユーザーによってアクセスできるファイルを変更することも必要になってくる場合があります。特定のIPアドレスからのアクセスのみ許可する管理者権限を持つユーザーを限定するなどの設定にすることで、セキュリティを向上させます。ファイアウォール、マルウェア対策ソフトの導入不審なアクティビティを検知しブロックするファイアウォールを設置しておくことも有効な対策の一つです。初心者はパソコンやスマホなど実際に利用する端末のみに注目しがちですが、サーバーにファイアウォールやマルウェア対策ソフトを導入するという視点も忘れないようにしましょう。SSL証明書の管理Webサイト用のサーバーを維持するにはSSL証明書の管理も必要です。SSL証明書とは、サーバーとの通信の暗号化(SSL化)を行ったことを示す電子証明書で、サイトを訪れるユーザーを守るために証明書の取得が強く推奨されます。SSL化には特定の機関から発行されるSSL証明書を得て、定期的に更新しなければなりません。そのため、サーバー保守の一環として証明書の管理を行うこともあります。>>>SSL証明書について詳しくはこちらから<<<2.サーバー保守を導入するメリットサーバー保守の導入にはいくつかのメリットがあります。言い換えればしっかり保守しないと重篤なデメリットが生じるということでもあるので、メリットを知って必要性を認識しておきましょう。高いセキュリティを維持できる例えばWebサイトを表示させるのに必要なWebサーバーであれば、コンテンツの量やユーザーの数が変わるにしたがって必要な対策が変わってきます。サーバーの状況を定期的に見直して、適切なセキュリティ対策を行うことが重要です。有事にすばやく対応できるサイバー攻撃を受けたときなどは、速やかに原因を特定して迅速に対処することが被害の最小化につながります。サーバー保守の知識があるエンジニアがいれば、有事にスムーズな復旧が可能です。企業全体の信用性を高める普段からサーバーの状態を管理してセキュリティを向上させることで、企業全体の信用性を高めることができます。例えばセキュリティ対策をせずサイバー攻撃を受けて顧客の情報が漏えいしてしまった場合、企業全体の信頼に大きな悪影響をもたらすでしょう。実際に攻撃を受けていなくとも、普段から見えない部分の対策ができていないことが判明すればユーザーの信頼を失ってしまいます。3.保守が必要なサーバーの種類「サーバー保守」が扱う範囲のサーバーの機械そのものから内部のソフトウェアの管理まで幅広く、厳密にいえば「サーバーにまつわる全てに保守が必要」ということになります。一つのマシンの中に複数のサーバーが入っていれば、それら全てを管理するのがサーバー保守の役割です。ここでは、保守の対象となる代表的なサーバーの種類をご説明します。Webサーバーテキストや画像、HTMLなどWebサイトに必要なデータを探してブラウザに渡す役割を持っているのがWebサーバーです。PCやスマホでWebサイトを閲覧する際には必ずWebサーバーとデータのやり取りを行います。データベース(DB)サーバーデータベースサーバーは、さまざまなデータ(情報)を管理する場所です。データベースに入った情報をサイトに表示させたい場合は、先ほど紹介したWebサーバーを通じて表示させます。「データベースサーバー」を介したWebサイトを「動的なサイト」「動的コンテンツ」と呼びます。例えばWordPressにはデータベースサーバーが必要なので、制作したサイトは「動的サイト」と呼ばれます。メールサーバーメールの送受信を行うのに必要なサーバー。SMTPサーバー(送信用サーバー)とPOPサーバー(受信用サーバー)に分類されます。ネーム(DNS)サーバーインターネット上でドメインとWebサーバーやメールサーバーを結びつけるための名前解決をするサーバー。ホームページやメールを使うにはドメインの取得が必要ですが、ドメインを得るだけでは機能を利用することができません。ネームサーバーを通じて通信することで、IPアドレスとドメインを結び付けることができます。FTPサーバーアップロードされたファイルやダウンロードするファイルを保管している場所です。FileZillaなどのFTPクライアントを使用し、FTPサーバーに接続しファイルをやり取りすることで、ホームページ上にデータがアップロードできるようになります。4.WordPressサイトにおけるサーバー保守サービスの一例サーバーの保守・運用には専門知識を持ったエンジニアの技術が必要です。レンタルサーバーを利用しないサーバー構築をこれから行う、もしくは現在保守にあたっている人員がいないというようであれば、サーバー保守を外注するのもよいでしょう。例えば当社ではWordPressサイトの保守と一括管理する形(オプション)でサーバー保守も承っております。実施環境と要件をヒアリングした上で施策を決定しますが、具体的には以下のようなサービスを提供しています。クラウド環境、VPSの管理(ホスティング利用の場合は、サーバベンダーとのやり取りなどを代行)SSL証明書の設定・管理サーバーアップデートの管理アクセス制限アカウント認証ファイアウォールの構築サーバサイドでのウイルス対策ソフトの導入Webサイトのセキュリティと併せてサーバーの管理もしたいという企業様には最適です。また、サーバーの管理だけでなく環境の構築まで承っています。ご要望に合わせて柔軟に対応しており、サーバー保守のみというご注文もお受けしています。料金、サービス内容についてはプロのエンジニアが直接ヒアリングして説明・提案しますので、気になった方はぜひお問い合わせください。5.まとめサーバー保守の業務内容は幅広く、どれもネットワーク環境を安全に利用するには欠かせない作業です。サーバーの管理が不十分だと感じているようであれば、内製エンジニアを雇用するか外注サービスへの委託を速やかに行うべきでしょう。Webサイトのセキュリティ対策と一緒にサーバー保守も行いたいという場合は当社のサービス利用もおすすめです。

