ホームページのセキュリティの対策・費用相場やチェック・診断ツールを解説
「自社のホームページは安全か」「どのようなセキュリティ対策を講じればよいのか」と、多くの担当者が頭を悩ませています。
『ホームページに必要なセキュリティ対策の内容を知りたい』
『不正アクセスや情報漏えいを防ぐ具体的な方法を調べたい』
『セキュリティ対策を行うための費用やサービスを確認したい』
今回の記事では、ホームページのセキュリティ対策が必要な理由・攻撃手口・対策・費用相場までをまとめました。
さらに、おすすめの診断ツールや万が一攻撃を受けたときの初動対応についても、網羅的に紹介します。
本記事を読めば、自社のホームページに潜むリスクを正しく理解し、取るべき対策の優先順位が明確になります。
まずはホームページのセキュリティ対策の全体像を把握し、自社の事業を守るための最初の一歩を踏み出しましょう。
※本記事の情報は、2025年10月22日時点のものです
- 1. ホームページ・Webサイトのセキュリティ対策が必要な理由
- 2. ホームページ・Webサイトへのサイバー攻撃の手口と種類
- 3. セキュリティを突破されたホームページの被害事例5選
- 4. ホームページ・Webサイトのセキュリティ対策と費用相場一覧
- 5. 専門家・ホームページ制作会社にセキュリティ対策を依頼するときのポイント
- 6. ホームページがサイバー攻撃を受けたときの初動対応
- 7. ホームページのセキュリティ診断・チェックツール8選
- 8. ホームページ・Webサイトのセキュリティガイドライン
- 9. セキュリティガイドラインに基づく実装チェックリストの参考例
- 10. ホームページ・Webサイトのセキュリティに関するよくある質問
- 11. まとめ
ホームページ・Webサイトのセキュリティ対策が必要な理由
ホームページ・Webサイトのセキュリティ対策が必要な理由は、以下のとおりです。
- 個人情報の漏えいリスクを回避
- 顧客の信頼の維持
- 法律や規制の遵守
- 経済的損失を予防
- 検索エンジンでの評価向上
自社が預かる顧客情報の重要性を再認識し、情報漏えいを防ぐための技術的・組織的対策が十分かを入念に確認しましょう。
個人情報の漏えいリスクを回避
ホームページのセキュリティ対策は、顧客情報を不正アクセスやサイバー攻撃の脅威から保護するために必要です。
もしも、対策が不十分であれば、第三者によるデータベースへの侵入で顧客情報が流出し、情報漏えいを引き起こす原因となりえます。
通信内容を秘匿するSSL/TLS証明書による暗号化や、Webアプリケーションを保護するWAFの導入が有効です。
くわえて、定期的な脆弱性診断の実施は、Webアプリケーションの脆弱性を狙った攻撃を防ぐために欠かせません。
顧客の信頼の維持
強固なセキュリティ体制の構築と維持は、顧客からの信頼を勝ち取り、長期的なビジネスの成功を支える重要な土台となります。
顧客は自分のデリケートな情報が安全に取り扱われていると確信してこそ、安心して企業の商品やサービスを利用するためです。
一度セキュリティ事故が発生すれば情報は瞬く間に拡散し、企業のブランドイメージに回復困難なダメージを与えます。
企業の透明性を示すため、プライバシーポリシーの明確化やセキュリティ対策への取り組みを積極的に情報開示しましょう。
顧客との信頼関係をビジネスの生命線と捉え、基盤であるセキュリティ対策への投資を継続的に行うべきです。
法律や規制の遵守
適切なセキュリティ対策の実施は、サイバーセキュリティ関連の法規制を遵守するうえで、企業に課せられた社会的責務です。
具体的に企業が遵守すべきセキュリティ関連の法規制を、以下の表にまとめました。
| 法規制名 | 概要 |
|---|---|
| 個人情報保護法 | 個人情報の適正な取り扱いを定め、取得・利用・提供のルール、安全管理措置、漏えい時の報告・通知を義務づける |
| 不正アクセス禁止法 | 不正な手段によるシステムログインやID・パスワードの不正取得を禁止し、罰則を定める |
| サイバーセキュリティ基本法 | サイバーセキュリティ施策の基本理念を定め、国・企業等の責務と対策努力を義務づける |
| 不正競争防止法 | 営業秘密の不正取得・使用・開示を禁止し、秘密管理の確保を求める |
| プロバイダ責任制限法 | ネット上の権利侵害対応を定め、発信者情報開示請求への協力義務を課す |
| 特定電子メール法 | 迷惑メールの送信を規制し、オプトイン取得と表示義務を定める |
| 電子署名法 | 電子署名の法的効力を認め、本人性・非改ざん性の担保を求める |
| 著作権法 | 著作物の無断利用・複製を禁止し、ソフトウェアなどの保護を定める |
| 電気通信事業法 | 通信の秘密保護を義務づけ、事業者の届出・登録を求める |
| マイナンバー法 | 特定個人情報の適正取り扱いを定め、重い罰則を課す |
政府は安全管理措置を事業者に義務づけており、セキュリティ関連の法律が要求する水準は年々厳格化しています。
仮に、法令で定められた義務を怠り、重大な事故を引き起こしたら、行政からの是正勧告や高額な課徴金の納付命令を受けます。
経済的損失を予防
計画的かつ継続的なセキュリティ対策は費用対効果が高く、甚大な経済的損失リスクを最小化できます。
セキュリティ事故が発生した場合、被害状況の調査費用・システムの復旧費用・損害賠償金といった直接的なコストが発生します。
