「うちのような小さな会社のホームページが、わざわざ狙われるはずがない」——そう感じている方は少なくありません。ですが、いまのサイバー攻撃の多くは、人が一社ずつ標的を選ぶのではなく、プログラムが自動で世界中のサイトを巡回し、弱いところを見つけて攻める形に変わっています。規模や知名度は関係なく、対策が手薄なサイトほど狙われやすいのが実情です。本記事では、専門用語をできるだけ噛み砕きながら、なぜ中小企業も狙われるのか、どんな被害があるのか、そして今日から始められる基本の対策と、万一のときの初動までを、過度に不安を煽らず正確にまとめます。すべてを完璧にする必要はありません。優先度の高いものから順に、無理なく積み上げていきましょう。
結論:特別な技術より「基本の積み重ね」が9割
最初に結論からお伝えします。中小企業のホームページのセキュリティは、高価な専用機器や難しい技術がないと守れないものではありません。実際に効くのは、ソフトを最新に保つ・強いパスワードにする・バックアップを取る・必要な人にだけ権限を渡すといった、地味で基本的な対策の積み重ねです。自動化された攻撃の多くは「対策が手薄なサイト」を機械的に狙うため、基本を押さえるだけで、被害に遭う確率は大きく下げられます。
本記事は、専門家ではない事業者の方が「何を・なぜ・どの順番でやればよいか」を判断できることを目的にしています。なぜ中小企業も狙われるのかという前提から、主なリスク、基本対策、被害時の初動、そして制作・保守会社の役割までを、できるだけ平易な言葉で順に解説します。すべてを一度に完璧にする必要はありません。優先度の高いものから一つずつ進めれば十分です。まずは全体像をつかみ、自社で今できていること・できていないことを整理するところから始めましょう。
もうひとつ覚えておきたいのは、セキュリティは「事前の備え」のほうが、被害後の復旧よりもはるかに小さな手間と費用で済むということです。いったん改ざんや情報漏えいが起きれば、調査・復旧の労力に加え、失った信用を取り戻すコストははかり知れません。日々のちょっとした更新やバックアップは、その大きな損失を未然に防ぐための、もっとも費用対効果の高い投資だと考えてください。
なぜ中小企業も狙われるのか:攻撃は「自動化」されている
「うちは無名だから狙われない」という感覚は、残念ながら現在の攻撃の実態とずれています。今の攻撃の主流は、攻撃者が一社ずつ吟味して狙うものではなく、プログラム(ボット)が自動でインターネット中を巡回し、弱点のあるサイトを片っ端から探して攻撃するやり方です。標的は「特定の会社」ではなく「弱いサイトすべて」。だからこそ、規模や知名度に関係なく、対策の薄いサイトが等しく狙われます。
むしろ中小企業のサイトは、大企業に比べて対策が後回しになりがちで、攻撃者から見れば「攻めやすい相手」になりやすい面があります。「狙う価値がないから安全」なのではなく、「狙いやすいから狙われる」——この発想の転換が出発点です。
もう少し具体的にイメージしてみましょう。攻撃者のプログラムは、人間が休んでいる深夜でも関係なく、毎日24時間、無数のサイトに対して「古いバージョンのソフトが使われていないか」「よくあるパスワードでログインできないか」を機械的に試し続けています。あなたのサイトが特別に目をつけられているわけではなく、インターネットに公開されているすべてのサイトが、常にこの自動チェックの対象になっていると考えてください。だからこそ、後述する「更新」と「強いパスワード」という基本が、そのまま最も効く防御になるのです。攻撃側が機械的に弱点を探している以上、守る側も機械的に弱点をふさいでおけばよい、というシンプルな構図です。
「踏み台」にされるという落とし穴
見落とされがちなのが、自社サイトが「踏み台(ふみだい)」として悪用されるリスクです。踏み台とは、攻撃者が自分の正体を隠したり、別の標的を攻撃したりするために、無関係な他人のサーバーを中継地点として乗っ取って利用することです。乗っ取られたサイトは、本人が気づかないうちに次のような加害行為に使われることがあります。
