自社のセキュリティ対策について、中小企業だから関係ないと考えていませんか?情報が企業の重大な資産である現代において、インターネットを介した脅威に備えていないことは、事務所のドアにカギをかけていないのと変わりません。
「とはいえ、セキュリティは難しそうでよくわからない」と考える方のために、この記事では、中小企業こそ知っておくべきセキュリティの知識や、セキュリティ漏洩の恐ろしいリスクについて解説しています。
自社でできる対策もお伝えしていますので、ぜひ今日からトライしてみましょう。
近年、インターネットを介した悪質な攻撃のメインターゲットは、大企業ではなく中小企業と言われています。
いまや中小企業であってもホームページを運営することが当たり前になり、そこから把握できる情報には充分な価値があるのです。
大きな企業が何重もセキュリティ対策を講じているのに対し、中小企業では、セキュリティ意識が低く対策が徹底されていないケースも少なくありません。
泥棒が、大きな銀行に侵入するよりも、商店街の店舗のカギを壊して金庫を盗む方が、確実で効率的と考えるのと同様です。
中小企業だから狙われないだろうという考えが、つけ込まれてしまうポイントです。
中小企業の脆弱なシステムを経由し、取引メールなどから大企業のデータを狙うケースもあります。
流出するような情報はないと考えている中小企業でも、取引先の被害に加担してしまう可能性があるのです。
このように、中小企業がインターネット犯罪の標的になりやすいことを心得ておきましょう。
続いて、充分なセキュリティ対策がなされていないホームページに、どのようなリスクがあるのかを把握しましょう。
オンラインを介した悪意ある攻撃のことを総称して「サイバー攻撃」と呼ばれています。様々な手法があり、年々巧妙化してきていることが特徴です。
ホームページがサイバー攻撃を受けることで起こる代表的な被害が下記の3つです。
ホームページの問い合わせフォームなどから不正アクセスされ、それまでの顧客情報を抜き取ってしまうサイバー攻撃の手口があります。
例えば、顧客の名前と住所が漏洩したことから、被害者の住所が悪用され、詐欺の運営先などに指定されてしまう事件も起こっています。
ホームページ上で物品販売などを行っている企業から顧客のクレジットカード情報などが漏洩してしまうと、被害はさらに甚大です。
ホームページの権利権限を乗っ取り、管理者の知らないうちに意図しない内容に書き換えてしまうサイバー攻撃の手口があります。
例えば、ホームページ内のリンク先を詐欺サイトのURLなどに書き換えられれば、閲覧者は気付かずに詐欺に誘導されてしまいます。
また、ホームページサーバーを意図的にダウンさせ、見られない状態にする手口もあります。
閲覧者は「しっかりセキュリティ対策されていない企業だ」と離れていき、信頼を失ってしまいます。
ホームページにコンピュータウイルスを仕込み、管理者が何も触れない状態にさせるサイバー攻撃の手口もあります。
企業に身代金を要求する手口で「ランサムウェア」とも呼ばれます。
身代金を払うわけにもいきませんが、復旧するためには専門企業に費用を払う必要があるでしょう。
復旧に時間がかかれば、ホームページでの営業機会も損失します。
続いて、充分なセキュリティ対策がなされていないホームページに、どのようなリスクがあるのかを把握しましょう。
ダウンロードしたまま、デスクトップに放置されているフォルダやアプリケーションはありませんか。
利用しないプログラムはアップデートが行われず、セキュリティの抜け道になりやすいです。
不要なプログラムは、放置せずすぐに削除するようにしましょう。
どんなソフトもアップデートの通知があったら、すぐに実行しましょう。
アップデートが必要ということは、脆弱性が見つかった証拠です。
どの企業も複数のプログラムでIDやパスワードアカウントを利用しているでしょう。
テストアカウントや退職者のアカウントを放置していると、セキュリティ事故につながります。
重要なプログラムには、限られた人員しかアクセスできないよう制限することも大切です。
サイバー攻撃の手口として、パスワードを自動的に量産しログインできるまでトライする方法があります。 この手法では、例えばアルファベットのみで6桁のパスワードであれば、1秒もかからずに突き止められてしまう計算です。
パスワードは、数字とアルファベットの大文字小文字をランダムにした12桁以上にしましょう。そうすると、自動生成におよそ2000年かかる計算になります。
ホームページのアクセスログ(履歴)は、定期的に取得し保管を行うルールを設定しましょう。不正なアクセスがないかを定期的に確認することで、不具合に早期に気付くことができます。
その他、重要なシステムやアプリケーションも履歴が取得できるものはルール化し保管をおすすめします。
自社で行う対策だけではなく、ホームページ運営自体のセキュリティ対策を強化することも大切です。
いまいちど確認すべき項目を以下にまとめました。
SSLとは、インターネット上の通信を暗号化する技術のことです。
インターネット上で情報をやりとりするのに、サーバー上の通信を暗号化することで、悪意ある閲覧者に情報を見られなくするための対策です。
ホームページのURL(アドレス)の[http…]に続いて[s]がある[https:…]となっていれば、SSL対策がなされている証拠になります。
知識のある閲覧者なら[https:…]になっていないサイトは脆弱と分かってしまうため、なっていない場合はすぐに改善しましょう。
ホームページを制作する企業であれば、セキュリティ対策を含めた相談ができる企業が少なくありません。 保守管理と合わせて、定額制のセキュリティプランのある企業もあるでしょう。 専門的なことが苦手に感じる場合は、外部企業を頼ることも大切です。
なお、セキュリティ対策に関する費用については、こちらの記事でもご紹介しています。
⇒『 【初心者向け】コストから考えるホームページとセキュリティの話』
悪意のあるサイバー攻撃は、セキュリティ対策の脆弱な中小企業を狙い、年々巧妙化しています。
一度セキュリティ事故が起こってしまうと、原因調査や損害賠償での費用損失に加え、顧客の信頼を失い、働く社員の生活を守れなくなってしまう恐れもあります。
まずは、自社で可能なセキュリティ対策を徹底し、必要であれば費用を投資して外部企業に相談するのもおすすめです。
現代の脅威にしっかり備え、賢くホームページを運営していきましょう。