くわえて、ホームページの停止に伴う売上機会の逸失や、将来的な収益低下といった間接的な損失も見過ごせません。
総務省の報告によると、サイバー攻撃による企業の平均被害額は数千万円から数億円に達するケースも見られるそうです(※1)。
※1 参考:総務省「令和7年版 情報通信白書」
検索エンジンでの評価向上
ホームページ全体のセキュリティ強化は、Googleに代表される検索エンジンからの評価を高める効果が期待できます。
検索エンジンはユーザー保護を最優先事項としており、ホームページがSSL/TLSによって暗号化されているのが重要です。
常時SSL化は、検索順位決定の重要な要素としてGoogleも公表しており、対策すれば順位が上がる可能性があります。
また、ホームページがマルウェアに感染していると、Googleのセーフブラウジング機能によって危険だと判定されます。
ブラウザに警告が表示されるようになり、ホームページへのアクセスが大幅に減少するため、機会損失につながりかねません。
ホームページ・Webサイトへのサイバー攻撃の手口と種類
年々巧妙化しているサイバー攻撃は企業や組織だけでなく、ホームページを閲覧する一般の利用者にも被害が及ぶ可能性があります。
ホームページを狙った多様なサイバー攻撃の手口・種類について、以下の表にまとめました。
| 種類 | 概要 |
|---|---|
| ブルートフォース攻撃・辞書攻撃・パスワードリスト攻撃 | パスワード認証を総当たりや辞書・リストで試行し、突破する攻撃 |
| SQL・LDAP・式言語インジェクション | 入力値に不正なコードを注入し、データベースやディレクトリを不正操作する攻撃 |
| クロスサイトスクリプティング(XSS) | Webサイトに悪意のスクリプトを埋め込み、ユーザーのブラウザで実行させる攻撃 |
| クロスサイトリクエストフォージェリ(CSRF) | 偽装リクエストで利用者を騙し、意図しない処理を実行させる攻撃 |
| OSコマンドインジェクション・ファイルインクルージョン・パストラバーサル | 不正なコマンドやパスを注入し、システムやファイルに不正アクセスする攻撃 |
| バッファオーバーフロー攻撃 | バッファを超えるデータを送り、メモリをあふれさせて誤動作やコード実行を誘発する攻撃 |
| セッションハイジャック | セッションIDを不正取得し、ユーザーをなりすます攻撃 |
| クリックジャッキング | 視覚的に騙して、意図しないクリックを誘導する攻撃 |
| DDoS攻撃 | 大量のトラフィックでサーバーを過負荷にし、サービスを拒否する攻撃 |
| マルウェア設置・Webシェル | マルウェアを設置し、Webシェルでリモート制御する攻撃 |
| フィッシング詐欺・ウォーターホール攻撃 | 偽装で情報を盗むか、特定サイトの改ざんで感染させる攻撃 |
| CMS・プラグイン・APIなどの脆弱性の悪用 | CMSやプラグインの脆弱性を悪用し、改ざんや漏えいを引き起こす攻撃 |
| DNS関連攻撃 | DNSキャッシュポイズニングやリフレクションで解決を妨害したり、偽情報を注入したりする攻撃 |
セキュリティを突破されたホームページの被害事例5選
セキュリティを突破されたホームページの被害事例5選は、以下のとおりです。
- トヨタ自動車:ニュースページ改ざん事件
- KADOKAWA・Niconico:ランサムウェア攻撃
- 歯学書ドットコム:情報漏えい
- よこはま日本語学習支援センター:Webサイト改ざん
- 大阪商業大学:公式サイト改ざん
実際の被害事例からどのような事態になるのかをイメージし、事業を迅速に再開できるよう実効性のある対策を講じましょう。
トヨタ自動車:ニュースページ改ざん事件
2013年6月、世界的な自動車メーカーであるトヨタ自動車のニュースページの一部が改ざんされました(※2)。
ニュースページの改ざん事件の原因は、ホームページの管理を委託していた企業のサーバーがマルウェアに感染したためです。
幸いにも個人情報の流出は確認されませんでしたが、公式サイトの改ざんはブランドイメージに少なからず影響を与えました。
トヨタ自動車の事例は、ホームページ運用に関わる委託先などサプライチェーン全体のセキュリティ管理の重要性を示しています。
※2 参考:トヨタ自動車株式会社「弊社ホームページの改ざんに関する調査結果のご報告 (続報)」
KADOKAWA・Niconico:ランサムウェア攻撃
2024年に出版・ITサービス大手のKADOKAWAグループは、ランサムウェア攻撃を受けて深刻な事態に陥りました(※3)。
動画サービスとして有名な「ニコニコ動画」を含む多数のホームページが、長期間にわたり停止したのです。
ランサムウェア攻撃により、データセンター内のサーバー群が暗号化され、サービスの大部分が利用不可となりました。
ランサムウェアはデータを人質に身代金を要求する悪質なプログラムで、支払ったとしても復旧するかどうかもわかりません。
KADOKAWAグループはクリエイターへの補償や調査・復旧作業が求められ、23億円の特別損失を計上する事態になりました。
※3 参考:ASCII.jp「“KADOKAWA事件”で企業の尻に火がついた 重大事例から考える2025年からのランサムウェア対策」
歯学書ドットコム:情報漏えい
