企業のITセキュリティに端を発した情報漏洩やウェブサイトの改変事件などが注目を集めています。これらの事件は大企業だけのことのようにも思えますが、実は中小の工務店においても発生しうる事件です。
工務店がホームページの運営において知っておくべきセキュリティリスク及びその対策について具体的に紹介します。
- よくあるホームページへの攻撃方法
- ホームページ集客を行う工務店で考えられるセキュリティ事故
- 今からできるセキュリティ対策8選
本コンテンツの学習にかかる目安時間は10分〜20分程度です。
本コンテンツの目次
中小企業のセキュリティの甘さが狙われる?
ITセキュリティの不備に伴う情報流出事件の報道ではいつも大企業ばかりが取りざたされていますが。意外と狙われているのが中小・零細規模の企業です。
専任のセキュリティ担当者がいて、システムに潤沢に経費を掛けられる大企業と違い中小企業はセキュリティ対策に割けるリソースが少ないためどうしてもセキュリティが甘くなりがちです。
下の図はIPA(情報処理推進機構)が発表した、「2016年度 中小企業における情報セキュリティ対策に関する実態調査」という資料から抜粋した図で、ウイルス対策ソフトなどは小規模企業でも導入しているものの、その他対策は全体として進んでおらず、規模の小さい企業ほどセキュリティリスクが高いことが読み取れます。
よくある4種類の攻撃方法
中小企業に限らずセキュリティが甘いホームページを狙う攻撃方法としては「SQLインジェクション」、「XSS(クロスサイトスクリプティング)、「DoS攻撃」・「DDoS攻撃」の4種類の手法が有名です。
SQLインジェクション
SQLというデータベースを操作するプログラミング言語を使用して、不正に相手のデータベースに攻撃を行う手法です。これにより本来隠されているはずのデータベース上の内容が公開されたり、ホームページが改ざんされたりといった事態が懸念されます。
XSS(クロスサイトスクリプティング)
XSSはWebサイト・サービス内に脆弱性のあるアプリケーションがある際に、その脆弱性のある部分に罠を仕掛けてサイト訪問者の個人情報を盗んだりマルウェアに感染させたりする手法のことを指します。
DoS攻撃
ウェブサービスが利用しているサーバーやネットワークに対して負荷をかけることによりウェブサービスをアクセスできなくさせる攻撃手法のことを指します。ただし、同一IPからのアクセス回数を制限させておくなど比較的解決策の見つけやすい攻撃でもあります。
DDoS攻撃
DoS攻撃の進化版で複数のコンピューターからDoS攻撃を行い、アクセス制限など簡単な手段で攻撃を回避できなくした手法です。攻撃元を次々に変えたり、第三者のIPを踏み台にしたりしてDoS攻撃を行うため対処がしづらくなっています。
ホームページ集客に成功している工務店こそ重要なセキュリティ対策
ホームページ経由で発生しうるセキュリティ事故
ホームページ集客に積極的に取り組んでいる工務店こそセキュリティが甘いというのは大きなリスクとなります。例えば、ホームページ経由で発生しうるセキュリティ事故の典型的な事例として次の3パターンが考えられます。
ホームページ問い合わせのスパムメールから情報流出
元従業員などによる物理的な情報流出を除けば、最も情報流出のシナリオとしてあり得るのがスパムメールからの情報流出です。ホームページの問い合わせの中には純粋なお客様からの問い合わせメールの他にも、Webサイト制作会社や補助金の申請代行業者からの営業メールなど様々な営業メールが含まれています。
この中にスパムメールが混ざっていることも多々あります。スパムメールのURLをうかつにクリックするとウイルスに感染して、情報が流出したり、仕事で使用するファイルがロックされたりと様々な被害が考えられます。
ホームページの管理パスワードが漏れて勝手に改変
ホームページのドメイン(××.comや○○.co.jpなど)の管理、CMS(WordPressなど非エンジニアでもホームページが更新できるシステム)のパスワード管理が甘くて第三者が勝手にログインしてホームページを乗っ取るケースも考えられます。
もちろんホームページが乗っ取られるとそこからの集客が途絶えてしまうのはもちろん、アクセスしてきたお客様の情報を不正に抜かれたり、ウイルスをお客様のスマホに送ったりなど大きな被害が考えられます。
ホームページ経由の不正アクセスにより会社のシステムに不具合を与える
ホームページ経由で不正アクセスが発生、そこから顧客情報などと共に会社で使っている各種システムのパスワードが流出すると、会社で使用している顧客管理や工事の進捗管理を行っているシステムなどまで被害が波及する可能性も考えられます。
そうした場合は、単なる情報流出やホームページ改ざんに対する対処だけに留まらず、会社のシステム自体を復旧させなければならないので営業自体がストップしてしまいます。
中小の工務店は地道に積み重ねた信頼が何よりも重要
言うまでもなく地域密着型の工務店にとって何よりも重要なのは地道に積み重ねて来た地域住民の方々からの信用です。しかし、丁寧な仕事をしたり、アフターフォローを完璧に行って地道に信頼を積み重ねたとしても、ひとたび情報流出やホームページの改ざんなどが発生した場合その信頼は大きく損なわれます。
そして、事故が発生した場合の信頼に対する被害は測定できないものの、単に数日営業が止まる以上に大きな経営ダメージとなります。せっかくコツコツと積み重ねて来た信頼を損なわないためにもセキュリティリスクには厳正な対処が必要です。
今からできるホームページセキュリティ対策8選
多くのウェブサイト経由のセキュリティ被害は日頃のちょっとした仕事の積み重ねから防げます。中小企業におけるセキュリティ事故は日頃の重要な過失により発生していると考えられます。典型的には次の8つの対策を見直してください。
ホームページ・パソコンのシステムは最新の状態に
無料で実施できる簡単なセキュリティ対策としてホームページ・パソコン関連のシステムは常に最新の状態にしておくことが挙げられます。
