ホームページに必要なセキュリティ対策とは？

2025.03.05

サイト制作システム

ホームページの運営において必要不可欠なことが「セキュリティ対策」です。全世界とつながっているホームページは、常にサイバー攻撃の脅威に晒されています。サイバー攻撃は大企業に行われるものというイメージがあるかもしれませんが、近年では中小企業にもサイバー攻撃を仕掛ける事例が増えています。企業規模にかかわらず、ホームページのセキュリティ対策はしっかり行う必要があります。

本記事では、ホームページに必要なセキュリティ対策をご紹介します。現在のセキュリティに不安がある方はもちろん、これからホームページを作成する方も、ぜひ参考にしてください。

ホームページの作成・リニューアルを検討する際は、機能やデザインだけでなく、セキュリティの信頼性も重要な判断材料となります。セキュリティ対策を講じることは、顧客の信頼を得る上でも欠かせません。

株式会社シフトでは、950以上の豊富な制作実績と専門的な技術力を持つチームで、各企業のニーズに応じた柔軟で安心してご利用いただけるWebサイトの制作・運用をサポートいたします。
セキュリティ面を重視したい方は、お気軽にご相談ください。
セキュリティを重視したサイトについて相談する

ホームページで起こり得るセキュリティリスクとは

ホームページはさまざまなセキュリティリスクに晒されています。主なものは「情報漏えい」「改ざん」「サーバーダウン」「マルウェア感染」「なりすまし」などが挙げられます。まずは、ホームページに起こり得るセキュリティリスクを知りましょう。

情報漏えい

ホームページで起こり得るリスクの1つ目は「情報漏えい」です。情報漏えいとは、本来内部に留めておくべき情報が外部に漏れてしまうことを言います。特に重要な情報とされるのが、営業機密と顧客などの個人情報で、これらが漏えいすると法的・社会的な罰則を受ける可能性があります。

東京商工リサーチの調査によると、2023年に公表された個人情報の漏えい事故は175件で過去最多となりました。原因は「ウイルス感染・不正アクセス」が半数を超えており、ランサムウェアなど悪意のあるプログラムを埋め込まれるケースが多いようです。（出典：2023年「上場企業の個人情報漏えい・紛失事故」調査｜株式会社東京商工リサーチ）

同調査では上場企業とその子会社を調査対象としているため、被害に遭ったのは主に東証プライムの企業でした。しかし、中小企業を狙った事例もあります。中小企業は大手企業に比べてセキュリティ対策が甘く、大手企業と取引のある中小企業を踏み台にして情報に不正アクセスすることがあるようです。

実際、2024年にはある印刷会社の情報漏えいにより、委託元であった組織の情報も漏えいするという事例がありました。中小企業のネットワークから大手企業をターゲットにする攻撃は「サプライチェーン攻撃」と呼ばれています。

情報漏えいが起こると、社会的信用が低下してしまいます。顧客や取引先からの信用を失えば、取り戻すのは容易ではありません。場合によっては事業の継続が困難になることも考えられます。

加えて、情報漏えいが起こると損害賠償責任も発生します。損害賠償は漏えいによる二次被害がなくても、被害者の精神的苦痛や株価の下落、イメージの低下などについて賠償をする必要があります。二次被害がない場合の損害賠償額は、1人あたり3,000円～5,000円程度、二次被害があった場合には3万円～5万円程度が相場です。

改ざん

ホームページは「改ざん」のリスクもあります。ホームページの改ざんとは、ホームページの情報やシステムなどを勝手に書き換えられることです。自社の意図しない情報や反社会的な内容を掲載したり、入出金情報を書き換えられたりすることがあります。リダイレクトを利用してフィッシングサイトに誘導し、情報を盗むケースもあるようです。特に、影響力の高い大手企業や行政機関のホームページが狙われる傾向にあります。

一般社団法人JPCERTコーディネーションセンターの「インシデント報告対応レポート」によると、2024年10月1日～12月31日の間に報告があったホームページ改ざんの件数は53件。うちECサイトからのクレジットカード情報取得を目的とした改ざんが19件でした。

