近年、企業のWebサイトを狙ったサイバー攻撃は増加傾向にあり、多くの企業が被害を受けています。サイバー攻撃の手口やリスク、必要な対策を理解してWebサイトへのサイバー攻撃に備える必要があります。この記事では、Webサイトへのサイバー攻撃の現況や企業のセキュリティへの取り組みの実態と、サイバー攻撃からWebサイトを守るために必要な対策のポイントをご紹介します。

 

Webサイトへのサイバー攻撃によって企業の有する個人情報や機密情報が盗まれたり業務が停止したりする被害は年々増加しています。警察庁が発表しているデータによると、平成29年からサイバー攻撃の犯罪検挙件数は毎年増え続けています。Webサイトへのサイバー攻撃が増加している背景には、インターネットやスマートフォンの普及によるシステム環境の多様化やWebサイトの複雑化があります。企業のWebサイトや工場等の制御システム、企業が管理するさまざまな機器などがインターネットでつながるようになりました。便利なサービスが増えWebサイトを取り巻く環境が複雑化するほど、サイバー攻撃によって侵入できる入り口が増えて手口も巧妙化しているのです。

 

サイバー攻撃は、ターゲットとなる相手によって標的型攻撃とサプライチェーン攻撃に分類されます。標的型攻撃は不特定多数ではなく特定の企業を狙って攻撃するもので、企業の業務内容や取引先を周到に調査した上で、業務に関係する内容を装ったメールでマルウェアを送付するなどして攻撃します。サプライチェーン攻撃は、大企業の取引先でサプライチェーンを担っている中小企業を狙って攻撃し、最終的なターゲットである大企業に大きなダメージを与える攻撃です。サプライチェーン攻撃は近年増加傾向にあります。セキュリティ対策が手薄な中小企業を踏み台にして国内の大手製造業を稼働停止に陥れるなど、被害規模も大きく組織にとって大きな脅威となっています。Webサイトへのサイバー攻撃の代表的な手法には、DDoS攻撃、不正アクセス、ランサムウェアがあります。DDoS攻撃はWebサイトのサーバーに一斉に大量のアクセスを行って負荷をかけ、Webサイトの処理速度の低下やサーバーを停止させWebサイトをダウンさせます。

◎中小企業におけるサイバー攻撃対策の実態

Webサイトへのサイバー攻撃により、企業には大きな悪影響が及びます。Webサイトへのサイバー攻撃による直接的な被害のひとつが、情報漏洩です。企業が有する個人情報や機密情報がWebサイトから流出すると、企業イメージは悪化し、顧客や取引先からの信頼を失います。個人情報保護法の対象となる個人情報が流出した場合は、本人への通知義務があるため、損害賠償や対応費用のコストも大きくなります。また、Webサイトへのサイバー攻撃によってWebサイトが停止したり業務が継続できなくなったりした場合は、ビジネス機会の損失につながります。サプライチェーン攻撃で自社を踏み台にして他社が攻撃されていた、となれば自社の責任が問われる場合もあります。

 

Webサイトへのサイバー攻撃によって、社会的評価が下がり、顧客流出や取引停止という影響も生じます。実際に、2022年2月、大手メーカーに部品供給を行っていた協力企業がランサムウェアによるサイバー攻撃を受け、Webサイトやすべてのシステムを停止する事態に陥りました。この影響により、取引先の複数の大手メーカーが工場の稼働を取り止め、大規模な生産停止により大きな被害がでました。サプライチェーン攻撃により重大な被害につながった事例です。Webサイトへのサイバー攻撃が複雑かつ巧妙化している現在、企業がサイバー攻撃に備えた対策を行うことの必要性は高まっています。企業の大小に関わらず、企業の業態やWebサイトの種類、取り扱う情報の種類と適用される法令に基づき、顧客や取引先との信頼を守り社会的責任を果たすために必要な対策をとることが重要です。

 

Webサイトをサイバー攻撃から守るためには、平時から有効な対策を行うことと、サイバー攻撃を受けた場合の連絡体制や対応手順などを取り決め周知徹底することが大切です。

〇最新のセキュリティパッチを適用する

OSやアプリケーションは、脆弱性があるとサイバー攻撃の標的になりやすくなります。OSやアプリケーションの脆弱性が見つかったときにベンダーから提供される追加プログラムがセキュリティパッチです。Webサイトをサイバー攻撃から守るためには、常時最新のセキュリティパッチを漏れなく速やかに適用しておくことが重要です。セキュリティ担当者は、常にセキュリティパッチの情報収集を行い、自社の関連機器へのパッチ適用作業や従業員へのパッチ適用作業の依頼、適用状況の管理を徹底する必要があります。

 

