インターネットの普及を背景に、悪意のある第3者からのサイバー攻撃に備えて、Webセキュリティ対策をしておく必要があります。もちろん、大企業だけでなく、中堅・中小企業も同様に、Webセキュリティ対策は意識しておかなければなりません。そもそも、悪意のある第3者からの攻撃を受けているのは大企業だけではなく、近年は中堅・中小企業が被害に遭う割合が増加傾向にあります。しかし、そんな中堅・中小企業のWebセキュリティ対策の方法が分からないこともあるでしょう。
本記事では、中堅・中小企業のWebセキュリティ対策で取り組むべきことについて解説しています。
Webセキュリティ対策を立てていく中堅・中小企業の特徴とは?
年々、増加傾向にある悪意のある第3者からのサイバー攻撃。そのなかで、特にターゲットとされる事案が増加しているのが中堅・中小企業です。
中堅・中小企業がターゲットとされる理由は?
悪意のある第3者が中堅・中小企業を攻撃のターゲットにする理由は、大企業と比べてWebセキュリティ対策をきちんとしていないところが多いためです。そもそも、中堅・中小企業が大企業と比べてWebセキュリティ対策が不十分な理由は、「まさか自社がターゲットにされることはない」という意識の低さもありますが、経営状況も大きく影響するようです。Webセキュリティ対策には、膨大な費用もかかりますし、基本的には担当者を設けなければ上手く運用できません。
悪意のある第3者が中堅・中小企業をターゲットとする目的は?
悪意のある第3者が中堅・中小企業をターゲットとする目的は、大企業と比べて対策が疎かになっていることは前述しましたが、実はそれだけではありません。他にも、「本命のターゲットの足がかり」とする目的で狙われることがあります。そもそも、本命とする企業が強固なWebセキュリティ対策をしている場合、直接攻撃することは困難です。そのため、本名のターゲットと直接取引のある中堅・中小企業を足がかりとして狙うケースも珍しくありません。このようなた場合、足しかがりとするために狙われた中堅・中小企業は、サイバー攻撃による直接的な被害に加えて、情報を流出させてしまったことで取引先の大企業から損害賠償を求められるなど、間接的な被害も受けてしまうことも考えられます。
中堅・中小企業におけるWebセキュリティの脆弱性とは?
中堅・中小企業で、悪意のある第3者による攻撃を受ける可能性がもっとも高いツールが企業ホームページやキャンペーンページ等のWebサイトです。そして、そのWebセキュリティの脆弱性を衝いた攻撃の手口としては、主に以下の手法が存在します。
- SQLインジェクション
- クロスサイトスクリプティング
- DoS攻撃
- ランサムウェア
中堅・中小企業のサイトで「お問い合わせフォーム」を設けており、Webセキュリティ対策が不十分な場合は、SQLインジェクションやクロスサイトスクリプティングで攻撃される可能性があります。SQLインジェクションとは、お問い合わせフォームにデータベースの管理や操作を行うための言語である「SQL」を混在させた文章を送り、データベースが不正に操作されて情報を奪う手法をいいます。
SQLインジェクションについての詳細を知りたい方は、こちらの記事をご覧ください。
⇒SQL Injectionとは?脆弱性に対する3つの対策について解説!
また、クロスサイトスクリプティングは、お問い合わせフォームに不正なJavaScriptが埋め込まれたことで、Webサイトが不正改ざんされる手口です。ちなみに、お問い合わせフォームを設けていなくてもこれらのサイバー攻撃を受けることがあるため、中堅・中小企業にとって安心はできません。
例えば、DoS攻撃の被害を受ける危険性があります。DoS攻撃とは、Webサイトに短期間で数万回もアクセスすることにより、ページの表示を極端に遅くしたりサーバをダウンさせたりする手口のことをいいます。そして、これらの攻撃を受けた後、ウィルス(ランサムウェア型)によってパソコンなどが操作不能状態にされた後、悪意のある第3者が解除を条件にお金(身代金)を要求してくるランサムDDos攻撃をしてくる危険性もあります。
ランサムDDos攻撃についての詳細を知りたい方は、こちらの記事をご覧ください。
中堅・中小企業がサイトを運営する際に必要なWebセキュリティ対策とは?
