ホームページ作成「グーペ」 トップ » グーペノート» ホームページ作成» ホームページの安全性を高める!セキュリティ対策の基本とグーペでできること

ホームページの安全性を高める!セキュリティ対策の基本とグーペでできること

中小企業経営者の皆さまや起業準備中・起業したばかりの方々にとって、ホームページは会社の顔とも言える重要な存在です。しかし、ネット環境の発達とともにセキュリティの脅威も増加し、対策を怠れば甚大な被害につながることもあります。

本記事では、2025年最新の情報に基づき、ホームページのセキュリティ対策の基本を詳細かつわかりやすく解説するとともに、グーペでできるセキュリティ対策についてご案内します。

なぜホームページのセキュリティ対策が重要なのか

ホームページのセキュリティ対策は単にデータを守るだけでなく、企業の信頼を守るためにも必要不可欠です。サイバー攻撃を受けた場合、顧客情報の流出やホームページの改ざんが起き、企業の評判が損なわれる可能性があります。特に中小企業は、大企業と比較してセキュリティ対策が不十分になりがちであるため、攻撃のターゲットになりやすい傾向があります。

情報処理推進機構(IPA)が2025年2月14日に発表した「2024年度中小企業等実態調査結果」速報版によれば、過去3年間にサイバーインシデントの被害を受けた中小企業の平均被害額は73万円であり、9.4%の企業が100万円以上の被害を報告しています。

個人情報の漏洩

ホームページのセキュリティが不十分な場合、最も懸念される問題の一つが個人情報の漏洩です。顧客情報や従業員情報が流出した場合、企業には多大な損害が発生します。特に顧客からの信頼を失うことで、長期的なビジネスへの影響は計り知れません。個人情報漏洩のリスクを防ぐためには、データの暗号化や適切なアクセス管理を行うことが求められます。また、漏洩発覚後の迅速な対応も重要であり、事前に対応マニュアルを作成しておくことが効果的です。

ホームページの改ざん

ホームページの改ざんとは、外部の攻撃者がホームページの内容を勝手に書き換える行為を指します。企業のイメージを著しく損なう可能性があり、顧客の誤解や混乱を招くこともあります。実際に2024年には多数の企業が改ざん被害を受け、偽情報の掲載により経済的損失を被った事例も報告されています。改ざんを防ぐためには、最新のセキュリティパッチを適用し、不正アクセスを早期に検知するシステムを導入することが不可欠です。

ホームページのセキュリティ対策の基本

強力なパスワードの設定

単純なパスワードは非常に危険です。推奨されるのは、英字(大文字と小文字)・数字・記号を組み合わせ、最低でも12文字以上の複雑なパスワードを設定することです。また、定期的に変更することも重要です。

良いパスワードの例

「3fG!9h&Qx」といった無作為で複雑な文字列があります。

悪いパスワードの例

「password123」や「12345678」のように、簡単に推測できる文字列が挙げられます。

パスワードが脆弱だと、不正アクセスによる情報漏洩、個人情報の盗難、ホームページの改ざん、さらには企業としての信用失墜など、深刻なリスクを引き起こす可能性があります。パスワードは常に複雑かつ安全なものに保ちましょう。

パスワードの使い回しはしない

万が一どこかで情報が漏洩・流出しても、他のサービスにも危険が及ばないよう、パスワードを他のサービスに使い回すのはやめましょう。
特に、インターネットバンキングで使用しているパスワードを他のサービスに使い回すのは危険です。サービス毎に固有のパスワードを設定しましょう。

ログインIDは共有せず、ユーザー別に発行する

ログインIDを共有するということはパスワードも共有することです。誰が知っているかの管理、退職した際の管理など、複数人と共有することでパスワードの管理が煩雑になってしまいます。
ユーザー別に、適切に権限を付与してログイン管理をしましょう。

SSLの導入

SSL(Secure Sockets Layer)は、ホームページ上のデータ通信を暗号化するための技術であり、第三者によるデータの盗聴や改ざんを防ぐことができます。特に、顧客情報やお問い合わせフォームを扱うホームページでは、SSLの導入が重要です。GoogleもSSL対応を推奨しており、検索順位にも影響します。

