企業がホームページを持つことは、今や当たり前になりました。
しかしその一方で、
ホームページのセキュリティ対策が不十分なまま公開されているサイトが非常に多いのが現実です。
近年増えているトラブルとして、次のようなものがあります。
- ホームページの改ざん
- マルウェアの埋め込み
- なりすましメールの送信
- フィッシングサイトへの誘導
- 個人情報の漏えい
さらに怖いのは、企業が気づかないまま
「加害者」になってしまうケースもあることです。
例えば、
- 自社ドメインから迷惑メールが送られる
- ホームページが詐欺サイトの踏み台にされる
- 不正プログラムを配布するサイトになる
といった事例は実際に発生しています。
こうした問題の多くは、
基本的なセキュリティ設定を行うことで防ぐことができます。
この記事では、制作会社として実施している
企業ホームページに必須の5つのセキュリティ対策を解説します。
企業ホームページにセキュリティ対策が必要な理由
ホームページは公開した瞬間から、
世界中のネットワークにさらされます。
つまり、
- 海外からの攻撃
- 自動ボット
- 脆弱性スキャン
などが常に行われている状態です。
特に狙われやすいのが
- WordPressサイト
- 中小企業サイト
- 更新が止まっているサイト
です。
理由はシンプルで、
対策されていないサイトが多いからです。
そのため企業サイトでは
「デザイン」や「SEO」だけではなく、
セキュリティ設計
が非常に重要になります。
制作会社が実施する5つのWebセキュリティ対策
当社ではホームページ制作・運用において、
以下のセキュリティ対策を標準で実施しています。
1 メールのなりすまし防止(DMARC設定)
近年急増しているのが
企業ドメインを利用したなりすましメールです。
例えば
- 取引先を装った請求メール
- 社長を装った送金指示
- フィッシングメール
などがあります。
このとき攻撃者が利用するのが
企業のドメイン名です。
つまり
info@example.com
support@example.com
のようなメールアドレスを
偽装して送信することが可能なのです。
これを防ぐために必要なのが
DMARC設定です。
DMARCは
- SPF
- DKIM
というメール認証技術と連携し、
「正しいサーバーから送られたメールか」
を受信側が判定できる仕組みです。
DMARCを設定することで
- なりすましメールの防止
- 不正メールの自動拒否
- メールの信頼性向上
といった効果があります。
企業ドメインを利用する場合、
必須レベルの設定です。
2 セキュリティヘッダーの強化
ホームページには
HTTPセキュリティヘッダーという仕組みがあります。
これはブラウザに対して
「このサイトはこういうルールで表示してください」
と指示を出す仕組みです。
当社では以下のヘッダーを適切に設定しています。
Strict-Transport-Security(HSTS)
ブラウザに
必ずHTTPS通信を使用する
よう指示する設定です。
これにより
- 通信盗聴
- 改ざん
- 中間者攻撃
などを防ぐことができます。
X-Content-Type-Options
ブラウザがコンテンツタイプを
誤認識することを防ぐ設定です。
これにより
- 不正スクリプトの実行
- 悪意あるファイル読み込み
などを防止できます。
X-Frame-Options
他サイトのiframe内で
自社サイトが表示されることを防ぐ設定です。
これにより
クリックジャッキング攻撃
を防止できます。
Referrer-Policy
アクセス元URLの送信範囲を制御し、
不要な情報漏えいを防ぐ設定です。
これらの設定は
- サーバー設定
- .htaccess
- HTTPヘッダー管理
などの知識が必要なため、
格安制作では設定されていないケースも多くあります。
3 クロスサイトスクリプティング(XSS)対策
クロスサイトスクリプティング(XSS)は
Webサイトの脆弱性を利用して
- JavaScriptを埋め込む
- ユーザー情報を盗む
- 偽サイトへ誘導する
といった攻撃です。
特に危険なのが
- お問い合わせフォーム
- 検索フォーム
- コメント機能
です。
これらの入力欄に悪意あるコードが
埋め込まれる可能性があります。
当社では
- 入力値のサニタイズ
- スクリプト除去
- セキュリティヘッダー連携
などを行い、
XSS攻撃のリスクを低減する設計を行っています。
4 HTTPS通信の強制化
現在のWebサイトでは
HTTPS化は必須です。
HTTPSとは
通信を暗号化する仕組みです。
HTTPSを導入することで
- 通信盗聴防止
- データ改ざん防止
- フィッシング対策
などの効果があります。
またGoogleも
HTTPSサイトを検索評価の対象
にしているため
SEO対策としても重要です。
当社では
- SSL証明書設定
- HTTP→HTTPSリダイレクト
- 混在コンテンツ修正
などを行い、
安全な通信環境を構築しています。
5 URLの正規化(www有無の統一)
意外と見落とされがちなのが
URLの正規化設定です。
例えば
https://example.com
https://www.example.com
これらが両方表示される状態だと
- SEO評価の分散
- 重複コンテンツ
- セキュリティ管理の複雑化
などの問題が起きます。
そのため当社では
- www有無の統一
- canonical設定
- リダイレクト設定
などを行い、
検索エンジンとセキュリティの両面で
最適化しています。
なぜフリーランス制作では対応できないことが多いのか
ホームページ制作には
- デザイン
- コーディング
- WordPress
- SEO
- サーバー
- DNS
- セキュリティ
など、複数の専門知識が必要です。
特に今回紹介したような
- DMARC
- セキュリティヘッダー
- HTTPS制御
- サーバー設定
などは
サーバー・ネットワーク・セキュリティの知識
が必要になります。
そのため
- 格安制作
- テンプレート制作
- 個人制作
では対応されていないケースも多くあります。
ホームページは「公開して終わり」ではありません
ホームページは公開した瞬間から
企業の重要な資産になります。
しかし同時に、
インターネット上の攻撃対象
にもなります。
そのため
- セキュリティ設計
- 定期更新
- 運用管理
が必要になります。
当社では
- セキュリティ設定
- サーバー最適化
- WordPress更新
- バックアップ管理
など、
企業サイトを安全に運用するための体制を整えています。
ホームページのセキュリティに不安がある方へ
もし現在のホームページについて
- セキュリティ設定が分からない
- 制作会社が設定しているか不明
- WordPressの安全性が心配
- なりすましメール対策をしていない
といった場合は、
一度サイトの状況を確認することをおすすめします。
当社では
- ホームページのセキュリティ確認
- WordPressの安全性チェック
- サーバー設定の確認
などのご相談も承っております。
企業ホームページを安心して運用するために、
お気軽にご相談ください。