2019年に書籍通販サイト「歯学書ドットコム」では不正アクセスにより、情報漏えいの可能性が発覚しました(※4)。
最大約4万件のクレジットカード情報が対象で、Webアプリケーションの脆弱性から決済処理プログラムが改ざんされました。
入力したカード情報を盗み出すWebスキミングと呼ばれる手口で、カード番号・名義人・セキュリティコードが漏えいしたのです。
Webスキミングの被害を防ぐため、ECサイト運営者はカード情報を自社サーバーで保持しない非保持化の徹底を図るべきです。
※4 参考:ScanNetSecurity「不正アクセスで「歯学書ドットコム」利用者のカード情報流出の可能性」
よこはま日本語学習支援センター:ホームページ改ざん
2025年、横浜市が運営する「よこはま日本語学習支援センター」のホームページが改ざんされる事件がありました(※5)。
検索エンジンからアクセスすると、ユーザーを悪質なフィッシングサイトへ自動的に誘導する状態となっていたのです。
よこはま日本語学習支援センターの改ざんは、ホームページに利用されていたCMSの脆弱性が原因だと報告されています。
公的機関のWebサイトが詐欺サイトへの誘導に悪用されたため、2025年のセキュリティ事故で市民の信頼を損なう結果を招きました。
横浜市の事例から、ホームページの利便性を高めるCMSも、セキュリティ上の弱点になりうるという教訓が得られます。
※5 参考:Security NEXT「【セキュリティ ニュース】日本語学習支援施設のサイトが改ざん被害」
大阪商業大学:公式サイト改ざん
2023年に大阪商業大学の公式サイトが第三者による不正アクセスを受け、検索結果に不審な表示がされる被害を受けました(※6)。
個人情報の流出といった直接的な被害は確認されなかったものの、大学の公式サイトの検索結果が改ざんされた事実は重大です。
大阪商業大学の事例は、ホームページのセキュリティがサーバー自体の設定や管理体制に大きく依存すると示しています。
「サーバーのアクセス権限の適切な設定」「不要なサービスを稼働させない」など、インフラのセキュリティ強化も大切です。
※6 参考:大阪商業大学「本学WEBサイトの改ざんに関するお詫びと復旧のご報告」
ホームページ・Webサイトのセキュリティ対策と費用相場一覧
ホームページ・Webサイトのセキュリティ対策と費用相場一覧は、以下のとおりです。
- SSL/TLSの導入
- パスワード管理の強化
- CMS・プラグインの更新
- サーバーへのセキュリティツールの導入
- 定期的なバックアップ
- 入力チェック・エスケープ処理
- アクセス制御・権限管理
- セキュリティ診断・監視
- 社内教育・セキュリティ研修
- システム保守・監視サービスの活用
巨額な経済損失を防ぐセキュリティ対策の費用相場を把握し、事業継続に必要な投資として検討しましょう。
SSL/TLSの導入
ホームページのセキュリティにおける基本的な対策は、通信を暗号化するSSL/TLSの導入です。
URLが「https://」から始まるSSL/TLSはデータ通信を暗号化し、第三者による情報の盗聴や改ざんを防ぎます
費用相場は認証レベルによって大きく異なるため、以下の表にまとめました。
| 証明書種類 | 費用相場/年 |
|---|---|
| ドメイン認証型(DV・無料) | 0円 |
| ドメイン認証型(DV) | 990円~1万1,990円 |
| 組織認証型(OV) | 2万4,200円~5万4,780円 |
| 拡張認証型(EV) | 5万8,300円~17万8,200円 |
| ワイルドカード(DV) | 4万7,960円~ |
| ワイルドカード(OV) | 追加3万円~5万円程度 |
| マルチドメイン(SAN) | 追加1万円~3万円程度 |
パスワード管理の強化
ホームページの管理画面などへの不正アクセスを防ぐには、パスワード管理の強化が重要です。
安易な文字列やほかのサービスとの使い回しは、パスワードリスト攻撃などの標的になりやすく、非常に危険です。
具体的な強化策としては、文字数や複雑性の要件を満たした強固なパスワードの設定や、二要素認証の導入が挙げられます。
強固なパスワードを設定するポイントは、以下のとおりです。
| ポイント | 説明 |
|---|---|
| 長さ | 12文字以上とする |
| 文字種の組み合わせ | 大文字・小文字・数字・記号を混ぜる |
| 辞書語の回避 | 辞書に載った単語は使わない |
| ユニーク性 | サービスごとに異なるパスワードを設定する |
パスワードを設定する パスワード管理ツールを導入する費用相場について、以下の表にまとめました。
| 導入形態 | 費用相場/月 |
|---|---|
| 無料ツール・プラン | 0円 |
| クラウド型(1ユーザーあたり) | 300円~1,500円/ユーザー |
パスワード管理ツールの導入費用は、個人向けなら無料~月額数百円、法人向けプランでは数千円~数万円が目安となります。
CMS・プラグインの更新
発見された脆弱性を解消するため、WordPressなどのCMSやプラグインを常に最新の状態に保ちましょう。
古いバージョンを使い続けると既知の脆弱性を攻撃者に悪用され、ホームページの改ざんや情報漏えいにつながる恐れがあります。
自社更新なら無料ですが、ホームページ制作会社へ依頼する場合、月額数千円~数万円の保守費用に含まれるのが一般的です。
