「うちは大企業じゃないから、ハッカーに狙われるような機密情報なんて持っていないよ」
「セキュリティにお金をかけるくらいなら、広告費に回して売上を上げたい」
Webサイト制作の打ち合わせで、多くの経営者様からこのような本音を伺います。その気持ちは痛いほどよくわかります。セキュリティ対策は、売上を増やす攻めの投資ではなく、何かあった時のための守りのコストに見えるからです。目に見えない「安心」に対して、数百万円もの予算を割くことに躊躇するのは、経営判断として無理もありません。
しかし、プロとして残酷な現実をお伝えしなければなりません。現在、サイバー攻撃の標的は、ガードの堅い大企業から、セキュリティの甘い中小企業へとシフトしています。さらに恐ろしいのは、あなた自身が被害者になるだけでなく、取引先や顧客を巻き込む「加害者」になってしまうリスクです。
「どこまでやればいいのかわからない」。この問いに対するCagraPROの答えは明確です。銀行のような鉄壁の要塞を作る必要はありません。しかし、ビジネスを継続するための「最低限の防波堤」は必須です。今回は、過剰な不安商法に踊らされず、かといって無防備でもない、中小企業サイトに求められる「現実的かつ適正なセキュリティ対策」のライン引きについて解説します。
「狙われる」のではなく「巻き込まれる」。中小企業を襲う攻撃の正体
まず、大きな誤解を解きましょう。ハッカーは、特定の企業を狙い撃ちしているわけではありません(もちろん例外はありますが)。彼らの多くは、自動化されたプログラム(ボット)を使って、ネット上の何億というWebサイトを無差別に巡回させています。
「WordPressのバージョンが古いサイト」「パスワードが単純な管理画面」「プラグインの脆弱性が放置されているサイト」。ボットはこれらを機械的に探し出し、ドアが開いている家を見つけたら、住人が誰であろうと侵入します。つまり、会社の規模や知名度は関係ありません。「鍵が開いているかどうか」だけが見られているのです。
侵入されたサイトはどうなるか。自社の情報が盗まれるだけならまだマシかもしれません。最悪なのは、そのサイトが「踏み台」にされるケースです。あなたのサイトにウイルスを仕込まれ、アクセスした顧客に感染させる。あるいは、あなたのサイトから大量の迷惑メールを配信する拠点として悪用される。
こうなると、Googleからは「危険なサイト」として検索結果から排除され、ブラウザには真っ赤な警告画面が表示されます。何より、長年築き上げてきた取引先からの信用が一瞬で失墜します。「セキュリティ管理もできない会社に、仕事は任せられない」。このレッテルを貼られることこそが、中小企業にとって最大の経営リスクなのです。
サプライチェーン攻撃の入り口にならないために
特にBtoB企業が意識すべきは「サプライチェーン攻撃」です。大企業のセキュリティは強固で正面突破が難しいため、ハッカーはその取引先である中小企業をまず乗っ取り、そこからなりすましメールなどを送って大企業内部へ侵入しようとします。
もし、あなたの会社経由で大手クライアントに被害が及んだ場合、損害賠償請求はもちろん、取引停止は免れません。最近の大手企業の取引条件に「セキュリティチェックシート」の提出が増えているのはこのためです。セキュリティ対策は、もはや「自社を守るため」だけではなく、「取引資格を得るため(ビジネスに参加するため)」の必須条件となっているのです。
どこまでやる? コストとリスクの「適正ライン」を見極める
では、具体的に何をすればいいのでしょうか。セキュリティ会社に相談すると、月額数万円〜数十万円の高額なサービスを提案されることがありますが、一般的なコーポレートサイトや採用サイトにそこまでの装備が必要かと言えば、疑問が残ります。
CagraPROが考える、中小企業サイトにおける「現実的な合格ライン」は以下の3点です。
①常時SSL化(HTTPS): 通信を暗号化する技術です。これは「対策」以前の「標準装備」です。これがないサイトは、ブラウザで「保護されていない通信」と表示され、ユーザーに不安を与えます。Googleの評価も下がります。
