あなたの会社が運営しているホームページは、安全でしょうか?
あまり語られていないけれど、とても重要度が高く、誰もが取り組むべきなのがホームページの安全性への対応です。
いくら集客力が高く、効果を発揮するホームページを持っていても、安全に運用できなければ大きな損失につながります。
今回は、ホームページを安全に運用するための考え方と具体的な行動をご紹介します。
今回の記事を参考に、自社ホームページの安全で安心な環境づくりをはじめてみませんか?
1.ホームページを安全に保つために知っておくこと
1-1.ホームページを放置してはいけない
ホームページは、放置してはいけません。
放置すればするほど安全性から離れてしまうからです。
メンテナンスをしていない状態が長く続くと、ホームページは古く脆くなっていきます。
例えば、ホームページで利用されるプログラミング言語は毎年のように改良されています。
バージョンアップデートが常に行われ、そのおかげで数年前とは比べ物にならないほど便利で高性能になっています。
アップデートの中には、セキュリティの脆弱性やバグを解消するものも含まれているため、最新の状態になければ攻撃に弱い隙ができていくことになります。
ホームページデータを置いているサーバーも同じくアップデートを続けています。
高速で容量が多くなっているため、今は手軽に動画を見ることができるようになりました。
しかも改良のスピードは日々上がっています。
半年前のリリース情報がはるか昔に感じるようなことも珍しくありません。
1-2.ホームページは24時間365日、世界中に向けて営業し続けている営業所のようなもの
ホームページは24時間365日、世界中に向けて営業し続けている営業所のようなものです。
閉店している時間はありません。
あらゆる場所、あらゆる人が常時アクセス可能なため、中には攻撃を目的とした人(機械)もいることになります。
日々技術が進化するのと同時に、サイバー攻撃をする側の技術も向上しています。
残念ながら、新しいセキュリティシステムを破ろうと日々努力しており、打ち止めになることはまずありません。
私たちは、常にセキュリティに対する意識を持ち続け、対策していかなければならないのです。
2.メンテナンス費用は重要度を高く設定し、予算を考慮しておこう
よく「突然ホームページに不具合が起きた!」というご相談をいただきます。
しかしよく聞いてみると、数年間ホームページを更新せず、普段からほとんど社内で自社ホームページを見ていなかったということが少なくありません。
先に述べた通り、放置すれば放置するほどホームページの安全性は失われてしまいます。
ホームページは大切なインターネット版の営業所。
事務所を掃除したりメンテナンスしたりするのが大切なように、ホームページにもメンテナンスが重要です。
セキュリティ対策がもたらす安全の効果は、運営している会社だけではありません。
ホームページにアクセスするお客様にとってもセキュリティの対策状況は影響を受けます。
ホームページを運営する以上は、セキュリティやメンテナンスに対する責任が伴いますので、予算は確保しておきましょう。
2-1.メンテナンスをこまめに実施することが、長期視点では低コストとなる
こまめなメンテナンスの実施や、普段からセキュリティ対策をしておくことは、長期的に見るとコストを低く抑える手段となります。
理由は、いざ不具合が起きたりサイバー攻撃の被害に遭ったりすると、復旧の対応コストのほうがはるかに高くつくからです。
コストは費用だけに留まりません。
人、時間、信頼すべてに影響が出ます。
- 連携している各所にさまざまな連絡が必要になる
- 問い合わせなどの対応の手間が急増する
- メール等が使えなくなり、連絡手段がなくなる
- 顧客に影響が出てしまい、対応が求められる
- 緊急対応の人手が必要で、通常業務を圧迫する など
「よくわからないから」「うちは予算がないから」という理由で後回しにするうちに、問題が起こってしまうリスクを高めてしまいます。
3.ホームページを安全に運用するポイント5つ
では、具体的にどのような対応がホームページの安全になるのでしょうか?
