中小企業こそ気をつけたいホームページのセキュリティ

「うちの会社は小さいから大丈夫」「狙われるのは大企業だけでしょう？」――もし、あなたがそう思っているなら、それは大きな間違いです。今、サイバー攻撃の標的は、大企業から情報セキュリティ対策が手薄な中小企業へとシフトしています。中小企業は、サイバー攻撃者にとって、大企業への足がかりとなる「踏み台」や、直接的な金銭・情報の窃取目的で狙われることが増えています。

情報漏洩による顧客からの信頼失墜、事業停止による機会損失、復旧にかかる莫大な費用…。デジタルセキュリティの対策を怠ることは、事業の継続を脅かす重大なリスクとなり得ます。しかし、難しく考える必要はありません。まずは「すぐにできること」から始め、一つずつ何重にも対策を取ることが重要です。

本記事では、ホームページをメインとした、皆さんのビジネスを取り巻くデジタル環境全体を守るための、具体的で分かりやすいチェックリストを、優先度別にまとめました。

ホームページのセキュリティ対策の必要性

JPCERT/CC（JPCERTコーディネーションセンター）のレポートによると2024年ではWebサイトの改ざんは284件発生していると報告されています。報告ベースの数字なので気づいていない、もしくは報告していない事例もいれるともっと増えると推測できます。

中小企業でも狙われる

アクセス数の多い大企業のサイトだから狙われる？そんなことはありません。2025年6月に帝国データバンクのプレスリリースによると過去にサイバー攻撃を受けたことのある企業の割合は全体で32.0%で、「大企業」が41.9%、「中小企業」が30.3%、うち「小規模企業」が28.1%ですが、「最近では、大企業よりも対策が比較的手薄な中小企業の被害増加が顕著になっている」と報告されています。
企業規模に関係なくサイバー攻撃やホームページの改ざん被害に合うのが現実です。

経営者やWeb担当者が知るべき責任とリスク

ホームページのセキュリティ不備や改ざんが発生した場合、個人情報保護法、消費者契約法などに基づく法的責任や保障費用が発生するだけでなく、ビジネス上でも信用・ブランドの失墜、売上・利益の減少、風評被害、復旧コストの発生、機会損失などのリスクも考えられます。

Webサイトが改ざんされるとその復旧作業には

• 改ざん原因調査
• 不正ファイルの除去
• CMSのアップデート・復元
• パスワード変更・セキュリティ強化

などの作業が必要になり委託する場合には10～30万円程度がかかります。
また、実際に調査作業や除去作業に取り掛からないと作業量がはっきり分からないため、対応する業者側としても作業前の見積もり金額が確定することが困難です。すぐに復旧したい場合は早期対応料金なども加算されるため、通常の工数単価よりも割高になります。

さらに大規模なシステムを絡むようなサイバー攻撃の場合、数千万円などの高額になるケースもあるため、事前に守りを固めておく必要があります。

特に長期休暇前は注意が必要

お盆休みや年末年始など、長期休暇の前後は特に注意が必要です。
Web担当者や経営者がお休みに入り、ホームページをチェックする頻度も下がるため、その期間を狙った攻撃も増える傾向があります。

ホームページのセキュリティ対策

セキュリティ対策は、家のセキュリティと同じようなものです。
玄関の鍵を締めていても窓の鍵が開いていれば侵入されてしまいます。
これをやっておけば大丈夫！ということはなく、何重にも対策を重ねる必要があるので、すぐに行える対策から行っていきましょう。

必須セキュリティ対策

OS/ソフトウェア/CMSは最新に

ホームページの更新や業務に使うデバイスのOS・ソフトのバージョンは最新版にしておくのが安心です。またWordPressのようなCMS（コンテンツ・マネージメント・システム）を使っている場合、テーマやプラグインの脆弱性も頻繁に発生します。CMS本体とともに最新版にアップデートしておきましょう。

CMSは不具合や脆弱性が見つかると最新版が出されるため、古いバージョンを使い続けることは危険。CMS本体、テーマ、プラグインなども、バックアップデータを取った上でテスト環境で試しにアップデートしてから、本番環境もアップデートすると安心して最新版を使うことができます。