更新作業がないときでも定期的にCMSをチェックし、プラグインなどは可能なら自動更新をオンにしておきましょう。
サーバーへのセキュリティツールの導入
ホームページの防御力をさらに高めるためには、サーバー自体にセキュリティツールを導入するアプローチが有効です。
不正な通信を検知して遮断するWAFや、サーバーへの不正侵入を検知・防御するIDS/IPSが代表的なツールです。
セキュリティツールは、CMSやソフトウェアの脆弱性を突いた攻撃から、ホームページを保護してくれます。
自社サーバーにセキュリティツールを導入する場合の初期費用・月額費用の相場を、以下の表にまとめました。
| 項目 | 初期費用 | 月額費用 |
|---|---|---|
| WAF(クラウド型) | 5万円~7万円 | 9,000円~4万5,000円 |
| IDS/IPS(クラウド型) | 10万円 | 2万円~15万4,000円 |
なお、多くのレンタルサーバーではWAFやIDS/IPSといったセキュリティツールが無料で提供されています。
レンタルサーバーを利用してホームページを構築・運用するのが、費用・セキュリティの両面からバランスが良くおすすめです。
定期的なバックアップ
セキュリティ事故でデータが失われた場合に備え、ホームページのデータを定期的にバックアップしておきましょう。
バックアップがあれば、万が一ホームページが改ざんされたり、データが破損したりした場合でも正常な状態に復旧できます。
ホームページをバックアップする一般的な方法は、以下のとおりです。
| バックアップ方法 | 説明 |
|---|---|
| プラグインの使用 | ファイル・データベースを自動でバックアップ 定期実行が可能 |
| 手動のエクスポート | データベースをSQL形式でエクスポート ファイルをFTPで取得 |
| サーバー提供のツール | 管理画面から全体をダウンロード 無料で利用可能 |
レンタルサーバーが提供しているバックアップツールを利用すれば、簡単かつスピーディーな復旧が可能です。
ただし、バックアップは分散して取るのが基本ですので、プラグインなどを利用して自動バックアップも定期的に行いましょう。
なお、バックアップのプラグインは無料のケースも多く、有料のプラグインでも年額で1万円程度が一般的です。
入力チェック・エスケープ処理
ホームページのフォームなどを経由したサイバー攻撃を防ぐには、入力チェックやエスケープ処理といった対策が求められます。
入力チェックとは、フォームに入力されたデータが想定された形式や文字種であるかを確認する仕組みです。
エスケープ処理とは、入力データに含まれる特別な意味をもつ記号を無害化し、プログラムの誤作動を防ぐ処理です。
入力チェック・エスケープ処理はホームページの開発段階で実装されるのが一般的で、コストは開発費用に含まれます。
アクセス制御・権限管理
ホームページの管理者権限を厳格に管理し、不正な操作を防ぐためには、適切なアクセス制御と権限管理が大切です。
ホームページの管理画面にアクセスできる人物を限定し、各担当者には業務に必要な最低限の操作権限のみを付与しましょう。
たとえば、記事を投稿するだけの担当者に、ホームページ全体のデザインを変更できる権限を与えないように設定します。
大半のCMSでは、基本的なアクセス制御・権限管理の機能が備わっており、追加費用なしで対応できます。
セキュリティ診断・監視
自社では気づきにくい問題点を発見するには、専門家による定期的なセキュリティ診断が有効な手段です。
セキュリティ診断では、専門家が攻撃者の視点からホームページのシステムを調査し、潜在的な脆弱性を洗い出します。
また、セキュリティ診断ツールなら、専門家に依頼するより安価に自社のホームページを調査できます。
セキュリティ診断の費用相場の大まかな目安を、以下の表にまとめました。
| 診断の種類 | 費用相場 |
|---|---|
| ツールでの診断 | 無料~数十万円 |
| 専門家の診断 | 50万円~数百万円 |
オープンソースで無料のセキュリティ診断ツールもあるため、まずはコストをかけずにできるところから試してみましょう。
社内教育・セキュリティ研修
ヒューマンエラーを防ぐには、全従業員を対象とした定期的なセキュリティ研修・教育を実施し、リテラシーを向上させましょう。
従業員のリテラシーが低ければ、人為的なミスから重大なセキュリティ事故が発生する可能性があります。
「メール攻撃でウイルス感染」「安易なパスワードによる不正アクセス」など、従業員の行動が起点となる脅威は少なくありません。
セキュリティ研修の費用相場についての目安を、以下の表にまとめました。
| セキュリティ研修の種類 | 費用相場 |
|---|---|
| eラーニング | 1人あたり数千円~数万円/年 |
| 集合研修 | 数十万円/1回 |
| 専門コース | 1人あたり1万円~数十万円 |
システム保守・監視サービスの活用
ホームページのセキュリティ対策を自社内だけでは難しい場合、専門の保守・監視サービスを活用する方法が有効です。
保守・監視サービスが代行してくれる作業の内容は、以下のとおりです。
- サーバーやネットワークの監視
- ソフトウェアのアップデート管理
- セキュリティ事故発生時の対応
専門家による24時間365日の監視体制を構築できるため、セキュリティ事故の早期発見と迅速な対応が可能です。