安全に運用するためのポイントを以下のようにまとめました。
- 社内でセキュリティの意識を共有する
- 定期的にホームページをチェックする
- 定期的にバックアップを取っておく
- サーバーのセキュリティ機能を利用する
- 最新アップデートに対応し、脆弱性への対策をする
3-1.ポイント1:社内でセキュリティの意識を共有する
社内でセキュリティに関する意識を持つことは、一番基礎的で重要なことです。
なぜなら、セキュリティ対策は一時的なものではなく、半永久的に取り組みが必要なことだからです。
一度きり、一部だけ対応するだけでなんとかなるわけではなく、じっくりと継続することで効果が持続します。
少なくともチームで共通認識を持っておくようにしましょう。
一人だけがセキュリティ対策を実行していても、他の人が知らずに良くない行動をしてしまえば事故が起こりかねません。
また、担当者が異動や退職をした途端、社内でわかる人が誰もいなくなってしまう危険もあります。
中小企業の場合、ウェブだけを専門で担当する企業はほとんどないはずです。
事務や総務の方などが、通常業務と並行して行うなど、リソースが限られていると思います。
一度マニュアルを作成しておき、いつでも見直せるように用意しておくと後が楽になります。
一人でこなすと負担が大きいので、できるだけ複数で対応できる仕組みにするのがオススメです。
3-1-1.セキュリティソフトを導入する
会社で使うデバイスにセキュリティソフトを導入しましょう。
導入済みの場合は、最新バージョンにアップデートされている状態になるような配慮で万全にしましょう。
アップデートを社内に呼びかけをするなどの取り組みをオススメします。
3-1-2.ウェブに関する登録情報の管理を統一する
ウェブ関連で登録しているメールアドレスは、共通管理できるメールアドレスを作りましょう。
ホームページドメインのメールアドレスでも構いません。
Googleアカウントは何かと管理ツールで利用することがあるため、会社用にGmailを作っておくのもおすすめです。
- ドメイン・サーバー
- セキュリティソフト
- アクセス解析
- ウェブ管理ツール
- その他クラウドサービス、SaaSなど
社員の個人メールアドレスにしてはいけません。
責任があいまいになりますし、紛失の危険を招きます。
担当者が引継ぎをせずに退職してしまい、長く運用を続けてきたホームページが消失してしまったというご相談を受けることもあります。
会社で管理する意識と仕組みづくりを徹底しましょう。
3-2.ポイント2:定期的にホームページをチェックする
次に行うことは、ホームページの定期チェックです。
定期的に見回りをすると素早く気づくことができます。
「お客さんに指摘されて気が付きました」
ご相談いただく時に、このようなお言葉をいただくこともあります。
できれば自社で早期発見したいところですよね。
3-2-1.ホームページの表示をチェックする
崩れていないか、改ざんされていないかチェックします。
例えば、プラグインをアップデートすることで、表示崩れが起こることがあります。
何もしていないのに崩れた場合は、WordPressなどCMSのバージョン変更により不具合が起きたり、不正アクセスによって書きかえられたりすることが原因です。
3-2-2.ホームページの動作を見る
ページ移動や、クリックやタップで表示されるべき動作が正常に動くかどうか試してみます。
リンク先に飛ぶかどうか、正しいリンク先に遷移するかどうかも確認してみましょう。
3-2-3.メールフォームや予約フォームの送信テストをする
メールフォームは、こまめにチェックしたい場所です。
コンバージョン数に直結するからです。
不具合が起きているのに気が付かないままでは、せっかくのお問い合わせが届きません。
フォームの設定や受信メールの設定によって、届いたり届かなかったりする現象も起こり得ます。
セキュリティ設定によってGmailやYahoo!メールに送信か受信ができないケースも発生しやすいため、テスト送信のメールアドレスを変えて見るなど、何パターンか試してみましょう。
少なくとも半年に一度はテスト送信を試してみることをお勧めします。