  • 2024.01.24 WEB制作

    脆弱性とは?誰でもできる企業向け対策方法を解説
    Webサイトの運用においてセキュリティの管理は非常に重要です。脆弱性の対策を怠った場合、サイトがサイバー攻撃の被害に遭って大きな損失を生むリスクがあることは広く知られています。しかしその一方でWeb担当者がセキュリティについて知らない状態でサイトを運用しているパターンもあり、現実的なリスク管理ができていないという課題点を抱えている企業も多く存在します。自社サイトの保守に不安があるという方は、この記事で紹介する脆弱性への基本的な知識を頭に入れて簡単なセキュリティ対策ができているかチェックしてみましょう。1.脆弱性とは脆弱性とは、インターネットに接続するデバイスやソフトウェアに生じるセキュリティ上の欠陥のことで、「セキュリティホール」とも呼びます。脆弱性はプログラムの設定ミスなどが原因であることが多く、悪意ある人物によって欠陥を突かれると「サイト改ざん」「情報漏えい」といったサイバー攻撃の被害が発生します。>>>サイバー攻撃の対策についてはこちらから<<<正確な定義ではスマホやパソコンなどのデバイス、OS、アプリなどインターネットに関するありとあらゆるツールに脆弱性のリスクが存在しますが、この記事では主に「Webサイトに潜む脆弱性と対策方法」について解説していきます。2.Webサイトの脆弱性を突かれる原因脆弱性を突いたサイバー攻撃の被害に遭うWebサイトには何らかの原因が潜んでいることがほとんどです。中には特定の個人や企業を狙った「標的型攻撃」というサイバー攻撃もありますが、ここでは不特定多数への攻撃を狙ったサイトへの攻撃を受けやすくなってしまう原因をご紹介します。最新バージョンに更新できていないサイト運営に関わるシステムに何らかの脆弱性が発見された場合、開発元から不具合を修正するバージョンが配信されます。新しいバージョンを使うことで新たに発見された脆弱性の穴をふさぐことができますが、更新を怠るとその穴は残ったままになってしまいます。サイバー攻撃を行う犯罪者は脆弱性が見つかったあとも更新していないサイトやユーザーを標的にするため、どんな理由であれアップデートをせず放置するのは危険です。マルウェアへの対策不足容易に推測できる文字列でIDやパスワードを設定していた場合、システムそのものに問題がなくともセキュリティ上の弱点になりえます。また、サイトの運用に必要なサーバーのセキュリティが十分でない場合もサイバー攻撃の標的となるリスクが高まるため、十分な対策が必要です。プログラムの不具合特にHTMLやCSSを用いて自作したサイトは設計上のミスなどにより完成時点で脆弱性が生じている可能性があります。オリジナルの部分が大きければ大きいほどプログラムの不具合が生じるリスクが高まることに留意しておきましょう。過失によるリスクはもちろん、中には制作サイドの職員が故意に脆弱性を仕掛けていたという内部不正の事例も存在します。WordPressなどのCMSを利用して制作したサイトの場合、完成時にプログラムの不具合が見つかるパターンは稀ですが、プラグインなどの拡張機能を利用するときは十分に注意してください。3.脆弱性対策を怠った時のリスク脆弱性をカバーする対策を行わなかった場合、以下のような被害に遭うリスクが高まります。不正アクセス悪意を持った攻撃者が情報システムの内部などに侵入することを「不正アクセス」と呼びます。不正アクセスを受けた段階で対策を行わずさらに放置すると、後述するような改ざんや情報漏えいなどの被害をもたらします。サイトの改ざんサイト内部をハッキングされると、本来のサイトではなくマルウェアを埋め込むためのサイトに誘導する改ざん被害に遭うことも考えられます。ユーザーや顧客にサイバー攻撃を行う発信源になってしまった場合、サイトだけでなく企業そのものの信頼性に大きく影響を及ぼすでしょう。情報漏えい社内の内部データまで不正アクセスの被害を受けると情報漏えいに発展する場合もあります。社員の個人情報や顧客の住所・クレジット番号の流出などが起きると、最悪の場合巨額の損害賠償に発展するなど考えられる被害はかなり甚大です。4.初心者向け・誰でもできる企業サイトの脆弱性対策社内に情報セキュリティの知識を十分に持った専門家がいるなら問題ありませんが、もしセキュリティ対策ができる社員がいない場合はまず以下のような対策を組んでみましょう。最新情報を収集するJVN(Japan Vulnerability Notes)などの機関がソフトウェアに関する脆弱性の最新情報を日々更新しています。サイト運用に関わる誰かが常に情報をチェックし、自社のサイトに関わる事案がないかどうか確認しておきましょう。社内のセキュリティを見直し社内ネットワークを外部からの不正アクセスから守る「ファイアウォール」など、社内のインターネット環境に関するセキュリティを見直すのも一つの対策です。ID・パスワードの設定確認、使用ツールの共有などを定期的に行い、人為的なミスを可能な限り減らしていくことがセキュリティ対策につながります。定期的にセキュリティ診断を行うセキュリティを維持するには、自分のサイトの状態を把握しておくことがとても大切です。無料もしくは安価で診断したい場合はセキュリティ診断ツールを利用するのがおすすめです。ただしツールによる診断は精度が落ちるため、より専門的且つ詳細な診断を必要としているならばプロによる診断を受けるのがよいでしょう。5.まとめソフトウェアに存在する欠陥である脆弱性を放置した場合、サイト改ざんや情報漏えいといった深刻な被害に遭うリスクが高まります。企業サイトを運用しているのであれば、社内のセキュリティを見直したうえで定期的にセキュリティ診断を行うことを検討してみてください。WordPressなどを用いたサイトのセキュリティ管理に自信がないようでしたら、定期的なセキュリティチェックを含む保守サービスを利用してみるのもおすすめです。当社でも保守サービスを提供しておりますので、興味があればぜひご相談ください。

  • 2024.01.23 WEB制作

    「保護されていない通信」「セキュリティ保護なし」はなぜ表示される?原因・解除方法を分かりやすく解説