SSLが導入されているかどうかは、ホームページのURLが「http://」から「https://」に変わり、ブラウザのアドレスバーに鍵マークが表示されることで確認できます。また、SSL証明書にはいくつかの種類があり、ドメイン認証型(DV)、企業認証型(OV)、EV認証型(EV)など、企業の規模やセキュリティレベルに応じて選択が可能です。

SSL非対応の場合、訪問者のブラウザで警告が表示されることがあり、訪問者の離脱や企業の信頼性低下につながる可能性があります。

SSLについては「SSLとは? 初心者でもわかる無料SSLと有料SSLの違い・メリット・デメリットを徹底解説」をご覧ください。

CMSやプラグインのアップデート

WordPressなどのCMSやプラグインは、セキュリティの脆弱性が発見されると頻繁にアップデートが提供されます。最新の状態に保つことで攻撃を受けるリスクを減らすことができます。実際に2024年に発生したWordPressの大規模な脆弱性問題では、アップデートを怠ったサイトが次々と被害を受けました。

Webアプリケーションファイアウォール(WAF)の導入

Webアプリケーションファイアウォール(WAF)は、ホームページをサイバー攻撃から守るための重要なセキュリティ対策の一つです。具体的には、ホームページへのアクセスを常に監視し、不正な通信や悪意のある攻撃パターンをリアルタイムで検知してブロックします。

WAFの導入は、多くのクラウドサービスやセキュリティ企業から簡単に行え、特別な技術知識がなくても設定できるサービスが多くあります。また最近では、AI(人工知能)を搭載したWAFが主流になりつつあり、これまで人間が発見できなかった複雑な攻撃や新たな脅威にも迅速に対応できるようになっています。

具体的な例として、SQLインジェクションクロスサイトスクリプティング(XSS)といった攻撃を防ぐことができます。これらの攻撃を防ぐことができない場合、データ漏洩やホームページ改ざんといった重大な被害をもたらす可能性があります。WAFを導入することで、これらの攻撃リスクを大幅に軽減し、安心してホームページを運営することが可能になります。

SQLインジェクションとは

SQLインジェクションとは、Webアプリケーションの脆弱性を悪用し、不正なSQL文をデータベースに注入することで、データベースを不正に操作する攻撃手法です。

SQLとは?

SQL(Structured Query Language)は、データベースを操作するための言語です。Webアプリケーションでは、ユーザーからの入力に基づいてSQL文を生成し、データベースに問い合わせを行います。

SQLインジェクションの仕組み

SQLインジェクションは、Webアプリケーションがユーザーからの入力を適切に検証・無害化していない場合に発生します。攻撃者は、入力フォームなどに不正なSQL文を入力することで、Webアプリケーションが意図しないSQL文を生成させ、データベースを操作します。

SQLインジェクションによる被害

SQLインジェクションによって、以下のような被害が発生する可能性があります。

  • 個人情報漏洩
    • データベースに保存された個人情報(氏名、住所、クレジットカード情報など)が漏洩する可能性があります。
  • データ改ざん・削除
    • データベースに保存されたデータが改ざんされたり、削除されたりする可能性があります。
  • 認証回避
    • 攻撃者が不正にログインし、管理者権限などを取得する可能性があります。
  • Webサイト改ざん
    • Webサイトの内容が書き換えられたり、不正なプログラムが埋め込まれたりする可能性があります。

クロスサイトスクリプティング(XSS)とは

クロスサイトスクリプティング(XSS)は、Webアプリケーションの脆弱性を悪用し、悪意のあるスクリプトをWebページに埋め込むことで、ユーザーのブラウザ上でそのスクリプトを実行させる攻撃手法です。

XSSによる被害

XSS攻撃を受けると、以下のような被害が発生する可能性があります。

  • Cookie情報の窃取
    • ログイン情報やセッションIDなどが盗まれ、ユーザーになりすましてWebサイトを不正に利用される可能性があります。
  • 個人情報の漏洩
    • 氏名、住所、クレジットカード情報などが盗まれ、不正利用される可能性があります。
  • Webサイトの改ざん
    • Webページの内容が書き換えられ、偽の情報が表示されたり、マルウェアがダウンロードされたりする可能性があります。
  • ユーザーのなりすまし
    • ユーザーの権限でWebサイトが操作され、意図しない書き込みや操作が行われる可能性があります。