- 迷惑メール(スパム)の大量送信元にされる:サーバーから知らないうちに大量の迷惑メールが送られ、自社ドメインが「危険な送信元」として各所でブロックされてしまう。
- 他のサイトへの攻撃の中継地点にされる:第三者を攻撃する経路として使われ、結果的に加害者側に巻き込まれる。
- 不正なファイルの配布場所にされる:ウイルスや詐欺ページが自社サーバー上に設置され、知らぬ間に拡散の拠点になる。
つまりセキュリティ対策は、「自社の情報を守る」ためだけのものではありません。取引先や顧客、そして見ず知らずの第三者に迷惑をかけないという、社会的な責任の側面も持っています。被害者になるだけでなく、知らぬ間に加害者になり得る——この点こそ、規模を問わず対策が必要な理由です。
主なリスクを知る:5つの代表的な被害
具体的にどんな被害が起こり得るのかを、専門用語を噛み砕いて整理します。代表的なものは次の5つです。仕組みのすべてを覚える必要はありません。「こういう被害がある」というイメージを持つことが、適切な対策の優先順位づけにつながります。
| リスク | かんたんに言うと | 起こり得る影響 |
|---|---|---|
| 改ざん | サイトの中身を勝手に書き換えられる | 不正な広告・詐欺ページの表示、信用の失墜 |
| マルウェア感染 | サイトに悪意のあるプログラムを仕込まれる | 訪問者にウイルスが感染、検索結果で警告表示 |
| 情報漏えい | フォーム等から預かった個人情報が盗まれる | 顧客への損害、賠償・報告義務、信用の失墜 |
| 乗っ取り | 管理画面のIDとパスワードを奪われる | サイトを自由に操作される、復旧困難 |
| なりすまし | 会社や担当者を装った偽メール・偽サイト | 取引先・顧客がだまされ、二次被害が拡大 |
改ざん:サイトの中身を勝手に書き換えられる
改ざんとは、攻撃者がサイトの内容を本人の許可なく書き換えてしまうことです。トップページが攻撃者のメッセージに差し替えられるような分かりやすいものから、一見すると見た目は変わらないのに、裏で不正なプログラムや詐欺ページへの誘導が埋め込まれる巧妙なものまであります。後者は気づきにくく、被害が長期化しやすいのが厄介な点です。顧客や取引先は、改ざんされた内容を「会社の公式な発信」と受け取ってしまうため、信用への打撃が大きくなります。
マルウェア感染:訪問者にまで被害が及ぶ
マルウェアとは、ウイルスをはじめとする「悪意のあるソフトウェア」の総称です。サイトにマルウェアを仕込まれると、そのサイトを見に来ただけの訪問者の端末にまで感染が広がるおそれがあります。こうなると被害は自社だけにとどまりません。さらに、検索エンジンが危険なサイトと判断すると、検索結果に警告が表示されたり、ブラウザがアクセスをブロックしたりして、来訪者が激減することもあります。
情報漏えい:預かった個人情報が流出する
問い合わせフォームや会員機能などで個人情報を扱っている場合、その情報が盗み出される被害です。氏名・住所・電話番号・メールアドレス、場合によってはより重要な情報が流出すると、顧客に実害が及び、会社は対象の方への連絡や公的機関への報告、状況によっては賠償といった重い対応を迫られます。金銭的な負担以上に、失った信用を取り戻すのは容易ではありません。
乗っ取り・なりすまし:信用そのものを悪用される
乗っ取りは、管理画面のIDとパスワードを奪われ、サイトを攻撃者に自由に操作されてしまう状態です。一度入り込まれると、改ざんもマルウェア設置も思いのままにされ、復旧が難しくなります。なりすましは、会社名や担当者名をかたった偽のメールや偽サイトで、取引先や顧客をだます手口です。自社が築いてきた信用そのものを悪用されるため、被害が周囲へ連鎖的に広がりやすいのが特徴です。
基本対策その1:SSL化で通信を暗号化する