保守・監視サービスの費用相場はホームページの規模や業務範囲によって大きく変動しますが、大まかには以下のとおりです。
| ホームページの規模 | 費用相場 |
|---|---|
| 小規模サイト | 月額5,000円~1万5,000円 |
| 中規模サイト | 月額2万円~5万円 |
| 大規模サイト | 月額5万円~15万円 |
専門家・ホームページ制作会社にセキュリティ対策を依頼するときのポイント
専門家やームページ制作会社にセキュリティ対策を依頼するときのポイントは、以下のとおりです。
- 実績
- 提供されるサービス内容
- 費用・コストパフォーマンス
- 継続的なサポート体制の有無
- コミュニケーションのスムーズさ
費用対効果の高いパートナーを選定するため、複数社から具体的な提案と見積もりを取り、サービス内容を比較検討しましょう。
実績
セキュリティ対策を依頼する専門家やホームページ制作会社を選ぶうえで、重視すべきは実績の有無です。
セキュリティ対策は高度な専門知識と経験が求められる領域であり、過去の対応事例が技術力と信頼性の証明となります。
一例を挙げると、自社と同じ業種や同程度のホームページの規模で、セキュリティ対策の実績があるかを確認します。
くわえて、問い合わせのときに、どのようなセキュリティ対策が標準で施されているのかを質問してみましょう。
提供されるサービス内容
依頼先を検討するときは、提供されるセキュリティ対策の具体的なサービス内容を詳細に確認するのが重要です。
ホームページに必要なセキュリティ対策は多岐にわたり、制作会社によって標準で提供するサービスの範囲が大きく異なるからです。
さらに、自社のホームページが抱えるリスクを洗い出し、対応に必要なサービスが過不足なく提供されるかを見極めてください。
見積もりを依頼する段階で、セキュリティ対策のサービス内容一覧とそれぞれの項目の詳しい説明を求めましょう。
費用・コストパフォーマンス
セキュリティ対策を依頼するうえで、提示された費用がサービス内容に見合っているかを慎重に評価しましょう。
料金が安いという理由だけで選んでしまうと、対策が不十分であったり、追加費用が発生したりするリスクがあるからです。
ホームページ構築時に発生する初期費用と、その後の保守・運用にかかるランニングコストに費用は大別されます。
複数社から見積もりを取り、内容とコストを比較検討して、長期的な視点で費用対効果の高いパートナーを選ぶべきです。
継続的なサポート体制の有無
ホームページのセキュリティは継続的な保守・運用が不可欠なため、依頼先のサポート体制の有無は重要な選定基準です。
サイバー攻撃の手法は絶えず進化しており、新たな脆弱性も日々発見されるため、定期メンテナンスや緊急時対応が求められます。
そのため、ソフトウェアのアップデートやバックアップの取得といった定常的な保守作業の範囲を確認しましょう。
また、万が一セキュリティ事故が発生したときの対応フローや、連絡体制が明確になっているかも確かめてください。
コミュニケーションのスムーズさ
専門的な領域だからこそ、内容をわかりやすく説明し、円滑に意思疎通を図れるコミュニケーション能力が依頼先には求められます。
セキュリティ事故のような緊急事態が発生したとき、担当者との迅速かつ正確な情報連携が被害の最小化につながります。
「担当者のレスポンスの速さ」「わかりやすい説明」「質問への対応」などを、契約前の打ち合わせ段階で確かめておくべきです。
実際に担当者となる人物と直接会話し、ストレスなくやりとりができる相手かどうかを自分で見極めましょう。
ホームページがサイバー攻撃を受けたときの初動対応
ホームページがサイバー攻撃を受けたときの初動対応は、以下のとおりです。
- 被害状況を把握
- ホームページを一時停止
- 関係部署・担当者に連絡
- バックアップからの復旧を検討
- 関係機関へ報告
- 利用者への告知と対応の実施
- 原因分析・再発防止策の検討
初動対応について事前に予習しておき、万が一の場合に備えてスムーズに行動できるよう準備しましょう。
被害状況を把握
サイバー攻撃を受けた可能性を検知した場合、被害の全体像を正確に把握するのが最優先となります。
「影響が及んでいる範囲」「漏えいした可能性のある情報」を特定しなければ、そのあとの適切な対応へ移れないためです。
サイバー攻撃を受けた可能性がある場合に行うべき行動を、以下の表にまとめました。
| 行動 | 説明 |
|---|---|
| ログの確認 | アクセスログやエラーログを調査して、異常を検知する |
| ファイル整合性の確認 | ウェブファイルのハッシュ値を比較して、改ざんをチェックする |
| マルウェアスキャン | セキュリティツールでウイルスやマルウェアを検出する |
| 影響範囲の特定 | どのデータやページが影響を受けたかを把握する |
| 専門家相談 | 必要に応じて、セキュリティ専門家や警察に連絡する |
あとの調査のためにログなどの証拠を保全し、不用意な再起動やファイルの削除は避けなければなりません。
自社の人材で状況の判断が難しい場合はむやみに操作せず、速やかに専門の調査機関への相談を検討してください。
ホームページを一時停止
二次被害を防ぐため、サイバー攻撃を受けたと判断した時点で速やかにホームページをネットワークから切り離しましょう。