中堅・中小企業にとって、悪意のある第3者が攻撃してくるツールとして、ホームページがターゲットとなりやすいことは前述しました。このような背景から、Webサイトを運営する中堅・中小企業は、しっかりとしたWebセキュリティ対策をしておく必要があります。しかし、その必要性が高いことは分かっても、具体的なWebセキュリティ対策について分からないこともあるでしょう。ここでは、Webセキュリティ対策の始め方や具体的な施策方法について解説しています。
Webセキュリティ対策は何から取り組むべき?
中堅・中小企業がWebセキュリティ対策に取り組むためには、何を守りたいのか明確にしましょう。大企業と違って、中堅・中小企業はWebセキュリティ対策に費やせる費用や人員が限られています。そのため、すべてのWebセキュリティ対策を施策することができない場合もあります。
次に、自社のWebセキュリティの現状を把握しましょう。自社の情報システムの現状はどうなっているのか、そして現在、どこまで対策できているのかを把握しなければなりません。そこを理解すると、中堅・中小企業において、守るべき対象を脅威から守るための施策方法を見出せます。そして、自社のWebセキュリティ対策の状況を把握するのに便利なツールが、独立行政法人情報処理推進機構(IPA)が提供している「5分でできる!情報セキュリティ自社診断シート」。これは、簡単な問いに回答していくだけで、自社のWebセキュリティ対策の現状や問題点などを見つけてくれるツールです。
Webセキュリティ対策の具体的な施策方法とは?
中堅・中小企業向けの対策として、まず紹介するのが「セキュリティプラットフォーム」の導入です。セキュリティプラットフォームとは、1つシステムで攻撃からの脅威に対抗する各種機能を一元管理できるプラットフォームのこと。導入すると、下記の内容が1つの管理画面で統合管理できるためおすすめです。
- ファイル操作制御
- アプリケーション制御
- ハードディスク/ストレージ制御
- ネットワーク制御
- 盗難紛失対策
- セキュリティ対策(アンチウイルスやファイアウォール)
- 標的型攻撃対策
- ランサムウェア対策
また「常時SSLの導入」も、中堅・中小企業向けのセキュリティ対策の1つ。さらに、中堅・中小企業は、Webサイトにかかる費用を少しでも安くするため、「お問い合わせフォーム」などの一部のページのみを共有SSLにしていることが多いです。ちなみに、会社独自のドメインに対してSSLを導入し、全ページを暗号化して保護する常時SSLを導入すれば、サイトの全ページが悪意のある第3者からの攻撃から守ることができます。しかし、これらの導入には、当然費用がかかります。
とはいえ、コロナ禍において中堅・中小企業が、前述したような内容で費用をかけることは抵抗があることでしょう。そこで、「サイバーセキュリティ対策助成金」を活用する方法があります。例えば、東京都と東京都中小企業振興公社が、都内にある中堅・中小企業を対象に、企業がWebセキュリティ対策を実施するために必要な設備等の導入経費の一部を助成してくれます。こうしたWebセキュリティ対策に対する助成を行っている県・市町村は数多く存在するため、探してみてはいかがでしょうか。
サイバーセキュリティ対策促進助成金について、詳細を知りたい方はこちらをご覧ください。
あとがき
今回は、中堅・中小企業のWebセキュリティ対策は何から取り組むべきなのか?というテーマで解説してきました。現代社会において、中堅・中小企業でもWebセキュリティ対策は重要です。Webセキュリティ対策が不十分だったことで、悪意のある第3者からの攻撃により直接的な被害を被る危険性があります。また、間接的な被害を受けたことで信用を失い、金銭的にも大損失に繋がる可能性があるため注意しなければなりません。
Webセキュリティ対策には、莫大な費用がかかることはありますが、損失のことを考えれば、早急に施策しておくべきでしょう。本記事が、何からWebセキュリティ対策に取り組めばよいのか分からない、中堅・中小企業の担当者様の参考になれば幸いです。
ちなみに、当社で提供するCloudbric WAF+は、Webサイトを守るための5つの対策を、統合したプラットフォームにて提供しております。
コストパフォーマンスと高度なセキュリティを両立できるWebセキュリティ対策をお探しの企業様にとって、最善の選択肢であると思いますので、ぜひチェックしてみてください。
Cloudbric WAF+の詳細はこちら