    Webサイトのアドレスバーに「保護されていない通信」「セキュリティ保護なし」などの表示が出てきて戸惑った経験はないでしょうか。ブラウザでそのような表示が出てくるサイトは通信の暗号化ができていないため、アクセスには十分な注意が必要です。また、自分のサイトに「保護されていない通信」の警告が出てくる場合は早急に改善するべきでしょう。この記事ではWebサイトセキュリティの初心者向けに、「保護されていない通信」「セキュリティ保護なし」の表示が出てくる理由や解除方法について詳しくご説明します。1.「セキュリティ保護なし」「保護されていない通信」の意味「保護されていない通信」「セキュリティ保護なし」といった警告がアドレスバーに出てきたことはないでしょうか?ブラウザによって若干表記が異なりますが、どれも意味は同じでサイトのURL冒頭が「https」になっていないことが原因です。httpsになっていないサイトは通信が暗号化されていないため、むやみにアクセスすると閲覧履歴などの個人情報を第三者に盗聴されるリスクが生じます。暗号化の仕組みについては「SSL証明書とは?セキュリティにおける必要性や種類を解説」にて詳しく解説しています。「保護されていない通信」警告を解除するために理解しておいた方がいい用語についてこの記事でも少し解説しておくと、データ通信を暗号化することを「SSL化」とも呼びます。サイトを利用するうえでの安全面の判断材料として、2024年現在ではSSL化されていないページにアクセスすると「セキュリティ保護されていない」という旨の警告が表示されるようになっています。2.「保護されていない通信」と表示される詳しい原因と解除方法「保護されていない通信」の表示が出るのはサーバーとWebサイトをつなぐ通信が暗号化されていないのが根本的な原因であることは、ここまでご説明したとおりです。もしご自身のサイトで「セキュリティ保護なし」と表示されるのであれば、詳しい原因が以下のどれに当てはまるかチェックし、解除するための方法を頭に入れておきましょう。原因①SSL証明書を導入していないSSL証明書とは、該当するサーバーが暗号化された安全なものであることを証明するファイルのことです。>>>SSL証明書について詳しくはこちらから<<<CSSを用いてWebサイトを制作した場合、初期設定ではSSL化されていないこともあるので、何もしていない状態でページを作ると「保護されていない通信」という表示が出てきてしまいます。対処法:SSL証明書発行の手続きをするSSL証明書を取得するには、認証局(CA)に申し込みを行う必要があります。企業サイトの場合は年間数万円~数十万円程度で有料の認証を受けることもできますし、比較的小規模な新しいサイトであれば無料の認証を利用してもよいでしょう。レンタルサーバーを利用している場合は無料でSSL化設定ができることも多いので、まずは契約中のサーバーを確かめてみるのがおすすめです。原因②SSL証明書の期限が切れているSSL証明書には有効期限があるため、契約方法によっては期限が来るたびに更新の手続きを行わなければならないことも想定されます。サーバー経由で契約したのであればサーバー側が更新手続きを代行してくれる場合もありますが、認証局と直接契約した場合は更新手続きを行わないと失効してしまう点には注意してください。SSL化されたサイトはアドレスバーから以下のように証明書の有効期限を確かめることができるので、警告が表示されていないサイトも一度チェックしてみるとよいでしょう。対処法:SSL証明書の有効期限を更新する有効期限の更新は認証局か契約中のサーバーから行うことができます。証明書を発行したときの手続きによって異なるので、詳しくはご自分の契約方法を確認してください。ちなみに有効期限の90日前から更新の手続きができるようになるため、あらかじめ時期を把握してできるだけ早めに更新できるよう準備しておくことをおすすめします。原因③SSL化されていないデータを含んでいるWebサイトはさまざまなソースのファイルを読み込んで成り立っています。例えばページ内の画像はサイトに埋め込まれたJPEGやPNGなどの画像ファイルを読み込むことで正しく表示できるようになるといった具合です。SSL証明書を導入しても「セキュリティ保護なし」の警告が消えない場合は、読み込んでいるファイルがSSL化されていない可能性を考えた方がよいでしょう。対処法:SSL化されていないファイルを修正する例えばWordPressで制作したサイトであれば、サイトアドレスのURL設定を「https」にし忘れていたことが原因で、読み込んでいる他のファイルがhttpになってしまうというケースがあります。ただ、ファイルがSSL化されていないせいで表示が消えないのであれば、どれが原因なのか突き止めるのは難しい場合があります。自分で解決できない場合はプロに相談するのも一つの手です。3.「セキュリティ保護なし」の警告に対応するメリット「保護されていない通信」などの表示はサイトがただちに危険にさらされることを示すものではないので、「被害はないからそのままにしておいても大丈夫だろう」と放置してしまうパターンもあります。しかし、SSL化はサイト全体の利益につながる大きなメリットがいくつかあるため、できるだけ早く対処しておくべきだと言えるでしょう。セキュリティ対策になる暗号化されていない通信は、ユーザーの情報が第三者によって盗聴できる状態であることを示します。今は被害を受けていないかもしれませんが、「セキュリティ対策が甘いサイト」として攻撃対象に指定されるリスクが高まるのも確かです。傍受された場合のリスクが高い個人情報を入力フォームはもちろん、その他のページも全て暗号化することが重要です。サイト全体を暗号化することを「常時SSL化」と呼びますが、現在はGoogleなどによってサイトの常時SSL化が推奨されています。SEO対策になるGoogleはSSL化しているかどうかを検索順位の基準に組み込んでいることを公表しています。つまり、SSL化されていないサイトは検索順位が上がりにくくなってしまうということです。検索アルゴリズムから考えてもSSL化は必要ですし、「保護されていない通信」と出てくるサイトに危機感を持って離脱者が増えるリスクもあります。サイトを利用するユーザーを増やすためには常時SSL化が必須であると言えるでしょう。ユーザーからの信頼度向上SSL化はそもそもサイトを利用するユーザーのために設計された技術です。前述したように「保護されていない通信」と表示されるとユーザーが離脱してしまう恐れもありますし、サイトはもちろん企業全体のイメージにも損失を与えます。ユーザーからの信頼を得るためにもSSL化対応をしておくと安心です。4.利用者側から「セキュリティ保護なし」を解除する方法はある?SSL化はサイト制作者・管理サーバーの問題なので、基本的にユーザーから解除設定を行うことはできません。解除しようとするのではなく、サイトの安全性に関わる重要な表示を見過ごさないようにする意識を持つことが重要だと言えます。ただし、暗号化されていないサイトの読み込み前に警告が表示される設定(httpsファーストモード)になっている場合はアドレスバーでの警告のみになるよう解除することは可能です。Chromeなら設定→「プライバシーとセキュリティ」→「常に安全な接続を使用する」から設定を変更できます。5.まとめ「セキュリティ保護なし」などの表示が出てくるサイトは通信が暗号化(SSL化)されていないため、利用者であればなるべく早くサイトを離脱した方が安全です。自分のサイトに警告が表示されている場合は原因を確かめ、なるべく早く解消することが大切です。当社が提供しているサービスでは、プロのエンジニアがWordPressで制作したサイトを保守します。サイト内部のセキュリティ対策はもちろん、オプションでサーバーの保守管理も代行することが可能です。「サイトのセキュリティ対策と一緒にサーバーの管理も任せたい」という方は、ぜひ一度お問い合わせください。>>>サイトの無料セキュリティ診断はこちらから<<<