3-2-4.電話番号のコールテストをする
スマートフォンで閲覧している時に、ワンタップコールを設定している場合は、テストコールをしてみましょう。
メールフォームと同様に、コンバージョンに影響します。
公開テスト時に問題がなければ良いのですが、どこかのページにミスが潜んでいるかもしれません。
公開作業前と公開後に、できるだけ制作会社と相互チェックを入念にしておきましょう。
3-2-5.表示速度が突然低下していないかどうかを見る
表示速度が適切かどうか、突然遅くなっていることはないか見てみましょう。
ページの表示速度は、ユーザー体験に直結します。
読み込みに3秒以上かかると53%のユーザーが離脱すると言われるほどです。
参照:モバイルサイトの読み込みに3秒以上かかると、訪問者の53%が離脱します-Think with Google
まずは普段の読み込み速度と違和感があるかどうか確認します。
もし明確に遅いと感じたら、何らかの変化が起きているかもしれません。
3-3.ポイント3:Googleサーチコンソールで警告などが出ていないかチェックする
Googleサーチコンソールとは、Googleが無料で提供しているホームページ管理ツールです。
ホームページを運営している方はぜひ登録しましょう。
Googleサーチコンソールでは、モバイル表示に関する警告やページスピード、表示されないページなどを知らせてくれます。
定期的にログインして、何らかのエラー通知が出ていないかチェックしましょう。
どのような検索ワードでアクセスされているか、検索結果に表示されているかなどを知ることもできます。
最初の登録が難しい場合には制作会社などに登録を依頼するのがオススメです。
3-4.ポイント4:定期的にバックアップを取っておく
バックアップは、いざという時に非常に重要な役割を果たしてくれます。
定期的にバックアップを取っておきましょう。
バックアップとは、危機や事故に備えて二重の守りを敷いておく対策のことです。
ホームページでは、ホームページのデータをコピーして保管しておくことを指します。
つまり、使う機会はないほうが良いのです。
とはいえ、なければないで困ってしまいます。
バックアップデータがなければ、ホームページが消失したり不具合が起きたりした場合に復元する術がなくなってしまうのです。
バックアップを取る方法は、WordPressならプラグインを利用するのがオススメです。
その他のCMSを利用している場合は、各CMSが案内するバックアップ方法に従いましょう。
CMSではないホームページなら、FTPソフト等を利用してホームページデータをダウンロードします。
データをダウンロードをしたら、複数個所に保管するようにしましょう。
クラウド上だけ、ローカル環境だけと一カ所にしてしまわないほうが安心です。
サーバーが提供するバックアップサービスを利用するのもおすすめです。
3-5.ポイント5:サーバーのセキュリティ機能を利用する
レンタルサーバーが提供している各種セキュリティ機能を利用するのもオススメです。
先に説明した「バックアップサービス」は特に有効だと考えます。
サーバーによっては、追加の利用料金が発生したり、自分で設定が必要だったりしますので一度確認してみましょう。
海外からのアクセス制限も有効ではあるのですが、意図せず日本国内からのアクセスを遮断してしまうこともあるようです。
ホームページの運営状況に合わせたセキュリティサービスを選び、利用しましょう。
3-6.ポイント6:最新アップデートに対応し、脆弱性への対策をする
バージョンアップデートには対応するようにしましょう。
そもそも、アップデートがなぜ発生するのでしょうか?
アップデートによって、機能追加や不具合の修正、セキュリティの強化が行われます。
先にも述べたように、セキュリティは強化と撃破が連続しています。
常にいたちごっこのような状況です。
残念ながら終わりは見えません。
アップデートは基本的なセキュリティ強化のひとつとして捉えましょう。
- WordPress本体
- WordPressテーマ
- プラグイン など
3-6-1.バージョンアップデートによる不具合はなぜ起きるのか?