件数は減少傾向にありますが、一見しただけではわからない改ざんは、気付くまでに時間がかかることもあります。一旦改ざんされてしまうと完全な復旧が難しく、復旧までに長い時間が必要です。（出典：インシデント報告対応レポート｜一般社団法人JPCERTコーディネーションセンター）

改ざんの主な要因は、不正アクセスや管理アカウントの乗っ取り、アップデートやシステムの不備と言った脆弱性を狙ったものです。また企業内部に悪意のあるユーザーがおり、改ざんを行う可能性も捨てきれません。

改ざんが行われると、間違った情報をユーザーに与えることになります。それによってホームページの閉鎖を余儀なくされたり、社会的信用を失ったりする場合があります。社会的信用を失えば売上も減少し、場合によっては事業継続が難しくなることもあるでしょう。

サーバーダウン

ホームページでは「サーバーダウン」にも注視しておきましょう。サーバーダウンとは、何らかの要因によってサーバーが停止することです。サーバーはホームページを格納している場所のため、サーバーがダウンするとホームページが閲覧できなくなってしまいます。

サーバーダウンの原因はさまざまで、サーバーの故障や人為的ミス、雷などの自然災害などが挙げられます。中でも注視したい原因は「アクセス集中」です。アクセスが集中してサーバーの処理能力をオーバーすると、一時的にサーバーがダウンすることがあります。

自然発生したアクセス集中なら良いですが、悪意のあるユーザーが意図的にアクセスを集中させてサーバーをダウンさせる「DDos攻撃」を仕掛けている可能性もあるため、注意が必要です。

サーバーがダウンすると、大きな機会損失になります。ECサイトの場合、サーバーがダウンしている間は買い物ができませんし、コーポ―レートサイトの閲覧やメールの送受信も不可能になるため、一時的に営業を停止せざるを得ません。復旧には数時間から数日の時間を要するため、この間に生まれていたはずのビジネスチャンスや売上を失うことになります。

加えて情報漏えいや改ざんと同様、社会的信用も失墜します。サーバーダウンでホームページが利用できない状態は、顧客や取引先などに多大な迷惑がかかります。株式会社の場合、株価を落とす要因にもなりかねません。

マルウェア感染

ホームページには「マルウェア感染」のリスクがあります。マルウェアとは、ユーザーに不利益を与えるソフトやプログラムの総称です。主に以下のようなマルウェアが知られています。

種類	概要
ウイルス	プログラムを改ざんして自己増殖し、プログラムを書き換える。マルウェアと同義で呼ばれることもある。
トロイの木馬	正常なファイルを偽装して内部に入り込み、デバイスを不正に操る。
スパイウェア	不正に情報収集を行い、インターネットに情報を送信する。
ランサムウェア	ファイルを利用できない状態にして、身代金を要求する（詳しくは後述）

マルウェアにはメールやアプリ、ネットワーク、記憶媒体など、さまざまな感染経路があります。場合によってはホームページを閲覧しただけで感染することもあるため、注意が必要です。

マルウェアに感染すると、ホームページの内容を改ざんされる、デバイスを遠隔操作される、機密や個人情報が流出するなどのリスクがあります。被害も多岐にわたり、過去にはウイルスによって大手企業のホームページが改ざんされてフィッシングサイトに誘導されたり、パソコンの遠隔操作で脅迫を行い、パソコンの所有者が誤認逮捕されたりといった事件が起こっています。

仮に企業のホームページがマルウェアに感染し、ユーザーに不利益を与えることになれば、社会的な責任を問われます。信用の失墜や損害賠償責任は免れないでしょう。

ホームページのなりすまし

企業ホームページでは「なりすまし」にも注意が必要です。なりすましとは、実在するホームページを偽装することで、偽装したホームページは「フィッシングサイト」と呼ばれます。実在する企業とよく似たホームページを作成し、入力された情報を盗み取ることが主な手口です。

個人情報やクレジットカードなどの情報を盗まれると、情報を利用して勝手に買い物をされたり、個人情報が流出したりとユーザーに被害が出る可能性があります。主にフィッシングメールから、フィッシングサイトに誘導されることが多いようです。