  • 企業向け サイバー攻撃 対策

    2024.01.23 WEB制作

    サイバー攻撃とは?企業が行うべき対策を分かりやすく解説
    大企業も中小企業もオウンドメディアや採用サイトなど複数サイトを運用することが増えてきた昨今、サイバー攻撃へのリスクも同時に高まっています。攻撃の手法は年々複雑化しているため、起こりうる脅威に備えた多方面への対策が非常に重要です。「サイバー攻撃への対策」と聞くとファイアウォールなどセキュリティ対策ツールの導入をイメージするかもしれませんが、仕組みづくりや社員教育など人的な脆弱性への対応なども重要な時代となりました。「うちの会社は大丈夫」と他人事に思わず、全員が注意を払って対策に協力することでリスクヘッジが大きな効果をあらわします。今回紹介する対策ができているかチェックし、サイバー攻撃への備えを万全にしておきましょう。1.サイバー攻撃とはサイバー攻撃とは、インターネットを通じて不正に他者のシステムに侵入し、内部システムの破壊や個人情報の窃盗、Webサイトの改ざんなどを行うことを指します。目的は単純な嫌がらせから金銭の詐取、機密情報の売買まで多岐にわたります。2.サイバー攻撃の種類一口にサイバー攻撃といってもさまざまな種類があります。マルウェア攻撃や標的型攻撃についてなど、網羅的な内容は「サイバー攻撃の種類をカテゴリごとに詳細解説! 」にてご紹介していますが、今回は対策を行うにあたって知っておいた方がいい攻撃手法を簡単に解説します。攻撃の種類攻撃手法フィッシング攻撃偽メール、偽サイトを使って個人情報を不正に入手・マルウェアで攻撃Webサービスを使った攻撃脆弱性を悪用した攻撃プログラムの不具合などによって生じた脆弱性を利用して攻撃なりすまし、不正ログインを使った攻撃パスワードの脆弱性をついて不正にログインし、サイトの内部を攻撃DoS攻撃・DDoS攻撃サーバーに負荷をかける攻撃フィッシング攻撃偽メール、偽サイトを使ってマルウェアを含むファイルに誘導したり、個人情報を不正に窃取したりしようとするサイバー攻撃のこと。フィッシングは電子メールが登場した時期から存在する古典的な手法でもありますが、近年は手口が複雑化しており、標的を定めてスパムメールの信ぴょう性を高める「標的型攻撃」が流行しています。Webサービスを使った攻撃「企業サイトから顧客情報が漏えいした」といったニュースを聞いたことはないでしょうか。Webサイト等が攻撃を受けて別のフィッシングサイトに改ざんされてしまうなど、さらなるサイバー攻撃の発信源となってしまうこともあります。会社の信頼度を守るためにも、サイトのセキュリティには十分注意を払っておきましょう。脆弱性を悪用した攻撃バッファオーバーフロー、SQLインジェクション攻撃、ディレクトリトラバーサル、クロスサイトスクリプティング(XSS)など。プログラムの不具合などによって生じたサイトの脆弱性を悪用して攻撃を仕掛けます。なりすまし、不正ログインを使った攻撃パスワードリスト攻撃、ブルートフォース攻撃(総当たり攻撃)、リバースブルートフォース攻撃など。パスワードの脆弱性をついて不正にログインし、サイトの内部を攻撃します。DoS攻撃・DDoS攻撃ターゲットに大量のアクセスやデータを送り、負荷をかける攻撃手法です。攻撃されたサイトはアクセス過多になり、サーバーダウンなどの不具合を起こします。単一のコンピューターから攻撃することを「DoS攻撃」、複数のコンピューターから攻撃することを「DDoS攻撃」と呼び、近年はより対策の難しいDDoS攻撃の報告数が増加しています。>>>サイバー攻撃の種類について詳しくはこちらから<<<3.企業が行うべきサイバー攻撃対策(仕組み編)企業が行うべきサイバー攻撃対策として真っ先に優先すべきなのは「仕組みを整備すること」です。従業員個人のモラルや知識にゆだねるのではなく、業務の一環としてルールの策定や社員教育を行うことが重要となります。 対応方針・ルールを定める情報セキュリティポリシーを定めてルールを明文化するのは社員へのセキュリティ管理の手段として非常に有効な手段です。ポリシーに記載すべき社員個人を対象としたルールについては後述しますが、ウイルス対策ソフトの導入や機密情報管理などの実施項目を具体的に定めることが重要です。また、インシデント発生時の対応や責任者の策定など、組織としての方針についても決めておく必要があるでしょう。 予算を確保する特に中小企業では「サイバー攻撃への対策に割く予算がない」というケースが散見されます。しかし万が一悪質な被害に遭った場合を想定すると、顧客の喪失や損害賠償などによってかかる負のコストは対策にかかる予算をはるかに上回る可能性が高いことは明白でしょう。最悪の場合、会社が倒産に追いこまれるような事態になることも考えられます。将来的なリスクに備えた保険の一種だと捉えて一定の予算を捻出し、必要に応じて社内教育や外部のセキュリティサービスの利用も検討するべきです。取引先のセキュリティを確認するサイバー攻撃への対策が十分にできていると思われる企業でも、セキュリティ管理の浅い取引先や子会社から情報が洩れてしまうことがあります。このように関連企業を媒介して行うサイバー攻撃を「サプライチェーン攻撃」と呼びます。サプライチェーン攻撃を防ぐための対策として、自社のセキュリティだけではなく社内の機密情報を共有している他社のセキュリティにも気を配っておくようにしましょう。社内にセキュリティポリシーがあれば確認させてもらえるか尋ねてみるのがおすすめです。社員にセキュリティ教育を施すルールを決めたとしても、対策を従業員間で共有できていなければ意味がありません。想定できる脅威に応じた対策方法を社内教育として共有、徹底しましょう。想定できる脅威主な対策情報漏えいファイアウォールの導入インターネット利用時のルール策定パスワード・ユーザー権限の管理無線LANのセキュリティ設定不正アクセスファイアウォールの導入パスワード・ユーザー権限の管理二段階認証の導入OS・ソフトウェアの更新マルウェア感染マルウェア対策ソフトの導入OS・ソフトウェアの更新危険なサイトへのアクセス制限チェックリストを用いて定期的に対策が機能しているか確認するのも有効です。4.企業が行うべきサイバー攻撃対策(社員編)社内で共有するセキュリティポリシーには最低限以下のような対策を盛り込むとよいでしょう。従業員一人ひとりがセキュリティへの意識を持って行動できるようサポートすることが一番重要です。また社内にセキュリティに関する規定がないような場合でも、サイバー攻撃を防ぐためにまずは個人で出来る対策から始めてみてください。ソフトウェアのセキュリティ強化従業員が使っているパソコンなどの端末に入っているソフトウェアのセキュリティを強化するのは対策方法の基本です。具体的な対策例としては、定期的なOSやソフトウェアのアップデートファイアウォールなどのセキュリティソフトの導入不審メールやウェブサイトへのアクセス制限二段階認証の導入などが挙げられます。全従業員のデバイスで同一基準の対策を行うようにしましょう。パスワードなどの情報管理不正な侵入を防ぐためにはパスワードの情報をしっかり管理することが重要です。特にパスワードの設定方法は「推測されにくいもの」など曖昧な指示では個人の判断によるばらつきが出てしまいます。「大文字小文字を使用する」「単語や生年月日は使わない」などパスワードポリシーを定めて、強度の低いパスワードを設定できないようにすると効果的です。また、パスワードを固定してID総当たりでログインを試みる「リバースブルートフォース攻撃」という攻撃手法も存在します。一度のインシデントで大きな被害を生まないよう、パスワード使いまわしの禁止も徹底しましょう。テレワークのセキュリティ管理新型コロナウイルスの流行を機に、オフィス外の場所で業務を行うテレワークが急速に普及しました。テレワークは便利な仕組みではありますが、一方で適切な対策を行わないとセキュリティリスクが増加することには気をつけましょう。支給外端末の使用自宅等で勤務する場合、支給外の個人デバイスで仕事をする人も一定数います。勤務用に支給したデバイスではセキュリティ対策ができていたとしても、個人デバイスでトラブルが起きてしまうかもしれません。個人端末の使用を禁ずるか、利用にあたってガイドラインを規定しておきましょう。脆弱性がある回線の利用自宅等の無線LANのセキュリティが確保されているかどうかも大切です。自宅の無線環境にあまり気を配っていない人はかなりいますし、外で仕事をしている場合は傍受される可能性がある公衆LANを使ってしまうことも考えられます。利用する回線についてしっかりと定め、必要であれば無線LAN環境の整備などを会社側でサポートしましょう。リテラシーを高める人為的なセキュリティホールが生まれないよう、セキュリティに関するリテラシーを持つことも重要です。例えば「会社の機密情報を含んだファイルの公開設定を間違えて全世界で見られる状態になってしまった」といったケースは人的脆弱性に該当します。機密情報の公開設定に関するルールを定め、むやみに公開しないよう徹底しましょう。また、フィッシング攻撃への対策として不審なメールが来ても添付リンク・ファイルを開かないよう周知するのも有効です。5.まとめサイバー攻撃の手口は年々複雑になってきているため、必要な対策も多様化しつつあります。対策を行い一つ一つ社内でチェックするのはかなり大変ですが、攻撃を受けるリスクを考えるとなるべく早いうちから対処しておくと安心です。また、サイバー攻撃への対策としてセキュリティ専門家と連携をとることも検討してもよいでしょう。当社のサービスでは、WordPressを用いたサイトのセキュリティを保持し、定期的な診断レポートの提出を含めた安心の保守サポートを提供しています。サイトへの不正ログインを防止する二段階認証システムや、サイトの改ざんを検知するシステムも導入可能です。くわしくはサービスページをご覧ください。>>>WordPress保守サービスについてはこちらから<<<