WordPressで良く起こるのがバージョンアップデートによる不具合です。
主に、以下のような理由で不具合が発生します。
- WordPressとサーバーの環境(PHPなど)が合わなくなった
- プラグインとWordPressが合わなくなった
- WordPress本体とテーマが合わなくなった
WordPress本体を作る人、プラグインを作る人、WordPressを利用してホームページを作る人、それぞれが独立して作成し成り立っています。
また、WordPressは「PHP」というプログラム言語や「MySQL」というデータベースを利用しており、バージョンアップします。
ざっと目を通しただけで、さまざまな要素が絡み合っていると想像できるのではないでしょうか。
バックアップの重要性は、いくら精巧に作ったホームページであっても、長期的な視点で見ると不具合発生がゼロとは言い切れない点にあります。
制作者から「あまりアップデートをしないでください」と言われた場合、不具合を危険視しての言及がほとんどです。
しかし、何年もアップデートをしないことはかえってリスクになることから、適宜アップデートは必要というのがヤマ編集長の意見です。
4.WordPressのセキュリティを強化する6つの方法
ここからは、WordPressのセキュリティを高める方法について解説します。
世界で最も利用されているCMSであり、とても優秀なWordPress。
これだけ使われているだけあり、狙われやすい側面もあります。
とはいえ、利用するメリットのほうが大きいと言えるため、セキュリティ対策をしながら運用しましょう。
WordPressでできるセキュリティ対策の例は以下の通りです。
- ログインURLを変更する
- ユーザーIDを推測されないものにする
- WordPress管理画面にアクセスできるIPアドレスを制限する
- ログインの試行回数に制限を設定する
- メールフォームのスパム対策をする
- コメント欄のスパム対策をする
4-1.方法1:ログインURLを変更する
WordPressのログインURLを推測されないものに変更します。
URL変更は慎重に実行したほうが良いので、プラグインを利用して設定するのが良いでしょう。
4-2.方法2:ユーザーIDを推測されないものにする
ユーザーIDを少し複雑なIDに設定しましょう。
「admin」など、よく使われるIDを設定している場合は、メールアドレスを変更して削除しても良いと思います。
4-3.方法3:WordPress管理画面にアクセスできるIPアドレスを制限する
アクセスできるIPアドレスを許可制として、許可されたIPアドレス以外はログインできないようにする対策です。
このようなIPアドレス制限もセキュリティ対策となります。
管理画面にアクセスする環境がいつも変わらない場合には実施しても良いでしょう。
逆に、IPアドレスが変わりやすい環境で管理する場合には向いていません。
4-4.方法4:ログインの試行回数に制限を設定する
何度もログインに失敗するとアクセスできなくする対策です。
正しいログイン情報を入力する環境が整っていれば、この制限に引っ掛かる心配はありません。
プラグインで設定することができますし、サーバーによってはこのセキュリティ機能が付いていることがあります。
例えば、エックスサーバーでは、サーバーで設定ができます。
4-5.方法5:メールフォームのスパム対策をする
メールフォームは「フォームスパム」と呼ばれる迷惑メールを大量に送信されるリスクがあります。
防ぐ方法として今とても有効とされているのが、機械からのフォーム送信をブロックすること。
Googleが提供している Google reCAPTCHA(グーグル リキャプチャ)は、ロボットによる送信を強力にブロックしてくれます。
Google reCAPTCHAの良い点は、学習し続けてくれることです。
機械の中には、うまくすり抜けて送信を成功させるものもあります。
しかし、Googleが学習しながらブロックの効果を向上させてくれるおかげで、基本は一度設置すれば問題ありません。
4-6.方法6:コメント欄のスパム対策をする
WordPressのブログ投稿にコメントができるように開放している場合、コメントスパム対策もオススメします。
コメントスパムも、フォームスパムのように機械がいくつもコメントを投稿してくる現象です。
ウイルスを仕込んだページへのリンクを貼って誘導することもあり、閲覧者にとっても危険な存在です。
こちらもプラグインなどで対策できます。
5.WordPressのアップデートはプロに依頼するのがオススメ
普段の管理や更新は、自社で作業できるのがWordPressの便利な点の一つです。
しかし、アップデート作業は不具合が起きやすい作業となることから、できればプロに依頼することを推奨します。
もしくは、しっかりバックアップを取った上でアップデートを行い、不具合が起きたら早めにプロに復旧の相談をしましょう。
5-1.どのようなタイミングでアップデートをすればよいのか
基本は、アップデート通知が出たらすぐアップデート対応をするのがおすすめです。
もちろん、バックアップなどの準備を十分に行い、すぐに復旧できるようにしておきましょう。
しかし、プラグインなどのアップデートも含めると、かなり頻繁に対応が必要になってしまいます。
リソースが限られている中小企業にとって、ウェブの業務は通常業務の合間にこなさなければならない方が多いはず。
丁寧な作業が求められるアップデート作業は、負担が大きいと予想します。
忙しい場合は、数カ月に一度、半年に一度などメンテナンスのタイミングを決めて実施するのが良いのではないでしょうか。
5-2.プロにアップデートを依頼すべきタイミングはいつ?