先述した一般社団法人JPCERTコーディネーションセンターの「インシデント報告対応レポート」では、2024年10月1日～12月31日の間に報告があったフィッシングサイトは4,780件で、特に国内ブランドのECサイトを偽装するケースが目立ちます。

なりすましをされた企業に直接的な被害があるわけではありませんが、ユーザーが被害に遭うことでブランドイメージの低下などにつながります。正式なホームページにも不信感が生まれ、ユーザーが離れていく可能性があるでしょう。

最近では、ホームページの更新を自社内で行えるようにCMSを導入してホームページを作成していることも多いため、ホームページのセキュリティリスクだけでなく、CMSの特有のセキュリティリスクも理解する必要があります。

CMSに関するセキュリティリスク・対策について紹介した記事もございます。CMSをご検討されている方やCMSをご利用の方は、ぜひこちらの記事をご覧ください。
4社に1社が未対応？CMSに潜むセキュリティリスク、その危険性と対策について解説します

サイバー攻撃

サイバー攻撃とは

ホームページのセキュリティ対策で必須なことが「サイバー攻撃への対策」です。サイバー攻撃とは、ネットワークを通じて情報端末に不正にアクセスし、ユーザーに不利益を与える行為です。先述したセキュリティリスクも、サイバー攻撃によって引き起こされる場合があります。

サイバー攻撃は、不正アクセスやフィッシング、ランサムウェアによる被害が多くなっています。警察庁の発表によると、令和5年の不正アクセス行為の認知件数は6,312件で、前年の3倍以上。（出典：不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況｜警察庁）近年では高度な技術を利用したサイバー攻撃が増えてきており、生成AIを利用して不正プログラムを作成した人物が逮捕される事件も発生しています。

また不正プログラムの開発者と攻撃者が異なっており、攻撃者が得た利益の一部を開発者に渡すなどの手法もあるようです。スマホの利用が増えたことから、企業だけでなく不特定多数の個人も攻撃対象となることがあります。

サイバー攻撃は実行者の特定が難しい上に、簡単に国境を越えた犯罪が可能となることから、被害に遭っても解決が難しいとされています。日本国内でもサイバー特別捜査隊が結成されて国際的捜査が行われるなど、早急に対応を進めていますが、サイバー攻撃による犯罪の増加は深刻な状況であると言えるでしょう。

ホームページを狙うサイバー攻撃の種類

サイバー攻撃にはさまざまな種類があります。特にホームページのセキュリティの穴を突く攻撃が多く、穴を埋めていくことがセキュリティ対策の基本です。ここでは、代表的な6つのサイバー攻撃をご紹介します。

1.SQLインジェクション

SQLインジェクションとは、SQL言語を利用して、データベースに不正な命令をすることです。問い合わせフォームなどにSQLを注入して送信することで、命令した通りの操作を行えます。

たとえば、ホームページの検索フォームに調べたいキーワードを入力します。通常、キーワードを入力する操作は「キーワードがあるページの一覧を表示して」という命令になり、データベースに伝達されます。データベースは命令に従って、ページの一覧を表示するという仕組みです。

しかし、SQL文を注入して送信すると、キーワードがある一覧を表示する以外にSQLで操作の命令ができます。たとえば「顧客の個人情報を表示して」というSQL文を注入すると「キーワードがあるページの一覧と、顧客の個人情報を表示して」という命令に置き換わります。

SQLインジェクションの対策をしていない場合、データベースが命令されたことを素直に実行してしまうのです。これによって、個人情報が盗まれたり、ホームページの改ざんが行われたりします。

サイバーセキュリティクラウドの調査によると、2024年7月～9月は特にSQLインジェクションによる攻撃が増えており、前年の同時期と比べて6,400万件も増加。全攻撃種類に対する比率も5％増となっています。

特に会員制サイトやECサイトなど、個人情報がデータベースに保存されているホームページは狙われやすい傾向にあります。（出典：Webアプリケーションを狙ったサイバー攻撃検知レポート｜株式会社サイバーセキュリティクラウド）

2. DDos攻撃

DDos（Distributed Denial of Service attack）攻撃とは、複数のIPアドレスからサーバーに大量の情報を送りつけることでサーバーダウンを引き起こす攻撃です。先述したようにサーバーは処理能力を超えるとダウンして、ホームページが閲覧できなくなります。DDos攻撃では、サーバーが処理できないほど大量の情報を送りつけることで、意図的にサーバーをダウンさせます。