  • 詳細解説 サイバー攻撃 種類

    2024.01.23 WEB制作

    サイバー攻撃の種類をカテゴリごとに分かりやすく解説!
    サイバー攻撃は企業・個人どちらにとっても非常に危険です。被害を受けた側が損害賠償などの金銭的リスクを負う場合もあるため、事前の対策が重要になってきます。しかし、「サイバー攻撃」といっても多様な種類が存在することはご存知でしょうか?「~攻撃」とつくものは全てサイバー攻撃の一種とひとくくりにされがちなので、全容を一気に理解するのは少し難しいかもしれません。セキュリティ対策をするのであれば、まずはサイバー攻撃の種類を把握しておきましょう。同じサイバー攻撃に分類される用語でも、攻撃に使うソフトウェアを指す場合や攻撃手法を指す場合などさまざまです。今回はサイバー攻撃の種類をカテゴリごとに分類して分かりやすく解説します。1.サイバー攻撃とはサイバー攻撃とは、ネットワークを通じた悪意のある攻撃全般を指します。故意にサイトをダウンさせる、改ざんする個人情報を不正に入手するマルウェアを送り込む攻撃の幅は非常に広く、かつ日々新たな手口が生まれるため完璧に対策することは困難です。かつては嫌がらせや遊び半分の個人による攻撃がほとんどでしたが、現在では個人情報の売買や金銭の詐取を目的とした計画的な犯行が増加しており、手口も年々複雑化しています。2.マルウェア攻撃の種類マルウェアはネットワークを通じて攻撃するソフトウェアの総称です。つまり、「マルウェア攻撃」は悪意あるソフトウェアを利用したサイバー攻撃全般を指します。マルウェアについての網羅的な情報は「Webサイトのマルウェア対策はどうすべき?対策から対処法まで徹底解説」で取り扱っていますので、ぜひ参考にしてください。この記事では特に「マルウェア攻撃」に該当するいくつかのサイバー攻撃について解説します。ランサムウェア攻撃ランサムウェアはマルウェアの一種で、身代金を要求するプログラムが組み込まれているマルウェアを指します。「ランサムウェア攻撃」はメールなどを用いてランサムウェアを仕込み、利用者から金銭を脅し取ろうとする攻撃を意味する言葉です。ルートキット攻撃キーロガー、バックドアなど複数のマルウェアを集めたパッケージ、つまり集合体のことをルートキットと呼びます。ルートキット攻撃の厄介な点は、存在を隠蔽する機能を持つプログラムが含まれるパターンが多いことです。不正な侵入を検知するマルウェア対策ソフトであっても検出が難しいことで知られています。3.ターゲットによるサイバー攻撃の分類サイバー攻撃は当初、無差別に攻撃を仕掛ける「ばらまき型」が主流でしたが、近年ではあらかじめターゲットを決めてから攻撃を行う「標的型」の形を取ることも増えてきたようです。ターゲットによって種類分けする方法も頭に入れておきましょう。ばらまき型攻撃(無差別型攻撃)ターゲットを定めず無差別に攻撃を行う手法のこと。有名な企業から「重大なトラブルが発生しました。ログインしてください」などと記されたメールを受け取った経験はないでしょうか。「使ったことがないサイトからメールが届く」「こちらの名前が書かれていない」などの特徴があればばらまき型攻撃にあたります。成功率は低いものの、大量に送るとそのうちの何人かは引っかかる人が出てくる手口です。標的型攻撃機密情報を盗み取ることなどを目的として、特定の個人や組織を狙った攻撃のこと。近年増加傾向にあります。取引先になりすましたり、業務関連のメールを装ったりするため、ばらまき型よりも気づかれにくいのが特徴です。先ほどの例でいえば、メールにあなた個人の名前や実際の取引先の名前などが書いてあったらどうでしょうか。登録した覚えのないサイトからメールがくるよりも信ぴょう性が高くなることが分かると思います。ターゲットを絞ることで攻撃の成功率を高める手口です。[word_balloon id="2" size="M" position="L" radius="true" name="" balloon="talk" balloon_shadow="true"]同じメールを10ヶ所以上に送る攻撃を「ばらまき型」の標的型メール攻撃と呼ぶこともあるなど、正確な区分はあいまいです。[/word_balloon]APT攻撃(高度標的型攻撃)APT攻撃は標的型攻撃の一種。ターゲットの調査などの準備から攻撃の実施までが特に慎重で長期間にわたって行われるものを指すことが多く、国家へのサイバー攻撃などもAPT攻撃に含まれます。日本で起きた大規模なAPT攻撃の被害例として挙げられるのは、2015年に起こった日本年金機構の情報漏洩事件※です。職員100名以上に標的型メールを送信し、添付ファイルに仕込まれたマルウェアが原因で125万件もの個人情報が流出するという大規模な被害が発生しました。サプライチェーン攻撃サプライチェーン攻撃は関連企業、子会社、取引先などのサプライチェーンへの攻撃を経由して標的となる企業へ侵入する手口のサイバー攻撃です。セキュリティがしっかりしている会社でもサプライチェーンからの情報漏えいで被害を受けるパターンがあるため、自社の情報を所持している他社のセキュリティ対策についても普段から確認しておきましょう。4.フィッシング攻撃の種類フィッシング攻撃とは、悪意あるサイトやファイルにユーザーを誘導する手口のことです。個人情報の窃取、もしくはマルウェアへの感染を目的としたサイトへの誘導・改ざんフィッシングサイトへの誘導リンクやマルウェアを含む添付ファイルを送付するフィッシングメールの送付などがフィッシング攻撃に含まれます。個人情報を利用して金銭をだまし取ることや、マルウェアに感染させて別の攻撃の踏み台にすることなどがフィッシング攻撃の目的です。標的型のフィッシング攻撃「フィッシング攻撃」と単に呼称する場合は一般的に不特定多数のユーザーを対象にしたばらまき型の攻撃手法を指しますが、以下のように特定の個人や団体を標的にしたフィッシング攻撃が近年増加しています。スピアフィッシング攻撃企業・組織の従業員など特定の個人を対象にした標的型フィッシング攻撃のこと。先ほどご紹介した日本年金機構の事例もスピアフィッシングにあたります。一般的なフィッシング攻撃よりも見分けがつきづらく、近年増加中の悪質な手口です。水飲み場攻撃攻撃対象が日頃からアクセスするWebサイトを改ざんし、閲覧するだけでマルウェアに感染させる標的型攻撃の一種が「水飲み場攻撃」です。例えば攻撃対象の業界が「インフラ」だった場合、インフラに関わるサイトに不正アクセスし、閲覧するだけでマルウェアに感染させるよう改ざんします。いつものサイトに訪れるだけで被害を受けてしまうため、対策が難しいことで知られています。マルバタイジング攻撃マルバダイジング攻撃は、オンライン広告のリンク先にマルウェアを仕込んで感染させる攻撃手法です。広告は通常のリンクより信頼度が高く誤ってクリックしやすい位置にあることも多いので、普段からの対策に気をつけなければいけません。5.Webサービスを利用したサイバー攻撃の種類Webを利用したサービス・ツールは内部のシステムに影響を及ぼすサイバー攻撃にさらされるリスクを常に負っています。特にHTMLなどを用いて個人や企業で制作したWebサイトは自分で脆弱性を発見・修正する必要があるため、どこかにセキュリティホールが潜んでいるリスクが高まります。もちろんWordPressなどで作ったサイトも対策を怠るとサイバー攻撃を受けやすくなるので注意が必要です。どのような攻撃が考えられるのか、あらかじめ知っておきましょう。脆弱性を利用した攻撃まず想定されるのは、ソフトウェアに生じた脆弱性を悪用したサイバー攻撃です。ソフトウェアを開発するのも人間ですから、どこかにセキュリティ的な穴が生じる可能性は十分に考えられます。その穴を突いて内部のシステムに侵入する手法を何種類かご紹介します。ゼロデイ攻撃ソフトウェアに脆弱性が見つかった場合、通常はアップデートなどを通じて開発元から修正パッチが配布されます。この修正パッチが公開される前に脆弱性を突く攻撃をゼロデイ攻撃と呼びます。修正プログラムが提供される前の攻撃なので、ゼロデイ攻撃が行われた場合は利用者側で予防対策を取るのが格段に難しくなります。バッファオーバーフロー攻撃サーバーやパソコンが想定するより大きな値を書き込むことで内部のシステムにバグを起こし、情報を不正に上書きする攻撃です。SQLインジェクション攻撃SQLとは、サーバーなどにあるデータベースを操作するための言語のことです。このSQLを利用して不正なコードをデータベースに送り、内部情報の窃取やデータの改ざんなどを行います。XSS(クロスサイト・スクリプティング)攻撃サイトの脆弱性を利用して悪意あるコードをページに埋め込む攻撃のこと。本来のページを閲覧するためにやってきたユーザーに、個人情報を不正に送信するなどのスクリプト(指示)を実行させます。なりすまし・不正ログインを利用した攻撃システムに脆弱性がなくとも、人為的なセキュリティホールを突く、過去の漏えいデータを悪用するなどしてなりすましや不正ログインをする攻撃パターンもあります。パスワードリスト攻撃別の攻撃で得たパスワード情報を利用して、他のサービスへ不正にログインしようとすること。同一のIDとパスワードを使いまわしている人は一定数いますが、パスワードリスト攻撃の被害に遭いやすくなるため避けた方がよいでしょう。ブルートフォース攻撃ブルートフォースは日本語で「総当たり攻撃」と訳します。考えうるパスワードの文字列を手当たり次第に入力し、不正ログインを試みる攻撃方法です。リバースブルートフォース攻撃ブルートフォースのリバース(逆)、つまりパスワードを固定してIDを手当たり次第に入力する攻撃手法です。IDを固定にしてパスワードをひたすら入力すると、不正アクセス防止のために一時ロックがかかってしまうサイトは数多くあります。しかし、毎回IDを変更してログインを試みるリバースブルートフォース攻撃はロックがかからないため、無限に試行作業ができるという攻撃者にとってのメリットがあります。DoS攻撃・DDoS攻撃DoS攻撃は、単一のコンピューターからウェブサイトやサーバーに対して過剰なアクセスやデータを送付するサイバー攻撃です。また、複数のコンピューターを用いた同様の攻撃をDDoS攻撃と呼びます。DoS攻撃は攻撃を行う端末からのアクセスを遮断すればいいため比較的対策が容易ですが、複数の端末を用いるDDoS攻撃は全ての攻撃端末を検知するのが難しいのが特徴です。DoS攻撃もDDoS攻撃もサーバーを落とすための攻撃なので、それ自体は個人情報を盗んだりマルウェアを仕込んだりする効果はありません。しかし、他のサイバー攻撃を行うための目くらましとして使用される場合も多くあります。6.まとめサイバー攻撃は非常に多くの種類があり、攻撃に用いられるソフトウェアを指す「マルウェア攻撃」から脆弱性を突いた手口まで、さまざまな切り口で分類することが可能です。特にWebサイトの脆弱性を悪用したサイバー攻撃は、運用初心者の対策ではセキュリティが万全でないことが多々あります。「自社サイトのセキュリティが不安…」という方は、一度Webサイトのセキュリティ診断を受けてみることをおすすめします。くわしくはお問い合わせください。>>>無料セキュリティ診断はこちらから<<<※日本年金機構+「日本年金機構における不正アクセスによる情報流出事案について」