〇多層防御でセキュリティを強化する

Webサイトへのサイバー攻撃を防ぐことのみにフォーカスするのではなく、サイバー攻撃によって脅威が侵入した後の対策にも目を向けて複数の防御層を設定する考え方を、多層防御といいます。サイバー攻撃による侵入を防ぐ入口対策、侵入された場合に速やかに検知して被害拡大を防ぐ内部対策、素早い対処で情報を守る出口対策を行うことで、よりセキュリティを強化できます。入口対策は、マルウェアをはじめとするサイバー攻撃が自社のネットワークに侵入することを防ぎます。メールフィルタリングや通信可否を制御するファイアウォール、IPS（不正侵入防止システム）、アプリケーションの脆弱性対策に特化したWAF（Web Application Firewall）などが有効です。

 

内部対策は、サイバー攻撃による侵入をアンチウイルスソフトやログ監視によって早期に異常検知します。出口対策は、サイバー攻撃による侵入があった場合に情報漏洩等の被害拡大を防ぐ対策です。プロキシサーバーを導入して、自社の端末のインターネットへの通信を代理するようにし、プロキシサーバーに不正な通信をブロックする機能を実装しておくことで、機密情報のファイルがサイバー攻撃の攻撃元に送信されないようにすることも有効な手段のひとつです。

 

〇従業員への情報セキュリティ教育を実施する

従業員への定期的な情報セキュリティ教育の実施もサイバー攻撃対策に重要です。セキュリティ担当者のみならず全従業員にもサイバー攻撃の実態や自社が攻撃を受けた場合の影響を認識してもらい、企業として情報セキュリティへの意識を向上させましょう。Webサイトがサイバー攻撃を受けた場合は、適切な初動をとることが大切です。サイバー攻撃を受けた場合の連絡先や行動指針、対応体制等を取り決めておきましょう。それらを定期的な情報セキュリティ教育のカリキュラムのひとつとして従業員に周知したり、Webサイトへのサイバー攻撃への対応訓練を行ったりして、平時から意識を高めておくことが重要です。

 

〇端末やアクセス権の管理を徹底する

業務で利用する端末や自社のネットワークには、個人情報や機密情報が多く保管されています。業務用端末の持ち出しや個人の端末の持ち込みには制限を設け、必要な場合はセキュリティ担当者への申請手続きを行うなどして管理する必要があります。パソコンに限らず、スマートフォンやタブレットなどのデバイスも重要な情報を含んでいます。すべてのデバイスの利用者や保管場所を管理しておきましょう。また、Webサイトやサーバーへのアクセス権限の管理を徹底することも大切です。ユーザーの使い回しや単純なパスワードを許可しないことはもちろん、従業員の異動や退職に合わせて速やかにアクセス権限の見直しを行いましょう。

 

〇運用しやすくセキュアなツールを利用する

WordPressに代表されるオープンソース型のCMSによって、Webサイトを手軽に作成できるようになりましたが、オープンソース型のCMSには脆弱性が多くあるためサイバー攻撃に狙われやすく、Webサイトのセキュリティ対策には注意が必要です。WordPressの脆弱性を狙ったWebサイトへのサイバー攻撃のなかでも、とくに多くみられる攻撃事例が、SQLインジェクション攻撃とクロスサイトスクリプティングです。SQLインジェクション攻撃は、Webサイトからサーバーに渡される文字列に悪意のあるSQL文を注入し、データベース内の個人情報窃取やデータベースを改ざんする攻撃で、Webサイトの運用に大きな被害が及びます。

 

クロスサイトスクリプティングは、Webサイト内に悪意のあるスクリプトを仕掛けるものです。Webサイト管理者やユーザーを悪意のある外部のWebサイトにリダイレクトしたり、Webサイト管理者がWebサイトの管理画面にログインできなくなったりする被害がでます。サイバー攻撃からWebサイトを守るためには、操作の簡単さはもちろん、セキュリティも強化されたツールを利用してWebサイトを運用していくことが大切です。

 

サーバー管理や速やかなセキュリティパッチ適用などWebサイトのサイバー攻撃対策は、管理する担当者の負荷も大きく、専門知識やノウハウも必要です。担当者の負担や不安を減らし、簡単でわかりやすく効果的な対策が行えるような仕組みづくりが重要です。運用しやすくサイバー攻撃に強いツールを導入することで、安心してWebサイトを運用できます。当社独自のCMSである更新プログラム＋はセキュリティ対策が強化されており、誰でも簡単かつ安全にWebサイトを運用できます。

 

IPS、WAF、専門家が最新のセキュリティパッチを常時適用しているマネージドサーバーというセキュアな環境で、顧客のWebサイトをサイバー攻撃から守ります。Webサイト運用後のサポートも充実しているため、Webサイトの予期せぬトラブルが発生した場合も安心です。当社の更新プログラム＋で、Webサイトをサイバー攻撃から守り安全に運用していきましょう。

 

ECサイトをグローバル展開することで、リスクを抑えつつ販路を拡大できます。国や地域によって文化や価値観が異なるので、グローバル展開を成功させるには徹底した市場調査が重要です。ターゲットに合わせたマーケティング戦略や決済方法を選択することで、効果的に海外ユーザーを獲得できるようになります。配送方法や輸出規制などの注意点を理解したうえで、ECサイトのグローバル展開を成功させて売上アップを目指しましょう。