Webマーケティング実務者が語る「WordPress簡易脆弱性診断サービス」が必要な理由(橋川ミチノリのセキュリティコラム)
目次
はじめに
ディーアイエスサービス&ソリューションの橋川ミチノリと申します。私は約8年間Webマーケティングに携わっており、本SI事例サイトの管理も担当しています。弊社で取り扱う製品・サービス情報をいち早く、そして分かりやすくお届けするために日々努めているのですが、職業柄(職業病?)、ホームページやオウンドメディア(※1)などのWebサイトの脆弱性をチェックする習性があります。ランサムウェアなどのマルウェアを使ったサイバー攻撃やWebサイトへの不正アクセス事件のニュースを連日のように耳にしますが、そのような被害に遭った企業や組織のWebサイトの脆弱性をチェックすると、残念ながら「ああ、やっぱり・・・・・・」となることが間々あります。本コラムでは、Webサイトの脆弱性診断を3万円(税別)/ 1サイト で受けられる「WordPress簡易脆弱性診断サービス」のご紹介をいたします。
※1 オウンドメディア
企業や組織の情報を発信するホームページやSNS、パンフレットなどを含む媒体の総称。一般的にはWebマガジンやブログなどのWeb媒体を指す場合が多い。
攻撃側は「OSINT」を駆使してターゲットを選定している
「OSINT(オシント)」という言葉をご存じでしょうか?「Open Source Intelligence」の略で、「一般公開されている情報」のことです。私も「OSINT」を活用してWebサイトの脆弱性チェックをしています。「OSINT」が良いことだけに活用されるのであれば問題ないのですが、残念ながら攻撃側もこの「OSINT」を活用しています。私がよく見かけるWebサイトの脆弱性の例を3つ挙げます。
CMSのバージョンが古い
CMS(Contents Management System)とは、Webサイトのコンテンツ(テキスト・画像・レイアウトなど)を構成するシステムのことです。昔は難しいプログラミング言語を習得しなければWebサイトの製作は難しかったのですが、最近は直感的に操作できるCMSが増加し、専門的な知識が無くても簡単にWebサイトを作成できるようになりました。CMSのバージョンが古いと、Webサイトの改ざんや不正アクセスの被害を受ける可能性があります。ちなみに、国内外で最もシェアが高い(※2)CMSが「WordPress」です。本SI事例サイトも「WordPress」を使用しています。
※2 出典
W3Techs社「Distribution of content management systems among websites that use Japanese」
https://w3techs.com/technologies/segmentation/cl-ja-/content_management
オーストラリアの調査機関W3Techs社によると、2024年11月現在、日本国内のシェアは83%以上。
PHPのバージョンが古い
PHP (Hypertext Preprocessor)は、WebサイトやWebアプリで最も使用されているプログラミング言語です。全ウェブサイトの80 %近くが何らかの形でPHPに依存しており、「WordPress」もPHPをベースにしています。 PHPのバージョンが古いと、Webサイトの改ざんや不正アクセスの被害を受ける可能性があります。
https化(常時SSL化)されていない
https化(常時SSL化) は、通信をすべて暗号化して表示やデータのやり取りをすることです。https化(常時SSL化)されていないと、データを窃取されたり、個人情報登録フォームを悪用されたりする可能性があります。
「WordPress」で「WordPress 簡易脆弱性診断サービス」のページを作成している実際の画面。直感的にWebページ制作ができるCMSである。
Webサイトは企業・組織のセキュリティ意識を表すバロメーター
サイバー攻撃側は、Webサイトにこれらの脆弱性がある企業・組織を「セキュリティ投資に消極的な企業・組織」と判断して最初に狙うでしょう。Webサイトは企業・組織のセキュリティ意識を表すバロメーターのひとつでもあるのです。その他にも、Webサイトが長期間更新されていなかったり、表示速度が遅かったりする場合も、「運営側の改善意識が低い(普段からあまりセキュリティのチェックをしていない)Webサイトである」と判断される要素になり得ます。また、CMSの「プラグイン(※3)」のバージョンが古かったり、脆弱性があったりする場合も攻撃側に狙われる原因になってしまいます。
※3 プラグイン
CMSの機能を拡張するための追加プログラム。
個人情報が漏えいしたら凶悪犯罪につながるおそれも
私がここまで熱意を込めて説明する理由は、Webサイトの脆弱性が「闇バイト」のような凶悪犯罪につながりかねないからです。もし皆さんの企業・組織のWebサイトから凶悪犯罪につながるような組織に個人情報が漏えいしたらどうなるでしょうか?悪意は無くとも間接的に凶悪犯罪に加担してしまうことになるのは想像に難くないですよね?犯罪者は常にターゲットを探し続け、小さな隙を見逃さず冷徹に攻撃を仕掛けてきます。蟻の一穴が重大なサイバーインシデントを呼び込んでしまうのです。私たちがWebサイトのセキュリティを改善し続けることは、サイバー攻撃はもちろんのこと、凶悪犯罪の抑止にもつながるのです。
Webサイトの脆弱性はビジネスにも悪影響
Webサイトの脆弱性はセキュリティ以外にも悪影響を及ぼします。そもそもWebサイトの役割は、多くの場合集客をしたり、顧客の疑問を解決したりすることにあります。しかし、上述のような脆弱性があるWebサイトは、Googleなどの検索エンジンによって検索対象から除外されたり、検索順位を下げられたりしてしまう可能性があります。危険性のあるWebサイトに誘導することは検索エンジン側にとってリスクがあるからです。このような状態では、いくらSEO対策(※4)に取り組んでいても非効率です。このように、Webサイトに脆弱性があるとセキュリティのリスクだけでなく、顧客満足度の低下や新規顧客獲得機会の損失リスクも抱えてしまうことになります。
※4 SEO対策
検索したときに上位に表示されるようにWebサイトを改善すること(検索エンジン最適化)。Search Engine Optimizationの略。
「WordPress 簡易脆弱性診断サービス」をお奨めします
そこでおすすめするのが、プライム・ストラテジー社の「WordPress 簡易脆弱性診断サービス(※5)」です。1Webサイト(WordPress)あたり3万円+消費税(※6)で上述のような脆弱性をチェックしてレポートします。
- Webサイトのセキュリティに不安があるけど何から手を付けたらいいのか分からない
- 外注先に運用を依頼しているけどセカンドオピニオンを受けてみたい
という方はお気軽にお問い合わせください。
※5 対象CMSについて
WordPress のWebサイトが対象のサービスです。
※6 金額について
1Webサイト(1WordPress)の金額です。
「WordPress 簡易脆弱性診断サービス」につきましてはディーアイエスサービス&ソリューションまでお気軽にお問い合わせください。
筆者プロフィール
橋川ミチノリ
幼少よりコンピュータ関連の仕事に憧れ、ディーアイエスソリューション株式会社(現ディーアイエスサービス&ソリューション株式会社)に入社。営業職として最新のITソリューション提案・販売活動に10年間従事した後、マーケティング職に転向。当時まだ黎明期にあったオウンドメディア「SI事例サイト」の活性化プロジェクトに参画し、PV(ページビュー)数を300倍に増加させたWebサイト運営・SEO対策のスペシャリスト。コラム執筆活動も積極的に行い、マイナビニュース連載コラム「5分で理解する ITセキュリティ最新動向」にて度々ランキング1位を獲得。出身:広島県 好きな言葉:やっぱりカープがNo.1! 趣味:ホルン 。