  • 2024.01.18 WEB制作

    Webサイトのマルウェア対策はどうすべき?対策から対処法まで徹底解説
    この数年でマルウェアの感染被害は急激に拡大しており、大きな損害につながった企業も少なくありません。Webサイト運営にマルウェア対策は必須といえるでしょう。マルウェア対策は、想定される被害と感染経路を把握して早めに対処することが重要です。この記事ではWebサイトのマルウェア被害や対策について詳しく解説します。感染したときの対処法も合わせてご紹介するので、ぜひご活用ください。1.Webサイトでよくあるマルウェア被害マルウェア対策の第一歩は、どのような被害があるのか把握することから始めましょう。Webサイトのマルウェア感染では主に以下のような被害が報告されています。PCの動作や起動の異常覚えのないメール送信やポップアップ表示データの消失・改ざん・破壊機密情報の流出・悪用他のPCやシステムへの感染拡大 などこれらは業務の妨げになることはもちろん、個人情報や顧客情報の漏洩ともなれば社会的信用を失う恐れもあります。さらに、復旧作業や賠償問題で大きな損失が出るケースも想定できます。そういった被害が出る前に、感染しにくい体制を整え、万一感染した場合は被害を最小限にとどめる準備をしておくことが大切です。2.Webサイトに必要なマルウェア対策とはwebサイトのマルウェア対策は感染経路をできる限り減らすことと、侵入をいち早く察知する監視が基本です。以下のような複数の対策を同時に実行しましょう。サーバーのセキュリティポリシーの確認利用するサーバーがマルウェアに感染し、そこから侵入される恐れがあります。特に安価で誰もがアクセスできるクラウドサーバーやレンタルサーバーは狙われやすいため、事前にセキュリティポリシーをよく確認しましょう。OSやアプリケーションの更新OSやアプリケーションを最新バージョンに更新すると脆弱性が改善できます。日々新しくなるマルウェアに対抗するには、その対策が盛り込まれた最新プログラムが必要です。更新されたらなるべく早く適用しましょう。不要なアプリやサービスの削除サーバー上に脆弱性が残る古いサービスやアプリを放置していると、そこからマルウェアに侵入されることがあります。定期的に使用状況を確認して不要なものは削除しましょう。アカウント管理の徹底誘導や乗っ取りの窓口になりやすいアカウントはアクセス制限を設けて管理を徹底します。特に不特定多数のアカウントを受け付けるタイプのWebサイトはリスクが高いため対処は必須です。また、テスト配信などのアカウントも忘れずに削除しましょう。アクセス制限の設置Webサイトの設定情報や個人情報、非公開ファイルをのぞかれる事例も増えています。重要な情報のファイルやディレクトリへは、インターネットから侵入できないようにアクセス制限をかけましょう。サーバーログの確認と保管不審な動きをいち早く発見するためにサーバーログを定期的に確認するのも重要です。Webサイトへのアクセスやアプリケーションの挙動、データベース操作などのログを取得し、保管しておきましょう。異常があった際の原因究明にも役立ちます。セキュリティ対策ツールの導入手作業でのマルウェア対策には限界があります。自社サイトに適したセキュリティ対策ツールを導入しましょう。Webサイトの脆弱性検査、侵入防止、侵入や攻撃状況の把握、ソフトウェアによってはマルウェアの駆除まで可能です。社内ルールの構築と周知徹底マルウェアは何気なく持ち込んだUSBやメールの1クリックからでも入り込みます。マルウェア対策は社内ルールとして、すべての従業員に周知徹底できる体制づくりが大切です。社内でセキュリティルールを設定する際のポイントは「【社内向け】セキュリティ意識を高めるルールの策定方法を解説」にて解説していますので、そちらも3.マルウェア対策は感染時の対処法まで考えるいくら対策をとってもマルウェアを完全に防ぐのは難しいものです。マルウェア対策は、感染した場合を想定して最小限の被害に抑える対処法まで考えて備えましょう。マルウェアに感染した際は以下の手順で対処します。<マルウェア感染時の対処法>感染したPCをネットワークから遮断感染したサービスの停止セキュリティベンダーへの分析依頼感染経路の特定すべてのPCのマルウェア駆除または初期化感染拡大を防ぐには「ネットワークからの遮断」のスピードがカギを握ります。感染時の対処法は対策と合わせて全社員に周知しておくと安心です。また、マルウェアの分析や経路特定、駆除などは専門知識が必要な場合もあります。早い段階でセキュリティ担当者やベンダーに連絡し、対応を依頼しましょう。4.Webサイトのマルウェア対策は保守サービスが便利日々進化するマルウェアに万全に備えるのは、よほど詳しい担当者でないと難しいのが現状です。また、他の業務と並行しながら十分な対策をとるのは難しいという担当者も多いと思います。Webサイトの保守は外注でプロに任せるのもひとつの方法です。保守サービスは高いと思われがちですが、実際のメリットや費用をみてみると十分検討の余地があると分かります。マルウェア対策を外注するメリット専門知識がなくても常に最新の対策がとれる定期的に脆弱性をチェックできるマルウェア感染時の特定や対処を任せられるコンテンツ管理やSEO対策も同時に行える対策コストの削減につながる保守サービスはマルウェア対策を万全にするだけでなく、感染時はシステム関連の対応をすべて任せられるため、Web担当者は社内や顧客の対応に集中し、より早い復旧が可能になります。保守サービスの費用は月額3万円程度からです。業務委託による担当者の業務効率アップや自社で感染に対処する場合の復旧コストを考えると、コストパフォーマンスは決して悪くありません。保守サービスの内容と費用の例月額費用と初期費用のバランスやサービス内容に各社特徴があるため、自社の運用方法や予算に適したプランを選びましょう。各社に共通する保守サービスの内容は、コアアップデート・バックアップからの復元・検証環境・脆弱性スキャン・メールサポートの5つですが、より手厚い保守を受けたい場合は株式会社ECマーケティング「WordPressまるごとおまかせ」保守サービスがおすすめです。5.まとめWebサイトのマルウェア被害は年々増加しており、対策は必須です。情報の漏洩や改ざん、消失など大きな損失や信用の失墜につながるリスクにしっかりと備えましょう。ただし、サイトのマルウェア対策は、OSやアプリの更新、アカウント管理、アクセス制限、サーバーのセキュリティ確認やログの保管など多岐にわたります。また感染時に備えて、対処法まで含めた社内ルールを構築し、周知する必要もあります。専門的な知識や膨大な作業を必要とするサイトの保守は外注するのも一つの手です。常に万全な対策がとれる上、コストパフォーマンスも悪くありません。この機会にぜひ検討してみてはいかがでしょうか?