ホームページを公開し続けるとユーザーがウイルスに感染したり、攻撃者によってさらに情報が盗まれたりする危険性が高まります。
切り離し方法としては、「サーバーのLANケーブルを抜く」「ファイアウォールの設定変更」などが挙げられます。
また、レンタルサーバーの場合は管理画面からアクセス制限をかけ、一時的にユーザーが接続できないようにしましょう。
緊急時に誰がどのような手順でホームページを停止させるか、役割分担と手順を明確にしておきましょう。
関係部署・担当者に連絡
被害状況の確認と並行して、あらかじめ定めた報告ルートに基づき、社内の関係部署や担当者へ迅速に情報を共有しましょう。
組織として一貫した対応をとり、混乱を避けるためには、関係者間での速やかな情報連携が不可欠だからです。
セキュリティ事故を発見した担当者は、まず情報システム部門やセキュリティ担当部署といった専門チームに第一報を入れます。
同時に経営判断を仰ぐために経営層へ報告し、必要なら広報部門や法務部門とも連携を図るフローを事前に作成しておきましょう。
バックアップからの復旧を検討
ホームページを正常な状態へ戻す手段として、事前に取得していたバックアップデータからの復旧作業を検討してください。
バックアップは、攻撃によって改ざんされたり暗号化されたりしたデータを、以前の健全な状態に戻すための生命線です。
ただし、復旧に用いるバックアップデータが、攻撃の痕跡やマルウェアを含んでいないかを入念に確認しましょう。
もし、汚染されたデータで復旧してしまうと、脆弱性が残ったままとなり、再び攻撃を受ける原因になりかねません。
安全な復旧を実現するためにも定期バックアップと、バックアップデータを用いた復旧訓練を平時から行っておきましょう。
関係機関へ報告
サイバー攻撃によって個人情報の漏えいなどが発生したときは、法律に基づき関係機関への報告が義務づけられています。
報告は企業の法的責任を果たすうえで必須であると同時に、捜査機関による犯人特定にもつながる社会的な責務です。
サイバー攻撃を受けて被害が発生したときに報告しなければならない関係機関を、以下の表にまとめました。
| 関係機関 | 報告対象 | 義務の有無 |
|---|---|---|
| 個人情報保護委員会 | 個人情報の漏えいなど | 義務 |
| 警察庁 | 不正アクセス | 任意 |
| IPA | 不正アクセス・ウイルス感染 | 任意 |
| 所管省庁 | 特定業種のインシデント | 義務(権限委任時) |
どのような場合にどこへ報告すべきか緊急時の連絡先リストを、あらかじめ整理しておくのが大切です。
利用者への告知と対応の実施
ホームページの利用者・顧客・取引先など、セキュリティ事故が影響する可能性のある関係者へ速やかに事実を告知しましょう。
問い合わせ窓口の設置などの誠実な対応は信用失墜を最小限に抑え、二次被害を防ぐための自衛策を講じるうえで不可欠です。
また、公表する内容には、発生した事実関係・被害の範囲・現在の対応状況・今後の再発防止策などを盛り込みます。
不確かな情報を発信するとかえって混乱を招くため、判明している客観的な事実に限定して、冷静に伝えるよう心がけてください。
原因分析・再発防止策の検討
一連の応急処置と復旧作業が完了したあとは、攻撃を許してしまった根本的な原因を徹底的に分析するのが重要です。
原因となったセキュリティ上の弱点を放置したままでは、いずれ同様の攻撃を再び受けるリスクが解消されないためです。
原因分析・再発防止策の検討のポイントについて、以下の表にまとめました。
| 項目 | ポイント |
|---|---|
| 原因分析:ログ解析 | サーバーログやアクセスログを調査し、攻撃の痕跡を特定する |
| 原因分析:侵入経路の特定 | Webアプリケーションの脆弱性や認証不備を調べる |
| 原因分析:被害評価 | 改ざんされたファイルや漏えいデータを確認する |
| 原因分析:証拠保全 | 記録を変更せず保存し、二次被害を防ぐ |
| 再発防止:脆弱性の修正 | OSとCMSを最新版に更新し、パッチを適用する |
| 再発防止:アクセス制限 | Basic認証やIP制限を導入する |
| 再発防止:ポリシーの見直し | セキュリティポリシーを強化し、定期レビューを実施する |
| 再発防止:教育の実施 | 運用担当者にセキュリティ研修を行う |
セキュリティ事故対応のプロセス全体を振り返り、報告体制や対応手順に問題がなかったかを検証しましょう。
ホームページのセキュリティ診断・チェックツール8選
ホームページにおすすめのセキュリティ診断・チェックツールを8つ紹介します。
- OWASP ZAP
- Burp Suite
- Nessus
- OpenVAS
- w3af
- Nikto
- Qualys SSL Labs
- Pentest-Tools Website Vulnerability Scanner
専門家による本格的な診断前に手軽 なオンラインスキャナを活用し、自社のホームページに潜む脆弱性を把握しましょう。
OWASP ZAP
出典:OWASP ZAP
OWASP ZAPは、セキュリティ向上を目的とする非営利団体「OWASP」が提供するオープンソースの診断ツールです。
世界中の専門家によって開発が進められており、ホームページの脆弱性を自動検出するスキャン機能などを無料で利用できます。
豊富な機能を備えており、手動での詳細な診断にも対応できるため、セキュリティの専門家から開発者まで幅広く活用されています。