ログイン通知が設定できる場合は設定する

異なる環境からのログインでの通知があれば、万が一身に覚えのない不審なログインがあった際にすぐ気付けるようになります。

グーペでできるセキュリティ対策

パスワード変更

容易に推察されそうなパスワードは変更しましょう。
管理画面>管理メニュー>アカウント情報にて、パスワード変更タブを選択して、新しいパスワードを設定できます。

副管理者設定

副管理者設定機能を利用することで、最大5名までログインIDを追加することができます
管理画面>管理メニュー>アカウント情報にて、副管理者タブを選択します。「登録する」ボタンをクリック、IDおよびメールアドレスを登録して、権限を選択します。
詳しくは、管理画面マニュアル>副管理者機能をご参照ください。

電話番号による二要素認証

グーペでは、管理画面ログイン時のセキュリティをより強化することをご希望のお客様向けのサービスとして、電話番号による二要素認証機能があります。
(有料プランをご契約のすべてのアカウントでご利用いただけます)

二要素認証とは

「電話番号による二要素認証機能」とは、グーペ管理画面にログインする際、通常のパスワード認証に加えて、グーペにご登録いただいている電話番号に通知される6桁の認証コードでの認証を行うことができる機能です。
本人が所有する電話を利用した物理的な認証を行うことにより、万が一パスワードが第三者に知られても、不正ログインを防ぐことが可能になります。
認証コードの確認は、SMSもしくは音声通話で行います。
詳しくは、管理画面マニュアル>二要素認証をご参照ください。

電話番号による二要素認証の設定方法

(1)電話番号による二要素認証機能を有効にする

管理画面>管理メニュー>アカウント情報にて、二要素認証タブを選択して、 「SMSを送信する」ボタンをクリックすると、認証コード入力画面に移動するとともに表示の電話番号宛てにSMSが送信されます。
電話番号を変更する際は、「電話番号を変更する」ボタンをクリックして、電話番号を変更後、二要素認証タブに戻り設定を続けます。

二要素認証設定画面

SMSの再送信および音声通話による認証コードの確認は、認証コード入力画面(下図)で行うことができます。
SMS(もしくは音声通話)で確認した6桁の認証コードを入力し、「認証する」ボタンをクリックすると二要素認証設定は完了です。
次回の管理画面ログイン時から有効になります。

二要素認証設定完了画面

(2)二要素認証を設定した後の管理画面ログイン方法

管理画面にログインの際、ログインID・パスワードを入力し「ログイン」ボタンをクリックすると、登録の電話番号宛てにSMSが送信されます。
SMSで確認した6桁の認証コードを入力すると管理画面が開きます。

電話番号による二要素認証が利用できない場合

  • ご登録電話番号へのSMSもしくは音声通話が受信できない場合
  • 日本国外の電話番号の場合
  • 副管理者権限でのログインの場合(二要素認証の設定後も引き続き、通常のパスワード認証のみとなります)

SSL化

現在、新規でお申し込みいただいた場合、作成したホームページはSSLオプションが有効となっています。設定を確認するには、グーペ管理画面>管理メニュー>SSLオプションにてご確認ください。詳しくは、サービス>SSLオプションをご覧ください。

まとめ

ホームページのセキュリティ対策は、決して特別な技術が必要なわけではありません。基本的なことをしっかり行い、最新のトレンドに応じて柔軟に対応することで、大切なビジネスを守ることができます。

安心で安全なホームページ運営を行うことで、顧客からの信頼を高め、企業の持続的な成長に繋げましょう。

この記事を書いた人

「グーペノート」編集部

ホームページ作成サービス「グーペ」が運営しているオウンドメディアです。ホームページ作成のノウハウを発信し、みなさまのサービスやブランドを全国に届けるお手伝いをします。

グーペメディアとは?

新着記事