  • 2024.01.18 WEB制作

    マルウェア感染はオフラインでも起こる!感染経路と有効な対策とは
    世間でマルウェア感染が騒がれるなか、「うちはオフラインだから大丈夫」と安心していませんか?実はオフライン環境でマルウェア被害を受けた事例はいくつもあり、決して安全とはいえないのです。この記事では、オフライン環境でのマルウェア感染経路と有効な対策について解説します。重要な情報を扱うからこそのオフラインです。油断せずしっかりと対策していきましょう。1.オフライン環境こそマルウェア対策が重要マルウェア感染といえばインターネットからの侵入。オフライン(クローズド)環境ではマルウェア感染は起こらないと考えている人は少なくありません。しかし実際は、オフライン環境でのマルウェア感染はいくつも発生しています。マルウェアの侵入経路はインターネットだけとは限らないからです。例えば、持ち込んだUSBの接続や新たなソフトのインストール、従業員のスマホから感染した事例もあります。システムのアップデートのために一時的にネット接続したタイミングで侵入されたというケースも報告されています。さらに、オフライン環境ではインターネットを介した自動更新ができないため、セキュリティソフトが脆弱になっているケースも多くみられます。このように、オフライン環境はマルウェアに対して決して万全ではなく、少しの油断が感染を招きます。重要な情報を置くオフライン環境こそ、しっかりとしたマルウェア対策が重要です。>>>マルウェア対策について詳しくはこちらから<<<2.オフライン環境でのマルウェア感染経路インターネットにつながっていないオフライン環境では、どのようにマルウェアに感染するのでしょうか?主な感染経路をご紹介します。外部のUSBメモリやHDマルウェアに感染したUSBメモリやHDを持ち込み、パソコンに接続したことで内部システム全体に感染が広がるケース。シンプルな方法で最も報告件数が多い事例です。ソフトウェアのインストールシステムに必要なソフトウェアのインストールやアップデートで、一時的にインターネットにつながったことが原因で感染した例も多いようです。避けられない作業なだけに狙われやすいのでしょう。機器メンテナンス用の保守端末機器のメンテナンスのために持ち込まれた保守端末から機器に感染する事例もあります。メンテナンス業者は企業としての信頼性はもちろん、デバイスの管理状態まで確認するといいでしょう。すでに感染した製品の導入新たに導入した製品が製造元でマルウェアに感染しており、その製品を接続したため自社にも感染が広がった事例もあります。感染原因が外部にあるため防ぐことは難しいでしょう。ポータブルWi-Fiやスマホ従業員が持ち込んだポータブルWi-Fiやスマホのテザリング機能で、一時的に内部パソコンがインターネットに接続されてしまい感染することもあります。ソーシャルエンジニアリングソーシャルエンジニアリングとは悪意ある人間によって不正アクセスを図られることです。攻撃者が関係者を装って入り込み感染デバイスを接続する、内部の人間にUSBを拾わせてアクセスさせるなど様々な手法があります。3.オフライン環境で有効なマルウェア対策オフライン環境では通常のセキュリティとは違う視点でのマルウェア対策も必要です。以下の対策を心がけましょう。オフライン用のセキュリティソフトを使う必ずオフライン用のセキュリティソフトを使いましょう。オンライン環境からオフライン環境にファイルを転送する前に解析して感染を防ぐ、持ち込みデバイスの接続を管理・防止する、ネットワーク監視や脆弱性悪用の防御など、オフライン環境の保守に特化した機能が搭載されています。更新プログラムはすぐに適用する進化が早いマルウェアの対策には脆弱性を修正した最新のプログラムが有効です。ベンダーから更新プログラム届いたら、すぐに適用しましょう。外部端末の持ち込みを制限・監視する感染源となりえる端末の持ち込みは、ガイドラインや運用ルールを設けます。持ち込みが必要な場合は、事前のセキュリティ対策ソフトのインストールやウイルス解析を義務付けるといいでしょう。ベンダーの持ち込みや通信回線に対しても同様です。周辺機器にまで気を配るカメラ、プリンター、スマートスピーカーなど思いがけない周辺機器がインターネットを利用している場合もあります。完全なオフライン製品か改めて確認し、端末には必ずセキュリティソフトを入れましょう。従業員の行動管理を徹底する従業員による情報漏洩や感染を防ぐために、危機意識や行動ルールの周知徹底も欠かせません。セキュリティ製品のネットワーク監視や脆弱性の悪用防止機能を活用するのもおすすめです。>>>社内のセキュリティルールについて詳しくはこちらから<<<4.マルウェア対策は感染時の対処と復旧策まで考える常に進化を続けるマルウェアは、オフライン環境でさらに対策をとったとしても、完全に防ぐことは難しいといわれています。マルウェア対策は、防止策と同時に感染した場合の被害を最小限にする対処法と復旧策まで考えておくことが重要です。ただし、攻撃の入口となりえるデバイスの監視体制、異常が起こったデバイスと他所の切り離し方法、早急に復旧できるバックアップ体制まで整えるとなると、それにかかる知識と手間は大変なものです。自社に専門の担当がいない場合は、オフライン環境のセキュリティに詳しい外部の保守サポートに依頼するのも方法のひとつです。最新の知識で有効な対策をとれるだけでなく、感染が起こったときの復旧サポートまでしてくれる会社もあります。サービス内容に応じて費用は様々あり、業界特化型など選択肢も豊富です。重要なシステムや情報が感染した場合のコストや手間まで考えて検討してみましょう。5.まとめオフラインでのマルウェア感染事例は多数報告されており、インターネットに接続されていない場所でもマルウェア対策は必要です。オフライン環境での感染経路は、持ち込みのデバイスやUSB、ソフトウェアのインストール、周辺機器の接続など油断によるものが多くみられます。また自動アップデートがされないためソフトウェアが脆弱になりやすいことも要因の一つです。オフライン環境のマルウェア対策は、その状況に沿った専用のセキュリティソフトや行動管理が必要です。また感染した場合の対処・復旧にも備えましょう。知識に不安がある場合は保守サービスの利用もおすすめです。

  • 2024.01.17 WEB制作

    【WordPress】サイト復旧の方法とサイバー攻撃を未然に防ぐ対策
    サイトの運用にはセキュリティの管理が必要不可欠です。ログインに二段階認証を導入する、セキュリティ用のソフトをインストールするなど被害を予防するための方法ばかりが注目されがちですが、問題が発生した際に効率的な対処を行うための準備をしておくのも重要なセキュリティ対策の一つです。この記事では、WordPressで制作したサイトがハッキングなどの被害を受けたときのサイト復旧の手段と、攻撃を防ぐための基本的な対策をお伝えします。サイバー攻撃を受けたらサイト復旧は必須一口にサイバー攻撃といっても悪質さや被害の範囲は場合によって異なり、被害発生後の対処によって被害の程度が大きく変わることもあります。不正アクセスを受けた段階で対策を行えば被害をかなり抑えることができますが、異変が起きたサイトを復旧せず放置すると被害が拡大してしまいます。「セキュリティの警告が出ているけれど、何が起きているか分からないし実害は出ていないように見えるから放置する」は一番NGなパターンです。一度サイバー攻撃に遭ったサイトは復旧せず放置しておくと次の攻撃の発信源となってしまい、ユーザーや取引先などにも影響を与える可能性も十分に考えられます。サイトや企業自体の信用度にも関わるので、サイトを運用していく上ではセキュリティ対策と並行して何かあった時の復旧方法の構築が必須です。WordPressサイト復旧の方法・手順サイト復旧の方法は問題が発生した原因によって異なることがありますが、今回は当社のエンジニアが実際にWordPressのサイト復旧を行った事例を参考に手順をご紹介します。①サイトをクローズして原因を分析被害が外部に広がるのを防ぐためにサイトをメンテナンス状態にします。当社の事例では、WordPressで制作した該当サイトにアクセスすると外部のスパムサイトへ誘導される仕様に改ざんされていました。サイトをクローズしてから分析してみると、バージョンが古いまま放置された状態だったことが分かりました。その脆弱性を突かれたことが原因であることを把握したうえで、どこのファイルに原因があるか特定し修正する作業に入ります。②WordPressをインストールし直す改ざん被害が起こった場合はWordPress内部のコアファイルまで書き換えられている可能性が高く、原因を特定するのは困難です。コアファイルの内容はどんなサイトであっても大差ありません。そのため、一つ一つ原因を探さずに、全データを取得してから最新版のWordPressをクリーンインストールするのが一般的です。再インストールすることで、WordPressのコアファイルを問題が起こる前の状態に戻すことができます。③データの問題を解決して再アップデータに問題があった場合は原因となっているファイルを削除して、再度上げ直します。復旧後のサイトに問題がなければこれで作業は完了です。古いバージョンを最新版にアップデートした状態で、攻撃を受けたサイトを回復させることができます。【復旧対策と併せて】WordPress版セキュリティ対策チェックリスト問題が起きた後の対処法と問題が起こる前の対策は、片方ではなくどちらも並行して行うことで効果を発揮します。以下の事項を参考に、自社サイトのセキュリティが万全かしっかりとチェックしておきましょう。WordPress本体・テーマ・プラグインを更新WordPressは古いバージョンへの障害対応が早くに終了してしまうため、旧バージョンのまま放置されたテーマやプラグインの脆弱性を突いたサイバー攻撃が非常に多いです。>>>実際にサイバー攻撃を受けた事例<<<WordPress本体・テーマ・プラグインは全てこまめに更新し、使っていない機能は「無効化」ではなく削除するのが基本です。特に細かい障害に対応して出されることが多いマイナーアップデートは自動更新設定を切らずに常に最新の状態を保てるようにしてください。>>>自動更新設定について気になる方はこちらから<<<セキュリティ用プラグインを導入WordPressにはサイトのセキュリティを向上させるためのプラグインがいくつか存在します。ログインを二段階認証にしたり、不正ログインを検知したりといった機能を追加することができるので、必ず一つはセキュリティ用プラグインを導入しておきましょう。詳しくは「【プロが教える】WordPressテーマ選びのコツをセキュリティ面から解説」をご覧ください。管理画面のログイン設定基本的なことですが、ログイン設定をきちんと行うことも重要です。よくありがちなのは「ログインID、パスワードをドメイン名と同じものに設定している」パターンでしょう。忘れないように分かりやすい文字列を使いたくなるかもしれませんが、容易すぎるものは解析されやすく不正アクセスを招く要因になってしまいます。前述した二段階認証の設定なども含め、管理画面のログイン設定はデフォルトのままではなくしっかり対策しておくようにしましょう。バックアップの取得サイト復旧時にバックアップのデータがあれば比較的簡単に復旧できます。障害発生時に備えて、定期的なバックアップができるよう設定してください。WordPress保守サービスならサイト復旧にも対応専門的な知識のない人が自力でサイト復旧を行うのは困難です。もし自社で万が一の事態に備えた対策ができていないと感じているようなら、保守サービスを導入してみてはいかがでしょうか。プラグインの管理やバックアップの取得などの基本的なセキュリティ対策はもちろん、攻撃を受けた際の復旧もプロの力に頼ることができます。当社のWordPress保守サービスは月額3万円~、1日あたり約1,000円程度で経験豊富なプロのエンジニアがサイト運用におけるリスクマネジメントを代行いたします。また、保守だけでなくゼロからのサイト制作やSEO検索流入を増やすコンテンツ作成も対応しております。まとめWordPressのサイトがサイバー攻撃を受けた場合は、放置せず被害を最小限に抑えるための対処をしっかり行うことが重要です。どんなにセキュリティ対策を行っていたとしても、攻撃に遭うリスクをゼロにすることはできません。基本的な対策を行いつつ、障害発生時の対応方法も社内で共有してすみやかにサイト復旧を行える体制を作っておくことが大切です。