サポートが切れたOSは使用しない、ホームページにWordPressなどのCMSを活用している場合は最新のバージョンに更新しておくなど常にシステムを最新の状態にするように心がけてください。Microsoft Office製品やAdobe Acrobat Readerなど多くの人が利用する製品は攻撃の対象になることがあります。大手の製品だからと安心せず、常に最新版に更新することが大切です。
ウイルス対策ソフトは必ずインストールしマメに更新する
多くの中小工務店でも対策が済んでいる場合も多いですが、ウイルス対策ソフトをパソコン・スマホにインストールできているかも今一度見直すべきです。
仮にインストールしていても有効期限が切れていて古いバージョンになっている、更新作業が滞っていてシステムが最新のバージョンではない場合は新しいウイルス、スパムに対応できないケースも考えられます。
また、ウイルス対策ソフトをインストールしていても、それをすり抜けるウイルス・スパムが存在するかもしれない可能性は常に検討し、不用意なことはしてはいけません。
安全性の高いパスワードを作成し使いまわさない
総務省の「国民のための情報セキュリティサイト」によると、他人に推測されにくく、ツールなどの機械的な処理で割り出しにくいパスワードが奨励されています。
- 名前などの個人情報からは推測できないこと
- 英単語などをそのまま使用していないこと
- アルファベットと数字が混在していること
- 適切な長さの文字列であること
- 類推しやすい並び方やその安易な組合せにしないこと
パスワードは使い回さないことも重要です。1つのパスワードを使い回している場合、何らかのきっかけでそれが流出すると、ほかのサービスも乗っ取られてしまう可能性が高くなります。
不用意にスパムメールを開かない
ホームページの問い合わせフォーム経由できたメールの中にはスパムメールが含まれている可能性も高いです。ある程度セキュリティソフトやメーラーシステムが警告、スパム判定などを実施してくれますが、最終的には人間の判断に委ねられます。
変な日本語のメールややたらと長い文字列の意味が良く分からないURLには注意して不用意にメールを開かないようにしてください。
サーバーのセキュリティ環境に注意する
特に工務店の場合、古かったり、サポートが切れたりしたサーバーを活用している場合も見受けられます。もちろん、これは大きなセキュリティリスクとなります。
大手のレンタルサーバーを使用している場合は問題ありませんが、自前でサーバーを用意している、どんなサーバーを使っているかよくわからないといった場合はホームページの管理業者などと連携して数年に一度はサーバーのセキュリティ環境について見直す機会を設けてください。
従業員のセキュリティに対する意識を高める
ハッキングによりホームページからセキュリティ事故が発生するケースもありますが、多くのセキュリティ事故は従業員の不注意により発生しがちです。
例えば、ウイルス対策が不十分な自宅のパソコンからホームページにログインした、パスワードを紙に書いて誰でも閲覧できる状態で放置しておいたなど、日ごろのちょっとした不注意が大きな事故につながる可能性があります。
経営サイドが環境を整備するだけでは人的な理由により発生するセキュリティ事故は防止できないのでシステム整備と同時に従業員のセキュリティ意識に関する啓もうも必要です。
セキュリティ事故が発生した場合のガイドラインを設定する
万全のセキュリティ対策をしていても、セキュリティ事故が発生してしまうケースもあります。そういった場合の対策が明確でなければ右往左往しているうちに傷口を広げることにもなりかねません。
念のためにホームページが乗っ取られた場合、個人情報が流出した場合などケース別にどのように対応するのかガイドラインを設定してください。また、そのためにホームページ制作業者やITコンサルタントなどいざというときに連携できる専門家も確保しておくべきです。
サーバーにセキュリティ対策を施す
サーバーにセキュリティ対策を施すことによって、攻撃を防ぐ手法もあります。サーバーにおける代表的なセキュリティ対策として「ファイヤーウォール」「IPS」「WAF」の3つがあります。レンタルサーバーであれば簡易に設定できることが多いため、利用することを推奨します。
ファイヤーウォール
サイバー攻撃や不正アクセスを防ぐためのセキュリティ機能のことを指します。通信パケットのヘッダを確認して攻撃を防ぐ「パケットフィルタリング型」、アプリケーションプロトコル毎に通信制御し外部ネットワークとの情報の送受信をコントロールする「アプリケーションゲートウェイ型」、コネクション単位で通信可否を判断する「サーキットレベルゲートウェイ型」の3種類があります。
IPS
Intrusion Prevention Systemの事を指し、日本語では不正侵入防止システムと呼ばれます。サーバーやネットワークを監視、異常があれば管理者に通知し、異常な通信をブロックしてくれるシステムのことを指します。単に異常を通知するだけのシステムとしてIDSと呼ばれるシステムもあります。
WAF
Web Application Firewallの略称でウェブアプリケーションの脆弱性を利用した攻撃からアプリケーションを保護するセキュリティ対策です。Webアプリケーションの前面やネットワークに設定することによりXSSなどを防止、被害を軽減します。
セキュリティリスクを軽減して安定した工務店経営を
中小工務店といえどもセキュリティ事故は他人事ではありませんし、セキュリティ事故から業務停止、最悪の場合廃業に至るケースも考えられます。特にホームページはハッキングの入り口になりやすいためきちんとした対策が必要となります。
ただし、多くの事故は日頃のちょっとした作業によって十分に防止できます。本コンテンツで紹介した7つの対策をベースにセキュリティリスクを軽減させ安定した工務店経営を目指してください。