パスワード管理ともう一段階の認証（MFA）

ホームページを管理するツール、サーバーなどのパスワード、業務に使うメールやSNSなどのアカウントのパスワードは複雑なものが安全。

最低でも10文字以上で、数字や記号、アルファベット（大文字・小文字）が混ざっているものが好ましく、推測されにくいパスワードを作ることが推奨されています。

同じパスワードを使い回すことも危険ですが、複雑なパスワードを設定し覚えられない場合も多いのでパスワードマネージャーなどのパスワード管理ツールなどで記憶しておくことが推奨されます。

また、IDパスワードだけではランダムに入力した際に突破される可能性がゼロではないので、スマートフォンや指紋などを利用する多要素認証も活用することがオススメです。

大切なデータは必ずバックアップ

ホームページのデータやコラム記事の情報などはバックアップを取っておくと安心。
万が一、改ざんされた場合でも復旧するのが早くなります。
最近ではレンタルサーバーにバックアップ機能が装備されているものも増えています。

Webの通信データを暗号化するSSL

ホームページに問い合わせフォームなどが設置されていてデータの通信が発生する場合、通信情報を暗号化するためのSSLも必須です。
URLが「http://」ではなく「https://」で始まるもので、ブラウザに「この接続は保護されています」というメッセージが出ていれば設定されています。

ホームページの改ざんに関わるものではありませんが、サイトへの訪問者の安全を確保するためにも導入しておきましょう。

追加対策

上記の必須対策のほか、さらにリスクを減らすための対策もあります。

WAF（ウェブアプリケーションファイヤーウォール）

ホームページを公開するレンタルサーバーに防御壁を作る機能がWAF（ウェブアプリケーションファイヤーウォール）。サーバー側で防御できる機能なので利用中のサーバー会社に確認し、有効化しておきましょう。

アクセス権限管理

サーバーの管理画面へのログイン情報、FTP（サーバーとデータをやりとりする仕組み）情報、CMSの管理画面へのアクセス権限などは、必要な人に必要なものだけ付与するようにしましょう。
ユーザー名を個別に作れるツールの場合、共通のユーザー名とパスワードを共有するのではなく別個に作り、どのユーザー名が漏洩したか分かる状態にしておきましょう。

さらに盤石な体制へ

さらに盤石なセキュリティ環境を構築するには、専門家によるホームページの脆弱性診断サービスの利用や、侵入検知システムの導入などの対策も考えられます。セキュリティの事故が起きた場合の対応策や事前の防御策をまとめたセキュリティポリシーを策定することも検討しましょう。

外部リソースの活用

ホームページのセキュリティに関して、自社内ですべてを行うことは不可能。外部の力を使って安全な運用体制を構築しましょう。

サーバー会社

ホームページを公開するにはレンタルサーバーが必要です。サーバー会社にはセキュリティ機能を装備しているものも多いため、どんな機能があるか確認しましょう。WAFやバックアップ機能を用意している手頃な価格のレンタルサーバーが増えているので、対応していない場合はサーバー移転を検討しても良いかもしれません。

専門家のアドバイス

ホームページを制作した制作会社に対し、現状のサイトが安全かどうか確認することもセキュリティ対策の第一歩。対応されない場合は外部の専門家にアドバイスを求めるのも一つの手です。

まとめ

セキュリティに関しては、ここまでやれば完璧というゴールはありません。定期的にセキュリティチェックを行い、対応可能な対策は追加していきましょう。

まずは、「必須」の対策から実行に移してみてください。OSやソフトウェアの更新、パスワードの見直し、データのバックアップなど、すぐにできることから始めるだけでも、ホームページは格段に安全になります。

セキュリティ対策は、一見するとコストや手間がかかるように感じるかもしれません。しかし、万が一サイバー攻撃の被害に遭った場合の金銭的・信用的な損失は、その比ではありません。デジタルセキュリティへの投資は、会社の未来を守るための、最も重要な先行投資と言えるでしょう。

あなたの会社のホームページと信頼を守るために、まずはできることから始めてみましょう。