DDos攻撃と似たものに「DoS攻撃（Denial of Service Attack）」があります。DDoS攻撃が複数のIPアドレスから情報を送るのに対し、Dos攻撃は1つのIPアドレスから情報を送信します。そのため、発信者を特定しやすく、ブロックしやすいという弱点がありました。

一方、DDos攻撃は複数のIPアドレスから情報が送信されるため、送信者が特定しにくくなっています。また、正常なアクセスとの区別も難しいです。DDos攻撃を受けてサーバーがダウンすると、ホームページが閲覧できなくなります。ホームページが閲覧できなくなると、機会損失が生まれるだけでなく、検索エンジンの表示順位にも影響を及ぼします。

基本的には嫌がらせや抗議などがDDos攻撃の目的とされています。しかしDDos攻撃を盾にして金銭や情報を要求したり、別のサイバー攻撃の隠れ蓑として利用したりする可能性もあるため、注意が必要です。

3. クロスサイトスクリプティング

クロスサイトスクリプティングは、ホームページに悪質なスクリプトを仕込むサイバー攻撃です。ユーザーがホームページやアプリを利用すると、仕込んだスクリプトが作動します。

たとえば、キャンペーン情報を掲載したページの「ご応募はこちら」というボタンに、フィッシングサイトへのリンクを不正に仕込みます。ボタンをクリックしたユーザーは、フィッシングサイトにキャンペーンの応募に必要な個人情報などを入力してしまい、情報が盗まれるという仕組みです。

また、クロスサイトスクリプティングでは、Cookieの情報も盗まれる可能性があります。Cookieとは、訪問者の情報をサイトに保存することです。Cookieを保存しておくことで、次回以降のログインが簡単になる、買い物かごの中身をそのままにしておくといったことが可能です。

クロスサイトスクリプティングでCookieの情報が盗まれると、Cookieで得た情報を利用して通信を乗っ取られる場合があります。通信を乗っ取られると、勝手に買い物をされる、お金を他人の口座に送金されるなどの被害に遭う可能性があります。このように得たIDなどを利用して本人になりすますことを「セッションハイジャック」と言います。

クロスサイトスクリプティングの怖いところは、サーバーにログインしなくても操作が可能で、かつ待受型の罠であることです。仕込まれた罠をユーザーが起動すれば、直接被害を受けてしまいます。

4. ブルートフォースアタック（総当たり攻撃）

ブルートフォースアタックは「総当たり攻撃」とも呼ばれ、文字通り、IDに対してパスワードを総当たりしていく方法です。力技ではありますが、すべての組み合わせを試せば必ずヒットするため、確実性の高いサイバー攻撃です。

たとえば、0から9の数字で4桁の暗証番号は、1万通りの組み合わせがあります。ブルートフォースアタックでは1万通りの組み合わせをすべて試していきます。手動であればかなりの時間がかかりますが、現在ではツールを利用すれば3秒で解読できるとされています。

ブルートフォースアタックによってパスワードが解読されてしまうと、アカウントを不正に乗っ取られる可能性があります。管理アカウントを乗っ取られた場合、ホームページの改ざんや顧客情報の流出といった被害に遭うかもしれません。

また「リバースブルートフォースアタック」という攻撃方法もあります。ブルートフォースアタックはIDに対してパスワードを総当たりする方法ですが、リバースブルートフォースアタックでは「パスワードに対して合致するID」を総当たりしていきます。

近年では一定回数パスワードを間違えるとアカウントロックがかかる対策がされている場合も多いですが、リバースブルートフォースアタックではパスワードに対してIDを総当たりするため、何度間違えてもアカウントロックがかかりません。特定のアカウントを狙うことはできないため、アカウントにこだわらない場合に利用されているようです。

5. ゼロデイ攻撃

ゼロデイ攻撃とは、システムやソフトで発見された脆弱性を狙い、修正プログラムが配布される前に攻撃する手法です。システムやソフトに脆弱性が見つかった場合、メーカーは脆弱性があったことを公表し、修正プログラムを配布してユーザーにアップデートするように指示を出します。