ここからは具体的な対策です。まず土台となるのがSSL化(常時SSL)です。SSLとは、訪問者のブラウザとサーバーの間でやり取りされるデータを暗号化し、途中で第三者に盗み見られないようにする仕組みです。URLが「https://」で始まり、ブラウザに鍵マークが表示されているサイトはSSLが有効になっています。フォームに入力された個人情報やパスワードを守るうえで欠かせません。
ただし、よくある誤解として「SSLを入れればハッキングされない」というのは間違いです。SSLが守るのはあくまで「通信の経路」であって、サイト本体の弱点や弱いパスワードまでは守れません。SSLは数ある対策の入口のひとつと捉えてください。現在では、フォームの有無にかかわらずサイト全体をSSL化する「常時SSL」が標準であり、未対応だとブラウザに「保護されていない通信」と警告が出てしまいます。SSLの仕組みやメリットはSSLとは何かの解説記事で詳しく説明しています。なお格安HP屋では、制作するすべてのサイトでSSLを標準装備としています。
「鍵マークがあるから安全」とは限らない
あわせて知っておきたいのが、鍵マークは「通信が暗号化されている」ことを示すだけで、「そのサイトの運営者が信頼できる」ことを保証するものではないという点です。実は、訪問者をだます目的の偽サイト・詐欺サイトの多くも、いまやSSLを導入して鍵マークを表示しています。SSLの証明書が無料で手軽に取得できるようになったため、悪意のある側もこれを利用しているのです。
これは自社サイトを守る話とは別に、従業員や自分自身が偽サイトにだまされないために大切な知識です。「鍵マークがあるから本物だ」と短絡せず、メール内のリンクを安易にクリックしない、URL(ドメイン名)が正規のものか確かめる、といった基本動作を社内で共有しておきましょう。鍵マークは「経路の暗号化」のしるしであって、「相手の正体の保証」ではない——この区別が、なりすまし被害を遠ざけます。
基本対策その2:ソフトウェアを最新に保つ(更新・アップデート)
セキュリティ対策の中で、もっとも効果が高く、しかも基本的なのが「更新(アップデート)」です。ホームページを構成するソフトウェアには、後から弱点(脆弱性)が見つかることがあります。脆弱性とは、いわば「攻撃者に悪用され得る、ソフトの欠陥や設計上の穴」のことです。提供元はこれを修正した新しいバージョンを配布するので、利用者側が更新を当てることで穴をふさげます。
逆に言えば、更新を放置することは、見つかっている穴を開けっ放しにするのと同じです。自動化された攻撃は、まさにこの「更新されていない古いソフト」を狙って巡回しています。更新の対象になる主なものを整理します。
| 更新の対象 | かんたんな説明 |
|---|---|
| CMS本体(WordPressなど) | サイトを更新・管理する土台のソフト。最重要の更新対象 |
| プラグイン(拡張機能) | 後から機能を足す部品。弱点の入口になりやすく、特に注意 |
| テーマ(デザインの雛形) | 見た目を司る部分。これも更新の対象になる |
| サーバーのソフト(PHPなど) | サイトを動かす土台。サーバー会社側で管理されることが多い |
WordPressで特に注意したい「プラグイン」
WordPressのようなCMSを使う場合、本体そのものよりも、後から追加した「プラグイン」が弱点の入口になりやすいと一般的に言われています。便利だからと多くのプラグインを入れ、古いまま放置すると、それぞれが攻撃の入口になり得ます。次の点を心がけてください。
- こまめに更新する:本体・テーマ・プラグインに更新の通知が来たら、できるだけ早めに当てる。
- 使っていないものは削除する:無効化しただけでは残ることがあるため、不要なものは思い切って削除する(「不要機能の削除」は立派な対策です)。
- 信頼できるものを選ぶ:提供元がはっきりし、長く更新が続いているプラグインを選ぶ。配布が止まった古いものは避ける。