本格的なセキュリティ診断を自社で内製化したい場合、初めに導入を検討すべきツールの一つです。
Burp Suite
出典:Burp Suite
Burp Suiteは、Webアプリケーションのセキュリティ診断における業界標準ともいえる、高機能なプラットフォームです。
ブラウザとサーバー間の通信を中継し、リクエストやレスポンスを解析・改ざんするプロキシ機能は強力です。
無料のコミュニティ版でも基本的な機能は利用できますが、有料版ではより高度な自動脆弱性スキャン機能などが追加されます。
より専門的で深いレベルのセキュリティテストを実施したい開発者や、セキュリティ担当者におすすめのツールです。
Nessus
出典:Nessus
Nessusはホームページだけでなく、ITシステム全体を対象とした脆弱性診断が可能な世界的に有名なスキャナです。
10万種類以上もの脆弱性情報を網羅したデータベースを基にスキャンし、セキュリティホールや設定の不備を検出します。
ホームページの脆弱性だけでなく、サーバーを含めた総合的なセキュリティレベルを評価できるのが大きな特徴です。
個人利用や小規模な環境向けに、機能が限定された無料版も提供されており、手軽に利用できるのも大きな利点です。
OpenVAS
出典:OpenVAS
OpenVASは、ホームページ以外にサーバーなどの包括的な脆弱性診断を可能にする、オープンソースのソフトウェアです。
商用ツールに匹敵するほどの豊富な脆弱性検査項目を備えており、ネットワーク全体のスキャンを無料で実施できます。
オープンソースのため導入や運用にはある程度の技術的な知識が求められますが、費用は一切かかりません。
コミュニティによって脆弱性情報が日々更新されており、常に最新の脅威に対応したスキャンが可能です。
w3af
出典:w3af
w3afはWebアプリケーションの脆弱性の発見と、危険性の検証に特化したオープンソースの攻撃・監査フレームワークです。
SQLインジェクション・クロスサイトスクリプティングなど、代表的な脆弱性を検出する多数のプラグインが用意されています。
単に脆弱性を発見するだけでなく、実際にどのような攻撃が可能かを検証するペネトレーションテストで非常に役立ちます。
診断結果をグラフィカルなインターフェースで確認できるため、検出された問題点を直感的に把握しやすいのも特徴の一つです。
Nikto
出典:Nikto
NiktoはWebサーバー自体に焦点を当てたセキュリティ診断を行う、古くから知られているオープンソースのスキャナです。
危険なファイルやプログラムが設置されていないか、サーバーソフトウェアのバージョンが古くないかなどをチェックします。
Niktoは非常に高速に動作し、数千項目にわたる既知の脆弱性や設定ミスを短時間でスキャンできるのが特徴です。
まずはサーバーの基本的な健康診断を実施し、問題がないかの十分な確認からホームページのセキュリティを始めましょう。
Qualys SSL Labs
Qualys SSL Labsは、ホームページのSSL/TLSの安全性を無料診断できる、非常に有用なオンラインサービスです。
ホームページのURLを入力するだけで、サーバー証明書の正当性や暗号化プロトコルの強度などを徹底的に分析します。
診断結果はA+~Fまでの総合評価で示されるため、専門家でなくても暗号化設定に問題があるかどうかをひと目で把握できます。
自社のホームページの常時SSL化が完了したら、必ずQualys SSL Labsで設定に不備がないかを確認しましょう。
Pentest-Tools Website Vulnerability Scanner
Pentest-Tools Website Vulnerability Scannerは、ホームページの脆弱性を手軽に診断できるオンラインツールです。
ホームページのURLを入力するだけで、脆弱性からサーバーの設定ミスまで、広範囲な項目を自動でスキャンします。
無料のライトスキャンでも基本的な脆弱性を検出でき、より詳細なレポートが必要な場合は有料プランを利用する形態です。
インストールが不要でブラウザ上からすぐに診断を開始できるため、専門的な知識がない担当者でも手軽に利用できるのが魅力です。
ホームページ・Webサイトのセキュリティガイドライン
ホームページのセキュリティ確保には、IPAなどの公的機関が公開しているセキュリティガイドラインを参考にしましょう。
セキュリティガイドラインには、既知の脆弱性への対策や安全な開発手法が体系的にまとめられています。
たとえば、IPAが公開する「安全なWebサイトの作り方」は、代表的な脅威への技術的な対策を詳細に解説しています。
また、内閣サイバーセキュリティセンター(NISC)が策定するガイドラインも大いに参考となるでしょう。
ブラウザで有名なMozillaも独自のWebセキュリティガイドラインを公開しており、国際的なベストプラクティスを学ぶうえで役立ちます。
セキュリティガイドラインに基づく実装チェックリストの参考例
ホームページの安全性を確保するうえで、IPAなどセキュリティガイドラインに基づいた実装チェックリストを活用しましょう。
セキュリティガイドラインは過去の膨大な事例を基に作成されており、見落としがちな問題点を洗い出す指針となります。
セキュリティガイドラインに基づく実装チェックリストの参考例を、以下の表にまとめました。