しかし、脆弱性を公表してから修正プログラムの配布までにはタイムラグがあるため、悪意のあるユーザーはその間に脆弱性を突いて攻撃を仕掛けます。脆弱性の公表から1日もかけずに攻撃することから「ゼロデイ攻撃」と呼ばれます。

脆弱性は、悪意のあるユーザーにとって格好の的であり、場合によってはメーカーよりも先に脆弱性を見つけて攻撃を仕掛けてくることもあります。脆弱性を完全になくすことは難しく、また予測もできないため、ゼロデイ攻撃への対策は非常に困難とされています。

6. ランサムウェア

ランサムウェアとはマルウェアの一種で、データを暗号化して利用できない状態にし、解除の代わりに金銭を要求することです。近年では、暗号化に加えてデータの公開を盾にして脅す二重脅迫がほとんどで、暗号化せずに情報を盗み取って金銭を要求するノーランサムウェアといった手法もあります。

加えて、DDos攻撃を行うケースや、顧客や取引先に脅迫を行うケースもあるようです。警察庁サイバー警察局が発表している資料によると、令和6年上半期のランサムウェア被害報告件数は、114件です。先述したように、近年ではランサムウェアの開発者と攻撃者が違うケースも出てきています。

ネットワークを利用したシステムやソフトが主流となっている現代において、ランサムウェアに感染すると業務に大きな支障が出ます。また復旧にも多大な費用がかかり、同調査では被害を申告した企業のうち、500万円以上の調査費がかかった企業が5割以上。

また9割近くの企業がバックアップを取っていたにも関わらず、約7割がバックアップからの復元に失敗しています。（出典：令和6年上半期におけるサイバー空間をめぐる脅威の情勢等について｜警察庁サイバー警察局）

ホームページのセキュリティ対策

ここまでホームページのセキュリティリスクや、サイバー攻撃の種類について説明してきました。サイバー攻撃は日々進化していますし、セキュリティリスクもネットワークにつながっている限り、ゼロにはできません。しかし、対策をすることで多くの攻撃を防ぐことが可能です。ここからはホームページのセキュリティ対策をご紹介します。

1. アカウントやパスワードの管理

まずは、アカウントやパスワードの管理を徹底しましょう。管理を徹底することで、アカウントの乗っ取りを防げます。アカウントが乗っ取られると、情報漏えいや改ざんといったリスクが高まるため、IDやパスワードを知られない工夫が必要です。

パスワードは長く、複雑なものにしましょう。英数字、記号を盛り込こんだ10桁以上のパスワードが理想です。英字は大文字と小文字があると、より複雑になります。氏名や生年月日、意味の分かる単語など、推測されやすい文字列は避けましょう。

パスワードが複雑になるとブルートフォースアタックにも対応できます。ブルートフォースアタックは基本的にツールを使って組み合わせを試していきますが、組み合わせが多くなるほど解読に時間がかかります。英数字と大文字小文字、記号を組み合わせた10文字のパスワードであれば解読までに5年、同じ条件で12文字なら3万4,000年かかるとされています。複雑なパスワードを作成する際には、パスワード作成ツールを利用すると良いでしょう。

また二要素認証や二段階認証など、パスワード以外の要素で認証する方法もあります。たとえば、パスワード入力後にスマートフォンでの認証を要求するなどです。加えてパスワードは定期的に更新することで、安全性が高まります。

2. SSL化

SSL化もホームページのセキュリティを高めます。SSLとはSecure Sockets Layerの略で、インターネット上でやりとりする情報を暗号化する仕組みです。暗号化することで、悪意のあるユーザーが通信内容を読み取れなくなり、情報漏えいやなりすましのリスクを避けられます。

また情報が改ざんされていないことを証明することも可能です。現在利用されているのはTLS（Transport Layer Security）というプロトコルですが、役割が同じであることとSSLという呼び方が浸透していたため、引き続きSSLと呼ばれています。

SSLを導入するには、証明書の発行が必要です。証明書には「ドメイン認証SSL」「企業実在認証SSL」「EV SSL」の3種類があり、後半につれ認証が難しく証明書の発行費用も高くなります。