WordPressは世界で最も使われているがゆえに攻撃の対象になりやすいだけで、適切に更新・運用すれば過度に恐れる必要はありません。CMSの仕組みそのものについてはCMSとは何かの解説記事もあわせてご覧ください。更新作業に不安がある場合は、後述する保守サービスに任せるのも有力な選択肢です。
基本対策その3:強いパスワードと2段階認証
乗っ取りを防ぐ要が、パスワードの強さです。攻撃の中には、ありがちなパスワードや単純な文字列を機械的に大量に試して突破を狙う「総当たり」のやり方があります。短く単純なパスワードは、こうした攻撃に対してあっという間に破られてしまいます。
一般的に推奨されるのは、英大文字・小文字・数字・記号を混ぜた、できるだけ長いパスワード(目安として10桁以上)です。さらに次の点を守ると、安全性が大きく高まります。
- 使い回さない:他のサービスと同じパスワードを使うと、どこか一つが漏れた瞬間に芋づる式に破られます。サイトごとに別のものを使う。
- 推測されやすいものを避ける:会社名・電話番号・「password」「123456」などは厳禁。辞書にある単語そのままも避ける。
- 管理を仕組み化する:覚えきれない場合は、信頼できるパスワード管理ツールの利用も検討する。付箋でモニターに貼るのは避ける。
できれば「2段階認証」も設定する
パスワードに加えてぜひ取り入れたいのが2段階認証(2要素認証)です。これは、ID・パスワードに加えて、スマホアプリに表示される確認コードなど「もう一つの本人確認」を求める仕組みです。万一パスワードが漏れても、2つ目の確認を突破できなければログインされないため、乗っ取りに対する防御力が大きく上がります。管理画面が対応している場合は、設定しておくことを強くおすすめします。あわせて、ログインの試行回数を制限する機能(一定回数失敗したら一時的にロックする)も有効です。
基本対策その4:バックアップを取る(最後の保険)
どれだけ対策をしても、被害をゼロにはできません。だからこそ重要なのがバックアップ——サイトのデータの控えを別に保存しておくことです。バックアップは攻撃を防ぐものではありませんが、万一改ざんやデータ消失に遭ったとき、被害を受ける前の状態に戻すための「最後の保険」になります。近年は、データを勝手に暗号化して使えなくし、復旧と引き換えに金銭を要求する攻撃も知られており、その意味でもバックアップの重要性は増しています。
バックアップで押さえておきたいポイントは次のとおりです。
- 定期的に取る:更新頻度に応じて、自動で定期取得される仕組みにしておくのが理想。手動だと忘れがちです。
- 別の場所に保管する:サイトと同じサーバー内にだけ置くと、サーバーごとやられたとき一緒に失います。別の場所にも控えておく。
- 戻せるか確認する:取っているつもりでも、いざ復元できないと意味がありません。復旧できる状態かを時々確かめる。
多くのレンタルサーバーには自動バックアップの機能が備わっています。自社のサーバーがどう対応しているかを確認しておきましょう。サーバー選びの観点はサーバーの選び方の解説記事でも触れています。
基本対策その5:権限管理・WAF・不要機能の削除
ここまでの基本に加えて、もう一段の備えとして押さえておきたい対策をまとめます。やや専門的に見えますが、考え方はシンプルです。
権限管理:「必要な人に、必要な分だけ」
サイトの管理画面やサーバーへのアクセス権限は、関わる全員に最高権限を配るのではなく、その人の役割に必要な範囲だけを渡すのが原則です。たとえば記事を書くだけの担当者に、設定を変えたり利用者を追加したりできる管理者権限まで与える必要はありません。権限を絞っておけば、万一あるアカウントが乗っ取られても、被害をその範囲にとどめやすくなります。退職・契約終了した人のアカウントは速やかに削除することも忘れないでください。
WAF:攻撃を入口で止める「見張り役」