  • 2024.01.17 WEB制作

    SSL証明書とは?セキュリティにおける必要性や種類を解説
    「SSL証明書」という単語はご存知でしょうか?サイバーセキュリティにある程度詳しい方なら今更説明するまでもないほど馴染みがある言葉かと思いますが、これから学ぶ方にとっては少しとっつきにくいと感じるものかもしれません。ここでは、Webサイトのセキュリティを守るのに欠かせないSSL証明書について、基本的な解説と導入が必要な理由を分かりやすく解説します。よろしければ参考にしてください。1.SSL証明書・SSL化とはSSL証明書とは、SSL/TLSを用いるために発行する電子証明書のことです。Webサイトを表示するために利用するサーバーに対して発行するものなので、「SSLサーバー証明書」とも呼ばれます。SSL証明書を発行することでデータの改ざんとなりすましを防止し、第三者にサイト利用者の情報が盗み取られないよう暗号化することが可能です。また、SSLを導入した状態を「SSL化」と呼びます。 SSL化するとURLの冒頭が「https」になり、鍵マークが表示されます。外部サイトのSSL化をチェックしたいときはアドレスバーを見るとよいでしょう。当サイトのURLです。左側にある鍵マークとURL冒頭の「https」表記からSSL化されたWebサイトであることが分かります。ちなみにSSLとTLSはほとんど同じ機能を持つ暗号化技術ですが、現在はほとんどの場合TLSを用いて暗号化を行います。TLSで暗号化した場合であっても慣習的に「SSL化」と呼ぶことが多いです。2.SSL証明書の種類SSL証明書を取得するには、あらかじめ条件を満たしたうえで認証局(CA)から証明書を発行してもらう必要があります。社内システムなど一般には公開されないサイトの場合は個人や社内のサーバーで暗号化通信を行う「プライベート認証局」を利用することもありますが、他者が訪れることを想定して制作したサイトについては定められた認証局(パブリック認証局)で手続きを行わなければいけません。また、パブリック認証局で発行できるSSL証明書は認証方法によって以下の3つに分けることができます。認証方法料金取得難易度特徴ドメイン(DV)認証無料~年間数万円低誰でも取得可 オンラインで完結企業(OV)認証年間数万円~数十万円中法人のみ取得可 電話認証で実在確認ありEV認証年間数万円~数十万円高法人のみ取得可 厳密な審査ドメイン(DV)認証該当サイトのドメイン利用する権利を証明するのが「ドメイン認証」です。無料で取得できるのもあるため、個人サイトや小規模な企業のサイトであっても最低限ドメイン認証でSSL証明書を取得しておくべきです。有料の場合も認証の信頼性は全く変わりません。料金を払うことでカスタマーサポートなどを受けることができるので、社内に知識を持った人がいない場合は有料のドメイン認証を使うとよいでしょう。取得は最も簡単であり、オンラインのみの手続きで済ませることができます。企業(OV)認証ドメインの利用権に加え、該当サイトを運営する企業の実存性(架空の企業を名乗っていないかどうか)を証明する認証方法です。ドメイン認証は個人でも受けられますが、企業認証を受けられるのは法人として認められた組織のみです。そのため、取得の難易度がやや上がります。審査時には企業の実存確認のため認証局から電話がかかってきます。EV認証3つの中で最もランクがと信頼性が高い認証方法です。かかる費用は企業認証よりも比較的高く、最も高額なものでは年額が100万円近いサービスもあります。ちなみに以前はEV認証で証明書を取得したサイトにアクセスするとアドレスバーかURLが緑色に表示されたため簡単に見分けることができましたが、現在この仕様は全てのブラウザで廃止されています。3.SSL証明書・常時SSL化の必要性SSL証明書は基本的にサイト内部のシステムを守るものではないため、中にはサイバーセキュリティ上必要ないのではとする見方もあります。しかし、実際のところはサイトと企業そのものの信頼性を維持するために必要不可欠なものであることを頭に入れておきましょう。ユーザーからの信頼を得るSSL証明書はサイトを訪れるユーザーを守るためのシステムです。現在では、一般的に用いられている全てのブラウザでサイトがSSL化されているかどうかすぐに確認できるようになっています。そのため、SSL証明書を取得していないと「なんとなく怪しいからこのサイトはやめておこう」と不信感を持たれるなど、ユーザーを遠ざけることになりかねません。また、サイト内にユーザーの個人情報を入力するフォームなどがある場合はさらに致命的です。ネットショッピング時に入力したクレジットカード番号や住所が漏えいするリスクがあることが外部から筒抜けになっているので、サイバー犯罪の格好の餌食となってしまいます。常時SSL化とは以前はユーザーが情報を入力するフォームやログインのページのみを限定的にSSL化するのが一般的でした。現在はすべての情報のやり取りを暗号化通信で行う「常時SSL」の導入が求められています。常時SSL化が必要な理由Cookie(ブラウザに保存される情報)には、サイトの閲覧履歴なども含まれることがあります。サイト全体がSSL化していないと悪意ある第三者に閲覧履歴を傍受されてしまうため、ユーザーのリスクを軽減するという意味で常時SSL化は必要不可欠です。また、ウェブサイト表示の高速化に必要な「HTTP/2」というプロトコルは、ウェブサイトの常時SSL化が必須事項になっています。Googleも常時SSLを導入していることを検索順位の決定要因にしていると公表しているので、SEO的にも常時SSL化を行っておくべきでしょう。chromeで「常に安全な接続を使用する」設定をONにすると、非SSL化されていないサイトの表示前にこのような警告が出てきます。著名な企業であってもSSL化未対応のサイトはかなり存在します。また、スマートフォンは特にURLバーが目に留まりやすく警告マークが一層目立つため、不安を感じて離脱するユーザーもいるでしょう。一度自社のサイト表示をチェックしてみてください。4.まとめSSL証明書とは、サイトを表示する際の通信に暗号化を行っていることを証明するものです。実在性の信用度によっていくつか認証の種類があるため、自社の状態に合わせて合った認証局を選ぶようにしましょう。自社のWebサイトの状態がよく分からないという方は、外注サービスの導入を検討するのもよいでしょう。当社では、WordPressをはじめとするサイト保守のサービスを提供しています。ぜひご検討ください。