中小企業はサイバー攻撃に狙われやすい　〜サイトセキュリティの心構え〜

はじめに

こんにちは、エンジニアチームの玉木です。

今回は企業サイトにおけるセキュリティの心構えについてお話させていただきます。

主に自社サイトのセキュリティ担当者がいない中小企業の方の参考になれば幸いです。

中小企業のWebサイトは狙われやすい

最近ではWebサイトへのサイバー攻撃被害に関するニュースを耳にすることも珍しくはなくなりました。

そうは言っても「うちのホームページには関係ない」「狙われるのは大企業だけ」内心そう思っている方も多いのではないでしょうか？

その認識、ちょっと危険かもしれません。

セキュリティが強固な大手企業よりもセキュリティ対策が甘めな中小企業が標的にされるケースは非常に多く、技術の進化とともに複雑さを増していくWebの世界ではセキュリティ意識が低いWebサイトから攻撃の標的になるのは必然です。

実際に、サイバー攻撃の８割近くは中小企業に向けて行われているという調査結果さえ存在するほどです。

それを「たぶん大丈夫」と運任せにしてしまうのは、いささか心もとないように感じます。

たった一度の被害で会社が潰れてしまいかねないほどに、サイバー攻撃の与えるインパクトは絶大です。

正しくリスクを認識し、対策を怠らない姿勢がすべての企業に等しく求められています。

サイバー攻撃の被害に遭うとどうなるの？

では、ひとたびWebサイトにサイバー攻撃を受けるとどのような不利益が生じるのでしょうか？

代表的なものを以下に挙げてみました。

• Webサイトが書き換えられる　→　サービスが停止してしまう＆ページの検索順位が下るなど
• サーバ攻撃でフォームやメールなどの機能が麻痺　→　機会損失・業務の遂行不可
• 個人情報が盗まれる　→　信頼が大きく低下・保証対応が必要
• クレジットカード情報を盗まれる　→　社会的に大きな問題に発展・損害賠償 etc…

ここに挙げたものはほんの一例ですが、それでも企業にとって大きな痛手になるものばかりです。

セキュリティを暴かれて莫大な損益を被った事件としては、コインチェックで起こった580億円分の仮想通貨流出事件や、ベネッセの個人情報流出事件なども記憶に新しいかと思います。

もちろんニュースになるような事件だけがサイバー攻撃のすべてではなく、小さな事件を挙げ始めれば枚挙に暇がありません。

責任を取るのは誰？

このように近年多発するWebサイトへのサイバー攻撃ですが、いざ発生してしまったとして一体誰が悪いのでしょうか？

答えはもちろん「攻撃をした人」です。

ですので、犯人を捕まえて責任を取らせる。

これが事件後に本来辿るべき正常なフローです。

……が、しかし、

恐ろしいことに現実には全く違う展開が待ち受けています。

サイバー攻撃の犯人を特定することは困難を極め、それ故実際の事件後のほとんどのケースで責任を取るべき人間が見つからないという苦しい現実に直面します。

これにより、あろうことか責任追求の矛先は本来被害者のはずである「攻撃された企業」に向けられることになります。何という無慈悲…。

無力な正義に代わり犯行の代償を払うのはそう、他ならぬあなた（貴社）なのです。

悲劇のシナリオを避けるために

ここまでWebサイトのセキュリティの重要性を説いておいて心苦しいですが、100%完璧なセキュリティを作り上げることは残念ながらできません。

ですが現実目線で何より恐ろしいのは、日進月歩で進化するWebの世界において、無意識では100%どころかたった50%のセキュリティを維持することさえもままならないということです。

では、なるべくサイバー攻撃の被害に遭わないようにするにはどうすれば良いのでしょうか？

自転車の盗難では、カギが1つの自転車よりも2つの自転車の方が圧倒的に盗難率が低いそうです。

理由は「盗むのがちょっと面倒」だから。

Webサイトのセキュリティにも同じ事が言えます。

セキュリティ対策が多く施されたサイトほど、サイバー攻撃の標的から除外される確率が飛躍的に高まります。

きちんとリスクを認識して、掛けられるカギはきちんと掛けていく。

そういう姿勢が被害リスクを大きく下げる結果に繋がっていきます。

セキュリティ対策は必要経費

ところで、Webサイトに適切なセキュリティを施す方法をご存知でしょうか？

ホームセンターで買って来れば簡単に取り付けられる自転車のカギとは異なり、Webサイトのセキュリティ対策には専門知識が求められます。

Webサイトは機能も形も千差万別。

それぞれに合ったカギを設計するためには、専門家が相応の時間と労力を割く必要があります。

当然お金も時間も掛かってはきますが、最悪の事態を防ぐためにも現代社会では外すことができない施策です。

事務所の家賃や電気代のように、毎月のセキュリティ対策費を確保する。

それぐらいの心構えでも決して行き過ぎではありません。

どこかの国の見知らぬ誰かの手によって、会社の未来・社員の生活・お客様の笑顔、それらのすべてを奪われないためにも、必要なコストだという意識を強く持って取り組んでいきましょう。