WAF(ワフ)とは「Web Application Firewall」の略で、サイトに届く通信を監視し、攻撃と疑われるアクセスを入口の段階でブロックする見張り役のような仕組みです。サイト本体に多少の弱点が残っていても、WAFが手前で不正なアクセスを止めてくれることがあります。専門的な設定が必要そうに見えますが、多くのレンタルサーバーがWAF機能を無料で提供しており、管理画面で有効にするだけで使えることも少なくありません。自社のサーバーで使えるかどうか、一度確認してみる価値があります。
不要機能の削除:穴は最初から減らす
使っていないプラグイン・テーマ・古いプログラム・放置したアカウントは、それ自体が攻撃の入口(穴)になり得ます。「いつか使うかも」と残しておくより、使わないものは削除して、守るべき範囲をできるだけ小さく保つのが安全です。シンプルに保つことは、それだけで立派なセキュリティ対策になります。
もし被害に遭ったら:あわてないための初動
万全を期しても、被害に遭う可能性はゼロにはなりません。大切なのは、そのときあわてて自己流で操作して状況を悪化させないことです。改ざんや乗っ取りに気づいたら、次の順番で落ち着いて初動を踏みます。
そもそも、どうやって被害に気づくのか
初動の前に、「気づくこと」自体が難しい場合がある点も知っておきましょう。トップページが書き換えられるような分かりやすい改ざんなら一目で分かりますが、裏で不正なコードを仕込まれるタイプは見た目が変わらず、気づくのが遅れがちです。次のようなサインがあれば、改ざんやマルウェアを疑ってください。
- 検索結果やブラウザに警告が出る:「このサイトは安全ではありません」といった表示が出るのは危険なサイン。
- 身に覚えのない挙動がある:知らないページが増えている、勝手に別サイトへ転送される、サーバーから大量メールが送られている。
- サーバー会社から通知が届く:不正利用や大量送信を検知した、といった連絡。
- 管理画面にログインできない:パスワードを変えた覚えがないのに入れない場合、乗っ取りの可能性。
普段から月に一度はサイトを一通り確認し、検索結果での見え方もチェックしておくと、異変に早く気づけます。早期発見は被害を最小限に抑える最大のコツです。
| 順番 | やること | 目的 |
|---|---|---|
| 1 | サイトを一時的に止める(公開停止・メンテナンス表示) | 訪問者への被害拡大を防ぐ |
| 2 | 関係するパスワードをすべて変更する | 攻撃者の再侵入を断つ |
| 3 | アクセスログなどの記録を保全する | 原因調査・証拠保全のため(消さない) |
| 4 | 制作・保守会社やサーバー会社に連絡する | 専門的な調査・復旧の依頼 |
| 5 | 必要に応じて警察・公的機関に相談する | 不正アクセス等は被害届・相談の対象 |
特に大事なのは、記録(ログ)を消さずに残すことと、原因が分からないまま「とりあえず元に戻す」だけで終わらせないことです。侵入の原因(古いソフトの穴、漏れたパスワードなど)をふさがないまま復旧しても、同じ経路で再び被害に遭います。バックアップから戻す場合も、戻したうえで脆弱性の修正とパスワード変更をセットで行うのが鉄則です。
個人情報が漏れた可能性がある場合は、対象の方への連絡や、個人情報保護委員会など公的機関への報告が法律で求められることがあります。判断に迷う場面が多いため、普段から「何かあったらどこに連絡するか」を社内で決め、制作・保守会社やサーバー会社の連絡先をすぐ見られるようにしておくと、いざというときの初動が格段にスムーズになります。
迷ったら公的なガイドラインを「味方」にする
「結局、自社が何をどこまでやればよいのか、判断する自信がない」——そんなときに頼りになるのが、公的機関が無料で公開している指針です。代表的なのが、IPA(独立行政法人 情報処理推進機構)が示している中小企業向けの考え方で、優先度の高い対策から順に整理されています。専門家でなくても取り組めるよう作られているのが特徴です。そのエッセンスは、本記事でここまで述べてきた基本対策とほぼ重なります。難しく考えず、まずは次のような「当たり前を、確実に」を実践することが出発点だとされています。