一般的な企業なら企業実在認証SSLを導入するのが良いでしょう。ECサイトや金融機関など、高いセキュリティが求められるホームページの場合、EV SSLの導入を目指すことをおすすめします。SSL化されるとURLに鍵マークがつき、URLの頭が「http」から「https」になります。

3. 防御システムを導入する

基本的な防御システムを導入することも、セキュリティ対策では大切です。防御システムを導入することで、不正アクセスやDDos攻撃によるサーバーダウンなどを防げます。

防御システムの代表的なものとして「ファイアウォール」「IPS（Intrusion Prevention System）」「WAF（Web Application Firewall）」の3つがあります。

ファイアウォールは使用しないポートを遮断する役割、IPSは使用しているポートへの攻撃を防ぐ役割、WAFはアクセスが正しいかを判断する役割を担っています。たとえるなら、ファイアウォールは使わない部屋にかける鍵であり、IPSはドア、WAFは警備員です。不正アクセスがあった場合に、ファイアウォールでは使っているポートの遮断はできません。

そのためIPSがポートを通る不正アクセスを遮断します。しかしDDos攻撃のような何度も仕掛けられるアクセスは不正と判断できても、脆弱性を突いてくるSQLインジェクションやクロスサイトスクリプティングは、IPSでは完全に防げません。そこでWAFがデータをもとにして、危険なパターンを排除します。これでSQLインジェクションやクロスサイトスクリプティングも防ぐことが可能です。

ファイアウォールとWAFは多くの共用サーバーで標準装備されています。IPSは装備されていない場合があるため、サーバーを選ぶ際は確認が必要です。無料で利用できるIPS製品もあります。

4. 不要なサービスやアプリは削除する

セキュリティの観点では、不要なサービスやアプリが入っているのは推奨できません。不要なサービスやアプリは最新のバージョンに更新されていないことも多く、それが脆弱性となって悪意のあるユーザーの侵入を許してしまいます。

脆弱性をできる限り少なくすることで、SQLインジェクションやクロスサイトスクリプティングといった脆弱性を突いた攻撃のリスクを減らせます。攻撃のリスクが減れば、情報漏えいや改ざん、なりすましといった被害も未然に防げるでしょう。

5. 定期的なバックアップを行う

定期的にバックアップを取っておくことも重要です。バックアップを取っておくことで、万一の際にデータの復旧が可能になります。

特に改ざんやマルウェア感染、サーバーダウンなどでデータが破損した場合、バックアップを取っておくことで、復旧できる可能性があります。早めに復旧ができれば業務への影響が少なくて済むでしょう。災害で企業がダメージを受けた場合も、リモートワークなどでの復旧を目指せます。

バックアップを行う際は、バックアップの頻度や保存する場所、保存媒体などのルールを決めておきましょう。保管する場所は最低でも3ヶ所、そのうち1つは遠隔地にすることをおすすめします。近場のデータセンターに保管されていると、広域災害があった場合、すべてのバックアップが利用できなくなる可能性があるためです。

CMSのセキュリティ対策

CMSを利用してホームページを作成している方もいると思います。CMSとはContents Management Systemの略で、ホームページのコンテンツを一元管理するシステムです。HTMLやCSSの知識がなくてもホームページの作成や更新ができます。

CMSは利用者が多いことからサイバー攻撃の標的になりやすく、安心して運営するためにはセキュリティ対策が重要です。ここからはCMSのセキュリティ対策をご紹介します。

オープンソースならプラグインの使用を最小限にする

WordPressなどのオープンソースCMSでは、プラグインの使用を最小限にしましょう。

オープンソースCMSでは、外部で作られた独自のプラグインが豊富に用意されています。しかし個人で作成したものは、セキュリティに問題がある場合があります。脆弱性に気付かずに放置されたり、気付いてもなかなか修正されなかったりするケースも多く、プラグインが多いほど脆弱性を抱えることになりかねません。

場合によっては、プラグインにウイルスが仕込まれていて、インストールしたら感染する場合もあります。使用前に口コミを読んで、ウイルスの有無を確認しましょう。公開されたばかりのプラグインも評価が出るまで使わない方が無難です。