②WAF(Web Application Firewall): Webサイトへの攻撃を防ぐ「盾」です。SQLインジェクションやクロスサイトスクリプティングといった、代表的な攻撃パターンを検知してブロックします。高額なアプライアンス製品を入れる必要はありません。現在は、レンタルサーバーの標準機能や、クラウド型の安価なWAFで十分な性能が得られます。
③CMSとプラグインのアップデート: これが最も重要で、かつ最もサボられがちな対策です。WordPressなどのCMSは、脆弱性が発見されるたびに修正プログラム(アップデート)が配布されます。これを放置することは、玄関の鍵が壊れていると知らされているのに、修理せずに放置するのと同じです。
私たちは、この3つを徹底するだけで、リスクの9割は防げると考えています。CagraPROの制作・保守プランでは、これらをオプションではなく「標準仕様」として組み込んでいます。なぜなら、これらなしでWebサイトを公開することは、シートベルトなしで高速道路を走るようなものであり、プロとして容認できないからです。
最強の防御策は「バックアップ」である
どれだけ対策をしても、100%安全ということはあり得ません。未知のウイルスや、担当者の人為的ミス(パスワード漏洩など)による侵入を完全に防ぐことは不可能です。だからこそ、最後の砦となるのが「バックアップ」です。
万が一、サイトが改ざんされたり、データが消去されたりしても、前日のきれいな状態のデータが残っていれば、すぐに復旧できます。ダウンタイム(サイトが止まっている時間)を最小限に抑え、ビジネスへの影響を食い止めることができます。
CagraPROでは、サーバー上の自動バックアップに加え、外部ストレージへの二重バックアップを推奨しています。攻撃者がサーバーに入り込み、バックアップごと削除するケースもあるからです。「守る」ことにお金をかけすぎるより、「すぐに戻せる」体制を作っておく方が、コスト対効果としては遥かに賢い選択です。
意外な盲点。最大のセキュリティホールは「人」である
技術的な対策と同じくらい重要なのが、運用ルールです。実は、情報漏洩の原因の多くは、ハッキングなどの高度な技術ではなく、「パスワードを付箋に書いてモニターに貼っていた」「公共のWi-Fiで管理画面にログインした」「退職した社員のアカウントを削除し忘れていた」といった、初歩的なヒューマンエラーです。
高価なセキュリティソフトを入れても、鍵(パスワード)を道端に落としてしまっては意味がありません。
・パスワードは「admin」や「1234」などの単純なものを使わない
・管理画面へのログインURLを変更する
・不要なユーザーアカウントは即座に削除する
これらは、今日から無料でできる最強の対策です。しかし、忙しい業務の中では徹底が難しいのも事実です。だからこそ、私たちのようなパートナーが必要です。CagraPROは、納品時に「安全な運用マニュアル」をお渡しするだけでなく、定期的なメンテナンスを通じて、「怪しいログイン履歴はないか」「不要なファイルが溜まっていないか」をプロの目で監視します。
セキュリティは「機能」ではない。「信頼」という資産への投資
経営者の皆様に認識していただきたいのは、Webサイトのセキュリティ対策は、ITの問題ではなく、経営品質の問題だということです。
綺麗なデザインのサイトを作ることは、企業の「魅力」を伝えます。しかし、安全なサイトを維持することは、企業の「誠実さ」を伝えます。BtoBビジネスにおいて、どちらがより重要かは言うまでもありません。
予算が潤沢にないことは承知しています。だからこそ、私たちは「高額なツール」を売るのではなく、「正しい知識」と「適切な運用」を提供します。過剰な装備はいりません。しかし、丸腰では戦えません。御社のビジネス規模と、守るべき情報の重要度に合わせて、最適なセキュリティレベルを設計します。
「何かあってから」では遅すぎます。その「何か」が起きた時の損害額は、対策費用の何十倍、何百倍にもなります。今、御社のサイトがどのような状態にあるのか、リスクに晒されていないか。まずは現状把握から始めませんか?
CagraPROは、御社のWeb担当者として、ビジネスの信頼という資産を守り抜くことをお約束します。脅しではなく、安心のための対話を始めましょう。
著者:清宮 雄(株式会社カグラ 代表取締役) マーケティング、ブランディングおよび企業経営の領域において20年以上の実務経験を有する。国内外にてIT事業および教育事業を展開。