- OSやソフトを最新に保つ(本記事の「更新・アップデート」)
- ウイルス対策の仕組みを導入する(端末・サーバー両方の防御)
- 強いパスワードを設定し、適切に管理する(使い回さない・推測されにくく)
- 共有設定や権限を見直す(必要な人に必要な分だけ)
- 脅威や手口を知っておく(不審なメールを開かない等の基本知識)
- 定期的にバックアップを取る(万一に備えた最後の保険)
こうして並べてみると、特別なことは何もありません。本記事で挙げた基本対策を、地道に続けることこそが、公的機関も推奨する王道なのだと分かります。自社の取り組みが妥当かどうか不安な方は、こうした公的な指針を一度のぞいてみると、「自分たちは何ができていて、何が抜けているか」を冷静に棚卸しできます。背伸びした高度な対策より、抜け漏れのない基本のほうが、ずっと効果的です。
制作会社・保守会社の役割:どこまで任せられるか
ここまで読んで、「自社だけで全部やりきるのは不安だ」と感じた方もいるでしょう。実際、セキュリティは制作段階の備えと、公開後の継続的な運用の両輪で成り立っており、専門家の手を借りるのが現実的な場面も多くあります。役割を整理します。
- 制作段階での備え:SSLの導入、WordPressなどの適切な初期設定、不要な機能を入れないシンプルな構成——こうした「最初から無理のない安全な状態」を作るのは制作会社の重要な役割です。土台がしっかりしていれば、その後の運用も楽になります。
- 公開後の保守・運用:更新作業、バックアップの管理、不具合や被害時の対応など、公開後に継続して発生する作業です。自社で担うか、保守サービスとして任せるかを選べます。
どこまでを自社で行い、どこからを任せるかに唯一の正解はありません。社内に対応できる人がいれば自社運用でも問題ありませんし、本業に集中したい場合は保守を任せる判断も合理的です。大切なのは、「更新やバックアップを、誰が・どの頻度で行うのか」を曖昧にしないことです。担当が決まっていないと、結局誰も手をつけず放置される——これが最も危険なパターンです。制作会社を選ぶ際の視点はホームページ制作会社の選び方もあわせてご覧ください。
制作・運用の進め方と費用:格安HP屋の場合
最後に、当社で制作する場合のセキュリティへの考え方と費用をご説明します。格安HP屋では、制作するすべてのサイトでSSLを標準装備とし、WordPressなどを使う場合も適切な初期設定を行ったうえで公開します。過剰な機能を盛り込まず、必要十分でシンプルな構成にすることも、結果としてセキュリティ上の利点になります。料金は次のとおりで、すべて税込・追加料金なし・修正は無制限です。
| メニュー | 料金 | 主な用途 |
|---|---|---|
| ホームページ新規制作 | 25万円 | 会社・店舗の基本サイト一式 |
| リニューアル | 30万円 | 既存サイトの作り直し・改善 |
| ランディングページ(LP) | 8万円 | 特定サービス・キャンペーン向けの1枚もの |
上記に加えて、サーバー・ドメイン代が実費(年1〜2万円程度)かかります。原稿や写真がそろっていれば最短2週間での公開が可能です。古くなったサイトを安全な構成で作り直したい場合は、ホームページのリニューアルもご検討ください。費用全体の考え方はホームページ制作の費用相場で詳しく解説しています。
お問い合わせはメール(info@kakuyasuhp.com)で承っており、電話受付は行っておりません。文章でやり取りが残るため、現状のサイトの不安な点なども整理して相談しやすいかと思います。格安HP屋は、東京都千代田区神保町を拠点に2020年に創業し、全国対応で承っています。セキュリティ対策は、一度に完璧を目指すものではなく、基本を押さえ、地道に続けることがすべてです。まずは「更新・パスワード・バックアップ」という足元から、できるところから始めていきましょう。ご不安な点があれば、いつでもお気軽にご相談ください。