管理画面の利用制限

CMSでは管理画面の利用を制限しましょう。特定の権限を持つデバイスからしか利用できないようにすることで、改ざんや情報漏えいといったセキュリティリスクを減少させられます。

CMSの中にはアカウントごとに細かな権限をつけられるものがあります。アクセス権は、IPアドレスを利用することで外部からの侵入を防ぎやすくなります。

脆弱性をつかれない状態に保つ

CMSが狙われやすい理由は、先述したように利用者の多さやプラグインのセキュリティの甘さなどです。脆弱性が見つかりやすいことから、悪意のあるユーザーからターゲットとして選ばれやすいとされています。

どんな大手企業が作成するホームページでも、脆弱性をゼロにすることは不可能です。しかし脆弱性となる箇所を極力減らすことで、セキュリティリスクを下げることはできます。ここでは「脆弱性を突かれにくい状態」をご紹介します。

プラグインを最新の状態にしておく

脆弱性を突かれないためには、プラグインを常に最新の状態にしておきましょう。最新にしておくことで、脆弱性の修正や新しいサイバー攻撃への対応が可能になり、不正アクセスを防止できます。不正アクセスを防止できれば、情報漏えいや改ざんなどのリスクを減らせるでしょう。

特にオープンソースCMSはソースコードが公開されているCMSのため、誰でもソースコードの閲覧や利用ができます。そのため、ソースコードから脆弱性を発見して攻撃するユーザーもいます。

またサイバー攻撃は常に進化しており、技術の進化と共に新しい攻撃手法が出てくる可能性もあります。もしプラグインのバージョンが古いままだったら、新しい攻撃に対して無防備になってしまいます。定期的に更新を行って、新しいサイバー攻撃にも備えましょう。

ただプラグインの更新が必ず良いものとは限りません。場合によっては新たな脆弱性が生まれる可能性もあるため、余裕があればアップデートの内容を確認しましょう。

サーバーを最新の状態にしておく

CMSではサーバーを最新に保つことも重要です。サーバーを最新に保つことは、パッケージ型のCMSでも大切になってきます。

パッケージ型CMSは、CMSを提供しているベンダーからパッケージを購入して自社サーバーで利用するタイプのCMSです。機能が一式揃っているため、プラグインをインストールする必要がありません。ベンダーのサポートがあり、不具合にも対応してもらえるなど、オープンソースCMSと比較するとセキュリティ面はかなり強固と言えます。

ただ先述したように、サーバーは自社のものを利用します。サーバーに脆弱性があると、そこから不正アクセスされる可能性があります。サーバーを最新に保って、セキュリティリスクを減らすことが大切です。

セキュリティに配慮されているCMSを選ぶ

セキュリティに配慮されたCMSを選ぶことも大切です。特に企業のホームページは機密情報や顧客情報などが蓄積されていることが多く、サイバー攻撃などで情報が漏えいすれば大きな問題になります。

オープンソースCMSは基本的に利用が無料で気軽に作成できることがメリットですが、先述したように脆弱性を狙った攻撃が多いです。加えてサポートもないため、仮にセキュリティに問題が発生しても自力で解決する必要があります。オープンソースCMSを導入する際はこの点を理解し、できるだけオープンソースCMSのセキュリティに詳しいベンダーに依頼するなどして対策するとよいでしょう。

もしオープンソースCMSに不安がある場合は、パッケージ型CMSの利用をおすすめします。パッケージ型CMSのセキュリティはベンダーが担ってくれますし、不明な点があればベンダーに相談して対応することも可能です。

CMSにおけるセキュリティリスクや対策方法については別の記事で詳しくご紹介しています。CMSのセキュリティについて詳しく知りたい方は、下記URLよりご覧ください。
4社に1社が未対応？CMSに潜むセキュリティリスク、その危険性と対策について解説します

また、株式会社シフトでは自社開発のパッケージ型CMS「SITEMANAGE（サイトマネージ）」を用いたホームページ制作を行っております。管理画面の細かい利用制限や導入後のサポート、サーバー構築や運用会社の手配などあわせて対応が可能です。ホームページのセキュリティを強化されたい方はお気軽にご相談ください。
セキュリティ強化について相談する