毎月の保守管理を依頼している場合は安心ですが、普段は自社でホームページを管理している会社も多いと思います。
そのような時に細やかなアップデートを毎回プロに依頼するとなると、予算の都合がつかないこともあるでしょう。
とはいえ、すべて自社で対応するのも限界があり、問題が起きるかもしれません。
それでは、どのような時にプロにアップデートを依頼するのが良いのでしょうか?
絶対にこれが正解というものはないのですが、以下のようなタイミングがオススメです。
- WordPressのメジャーアップデートのタイミング
- PHPバージョンの変更タイミング
メジャーアップデートやPHPバージョンの変更は、どちらも大きめの変更があり、影響が大きくなることが予想されます。
このような時には、プロに依頼するのが安全です。
通常、不具合が発生した場合には対応費用が別途かかります。
予算には余裕をもっておきましょう。
6.ホームページが表示されない時の対応方法
ホームページURLにアクセスしても表示されない時、困ってしまいますよね。
表示されない原因は数多くあります。
- ドメインの契約更新がされていない
- サーバーの契約更新がされていない
- SSL証明書の契約更新がされていない
- サーバーに障害が発生している
- サイバー攻撃などの影響で、サーバー側が表示を停止している
- ホームページが改ざんされてしまい、表示がおかしくなっている
- ホームページにウイルス等が侵入し、セキュリティソフトにブロックされている
- サーバーのメンテナンスが行われている など
6-1.エラーの表示を見てみよう
表示されない画面には、数字でエラーが表示されたり、英語でエラー名が表示されたりします。
「404」「403」「500」「DNS_PROBE_FINISHED_NXDOMAIN」のようなものです。
エラーの数字や表示にはそれぞれ意味があり、なぜエラーになったかを知るヒントになります。
調べる時や問い合わせをする時のために控えておくと良いでしょう。
6-2.ドメイン・サーバー会社に問い合わせる
優先的に行うのは、ドメインやサーバーの管理画面にログインし、何か通知が表示されていないか確認することです。
契約更新の期日が過ぎていたり、サーバー側から停止されていたりしないかチェックします。
各サービスの契約更新がされておらず、失効していることもあります。
この点は忘れずに更新したい点です。
更新日が過ぎて数日であれば、復旧もできますので対応方法をドメインやサーバー会社に確認しましょう。
サーバーの障害発生時には、障害情報を公開しています。
サーバーホームページの障害情報を見てみましょう。
上記に該当せず、原因がよくわからない場合には、エラー画面の説明などをしながらドメインやサーバー会社に問い合わせをしましょう。
7.まとめ
ホームページの安全性を保ち続けることは、ホームページの鮮度を高く保つ行動にもつながります。
こまめにホームページをチェックしていると、更新して改良する意識を持てるようになるため、結果的にホームページの効果を高めることになるからです。
家を放置すると、何もしていないのに劣化していきます。
ホームページも似たようなもので、手をかけていないと劣化していくのです。
「このホームページはずっと更新していないな」
直感でこのように感じてしまうホームページに出会うと、少し悲しい気持ちになります。
せっかく世界に向けて公開しているのに、なんだかもったいないですよね。
この記事がホームページのメンテナンスの重要性を感じ、行動のきっかけになれば本当に幸いです。