自社のセキュリティ対策について、中小企業だから関係ないと考えていませんか?情報が企業の重大な資産である現代において、インターネットを介した脅威に備えていないことは、事務所のドアにカギをかけていないのと変わりません。
「とはいえ、セキュリティは難しそうでよくわからない」と考える方のために、この記事では、中小企業こそ知っておくべきセキュリティの知識や、セキュリティ漏洩の恐ろしいリスクについて解説しています。
自社でできる対策もお伝えしていますので、ぜひ今日からトライしてみましょう。
【基礎知識1】中小企業こそ標的になりやすい
近年、インターネットを介した悪質な攻撃のメインターゲットは、大企業ではなく中小企業と言われています。
いまや中小企業であってもホームページを運営することが当たり前になり、そこから把握できる情報には充分な価値があるのです。
堅牢な大企業よりセキュリティ対策が脆弱な中小企業が狙われる
大きな企業が何重もセキュリティ対策を講じているのに対し、中小企業では、セキュリティ意識が低く対策が徹底されていないケースも少なくありません。
泥棒が、大きな銀行に侵入するよりも、商店街の店舗のカギを壊して金庫を盗む方が、確実で効率的と考えるのと同様です。
中小企業だから狙われないだろうという考えが、つけ込まれてしまうポイントです。
大企業への踏み台として関連中小企業が狙われる
中小企業の脆弱なシステムを経由し、取引メールなどから大企業のデータを狙うケースもあります。
流出するような情報はないと考えている中小企業でも、取引先の被害に加担してしまう可能性があるのです。
このように、中小企業がインターネット犯罪の標的になりやすいことを心得ておきましょう。
【基礎知識2】セキュリティ漏洩の主なリスク
続いて、充分なセキュリティ対策がなされていないホームページに、どのようなリスクがあるのかを把握しましょう。
サイバー攻撃
オンラインを介した悪意ある攻撃のことを総称して「サイバー攻撃」と呼ばれています。様々な手法があり、年々巧妙化してきていることが特徴です。
サイバー攻撃をうけると起こること
ホームページがサイバー攻撃を受けることで起こる代表的な被害が下記の3つです。
1.情報漏洩
ホームページの問い合わせフォームなどから不正アクセスされ、それまでの顧客情報を抜き取ってしまうサイバー攻撃の手口があります。
例えば、顧客の名前と住所が漏洩したことから、被害者の住所が悪用され、詐欺の運営先などに指定されてしまう事件も起こっています。
ホームページ上で物品販売などを行っている企業から顧客のクレジットカード情報などが漏洩してしまうと、被害はさらに甚大です。
2.ホームページの改ざん、サーバーダウン
ホームページの権利権限を乗っ取り、管理者の知らないうちに意図しない内容に書き換えてしまうサイバー攻撃の手口があります。
例えば、ホームページ内のリンク先を詐欺サイトのURLなどに書き換えられれば、閲覧者は気付かずに詐欺に誘導されてしまいます。
また、ホームページサーバーを意図的にダウンさせ、見られない状態にする手口もあります。
閲覧者は「しっかりセキュリティ対策されていない企業だ」と離れていき、信頼を失ってしまいます。
3.ウイルス感染
ホームページにコンピュータウイルスを仕込み、管理者が何も触れない状態にさせるサイバー攻撃の手口もあります。
企業に身代金を要求する手口で「ランサムウェア」とも呼ばれます。
身代金を払うわけにもいきませんが、復旧するためには専門企業に費用を払う必要があるでしょう。
復旧に時間がかかれば、ホームページでの営業機会も損失します。
自社でできる最低限のセキュリティ対策をしよう
続いて、充分なセキュリティ対策がなされていないホームページに、どのようなリスクがあるのかを把握しましょう。
不要なプログラムを削除する
ダウンロードしたまま、デスクトップに放置されているフォルダやアプリケーションはありませんか。
利用しないプログラムはアップデートが行われず、セキュリティの抜け道になりやすいです。
不要なプログラムは、放置せずすぐに削除するようにしましょう。
常に最新版にアップデートする
どんなソフトもアップデートの通知があったら、すぐに実行しましょう。
アップデートが必要ということは、脆弱性が見つかった証拠です。
アカウント管理・アクセス制限をする
どの企業も複数のプログラムでIDやパスワードアカウントを利用しているでしょう。
テストアカウントや退職者のアカウントを放置していると、セキュリティ事故につながります。
重要なプログラムには、限られた人員しかアクセスできないよう制限することも大切です。
パスワードは複雑な12桁以上に設定する
サイバー攻撃の手口として、パスワードを自動的に量産しログインできるまでトライする方法があります。 この手法では、例えばアルファベットのみで6桁のパスワードであれば、1秒もかからずに突き止められてしまう計算です。
パスワードは、数字とアルファベットの大文字小文字をランダムにした12桁以上にしましょう。そうすると、自動生成におよそ2000年かかる計算になります。
アクセスログの取得、保管をする
ホームページのアクセスログ(履歴)は、定期的に取得し保管を行うルールを設定しましょう。不正なアクセスがないかを定期的に確認することで、不具合に早期に気付くことができます。
その他、重要なシステムやアプリケーションも履歴が取得できるものはルール化し保管をおすすめします。
サーバーで行うセキュリティ対策とは
自社で行う対策だけではなく、ホームページ運営自体のセキュリティ対策を強化することも大切です。
いまいちど確認すべき項目を以下にまとめました。
SSL証明書の取得
SSLとは、インターネット上の通信を暗号化する技術のことです。
インターネット上で情報をやりとりするのに、サーバー上の通信を暗号化することで、悪意ある閲覧者に情報を見られなくするための対策です。
ホームページのURL(アドレス)の[http…]に続いて[s]がある[https:…]となっていれば、SSL対策がなされている証拠になります。
知識のある閲覧者なら[https:…]になっていないサイトは脆弱と分かってしまうため、なっていない場合はすぐに改善しましょう。
制作会社に相談
ホームページを制作する企業であれば、セキュリティ対策を含めた相談ができる企業が少なくありません。 保守管理と合わせて、定額制のセキュリティプランのある企業もあるでしょう。 専門的なことが苦手に感じる場合は、外部企業を頼ることも大切です。
なお、セキュリティ対策に関する費用については、こちらの記事でもご紹介しています。
⇒『 【初心者向け】コストから考えるホームページとセキュリティの話』
この記事のまとめ
悪意のあるサイバー攻撃は、セキュリティ対策の脆弱な中小企業を狙い、年々巧妙化しています。
一度セキュリティ事故が起こってしまうと、原因調査や損害賠償での費用損失に加え、顧客の信頼を失い、働く社員の生活を守れなくなってしまう恐れもあります。
まずは、自社で可能なセキュリティ対策を徹底し、必要であれば費用を投資して外部企業に相談するのもおすすめです。
現代の脅威にしっかり備え、賢くホームページを運営していきましょう。