| カテゴリー | 主なチェック項目 |
|---|---|
| インジェクション | ■ユーザー入力を信頼しない ■パラメータ化クエリを使用する ■入力値を適切に検証・サニタイズする |
| 認証の不備 | ■セッションIDを安全に生成・管理する ■パスワード保存には安全なハッシュアルゴリズムを使用する ■多要素認証を導入する |
| 機密情報の露出 | ■機密情報は暗号化する ■安全な通信プロトコル(HTTPS)を強制する ■機密データをログに記録しない |
| XML外部エンティティ | ■外部エンティティを無効化する ■XMLパーサーの設定をセキュアにする ■XMLの代わりにJSONの使用を検討する |
| アクセス制御の不備 | ■ロールベース、または属性ベースのアクセス制御を実装する ■デフォルトでアクセスを拒否するポリシーを設定する ■サーバーサイドでアクセス権を検証する |
| セキュリティ設定ミス | ■不要な機能やサービスを無効化する ■アップデートとパッチ適用を定期的に行う ■詳細なエラーメッセージをユーザーに表示しない |
| クロスサイトスクリプティング | ■HTMLエンティティのエスケープ処理を行う ■JavaScriptのコンテンツセキュリティポリシー(CSP)を設定する ■ユーザー入力を適切にサニタイズする |
| 安全でないデシリアライゼーション | ■出所が不明、または信頼できないデータはプログラムで扱える形に変換しない ■データを変換する前に、中身が安全なものか必ずチェックする ■JSON Web Token(JWT)など安全な形式を使用する |
| 使用済みコンポーネントの脆弱性 | ■使用しているライブラリやフレームワークの脆弱性を定期的に確認する ■必要に応じて最新版にアップデートする ■不要な依存関係を削除する |
| 不十分なログとモニタリング | ■セキュリティ関連のイベントを適切に記録する ■不正アクセスや異常をリアルタイムで検知する仕組みを導入する ■ログデータを安全に保管する |
チェックリストは一度作成して終わりではなく、新たな脅威に対応するために継続的に見直し、改善していくのが重要です。
ホームページ・Webサイトのセキュリティに関するよくある質問
ホームページ・Webサイトのセキュリティに関するよくある質問は、以下のとおりです。
- ホームページの作成時に制作会社でセキュリティ対策してくれる?
- ホームページのセキュリティ証明書って何?HTTPSと関係ある??
- 接続時にセキュリティ保護なしと表示されるのはなぜ?
- 個人サイトでセキュリティ対策は必要?
あらかじめホームページのセキュリティに関する疑問や不安を解消しておき、万全の状態でリリースしましょう。
ホームページの作成時に制作会社でセキュリティ対策してくれる?
多くのホームページ制作会社は基本的なセキュリティ対策を実施しますが、対応範囲やレベルは契約プランによって異なります。
SSLの導入やWordPressなどのCMSの基本的なセキュリティ設定は、ホームページ制作費用に含まれるのが一般的です。
しかし、WAFの導入や定期的な脆弱性診断などの専門的な対策は、別途オプションや保守契約が必要になるケースがほとんどです。
ホームページのセキュリティ証明書って何?HTTPSと関係ある??
ホームページのセキュリティ証明書とは、一般的に「SSLサーバー証明書」を指し、HTTPSに不可欠な電子証明書です。
証明書にはホームページ運営者の実在性を示す情報などが記録されており、利用者が本物のサーバーと通信しているかを確認します。
接続時にセキュリティ保護なしと表示されるのはなぜ?
「保護されていない通信」「セキュリティ保護なし」と表示されるのは、SSL/TLSにホームページが対応していないからです。
暗号化されていないHTTP通信では、フォームに入力した個人情報やパスワードを第三者に盗み見られるリスクがあります。
個人サイトでセキュリティ対策は必要?
個人サイトであっても、サイバー攻撃の踏み台にされるなどのリスクを避けるため、基本的なセキュリティ対策は必要です。
攻撃者は規模や知名度とは無関係に、脆弱性のあるホームページを自動的に探し出し、攻撃を仕掛けてくるからです。
まとめ
ホームページのセキュリティ対策は、個人情報漏えいリスクを最小化し、企業の信頼性を維持するために重要です。
年々巧妙化するサイバー攻撃にはSQLインジェクションやランサムウェアなど多様な手口があり、事業に深刻な打撃を与えます。
そのため、SSL/TLSの導入やCMS・プラグインを常に最新の状態へ保つといった基本的な管理が欠かせません。
自社のホームページに潜む問題点を把握するため、まずは無料で利用できる診断ツールを活用して現状を確認しましょう。
また、当サイト「ビズサイ」ではサブスク型ホームページ制作サービスを提供しています。
SSL/TLSなど基本的なセキュリティ対策はしており、月額費用は5,478円(税込)からです。
ホームページのセキュリティ対策でお悩みの方は、ビズサイにお気軽にご相談ください(ホームページ制作サービスの詳細を見る)。
まずは無料でご相談ください。
お問い合わせ・ご相談や、公開後の修正依頼などに関しては、いずれかの方法にてお問い合わせください。
※年末年始・土日祝は定休日となります
※受付時間 9:00~17:30
