中小企業の約3割がWebサイトのサイバー攻撃を受けたことがあると回答!
株式会社テクノルは、従業員300名以下の中小企業で自社Webサイトに関する業務を担当する方を対象に、「Webサイトのセキュリティ対策」に関する調査を実施した。
通常、ホームページ(Webサイト)やEC(ネット通販)などで使用されるテキストや画像といったWebコンテンツには専門的なIT知識が必要だが、「CMS(Contents Management System)」を利用することによって画像の配置やテキストの編集、更新といった管理運用を簡単に行うことができる。
実際に、企業の広報などでCMSを使っているという方も多いのではないであろう。
しかし、CMSは便利な一方、セキュリティ対策にも気をつける必要がある。
特に「オープンソース型のCMS」は、低コストで利用できる反面、万が一のサポートはない。
ソースコードが公開されていることやプラグインなどの外部システムに脆弱性もあることから、サイバー攻撃の脅威にさらされやすいシステムだといえる。
サイバー攻撃によってサイトが改ざんされるなどの被害が生じると、復旧までに業務に支障が生じるばかりではなく、場合によっては顧客の個人情報が流出するなど、企業としての信頼が著しく低下する恐れがある。
では、実のところ、CMSを利用している中小企業でセキュリティ対策を行っているのはどのくらいの割合なのであろうか。
そこで今回、青森県内においてITサービスなどを提供している株式会社テクノルは、従業員300名以下の中小企業で自社Webサイトに関する業務を担当する方を対象に、「CMS利用とセキュリティ対策」に関する調査を実施した。
Webサイトのセキュリティ対策を行っている中小企業は8割!
はじめに、どのようなセキュリティ対策を導入しているかを調査した。
「どのような対策を導入していますか?」と質問したところ、『ウェブサーバーのセキュリティ対策(アカウント、パスワード管理など)(46.0%)』との回答が最も多く、次いで『ウェブアプリケーションのセキュリティ対策(脆弱性対応など)(35.7%)』『ネットワークのセキュリティ対策(通信制御など)(16.4%)』と続いた。
アカウント、パスワード管理などウェブサーバーのセキュリティ対策を導入している方が多いことが分かった。
次に、Webサイトのセキュリティ対策について確認した。
「Webサイトのセキュリティ対策を行っていますか?」と質問したところ、『ツールなど費用をかけた対策を行っている(57.8%)』『費用をかけない対策を行っている(28.0%)』『対策らしい対策は、ほとんど行っていない(14.2%)』という回答結果に。
費用の有無に関係なく、Webサイトのセキュリティ対策を行っている方は8割以上いることが分かった。
では、セキュリティ対策をしていない方、費用をかけた対策をしていない方は、どのような理由があるのだろうか。
前の質問で『費用をかけない対策を行っている』『対策らしい対策は、ほとんど行っていない』と回答した方の回答は以下である。
「Webサイトのセキュリティ対策を実施していない、または費用をかけた対策を行っていない理由として近いものを教えてください(複数回答可)」と質問したところ、『保守費用がかかる(高い)から(44.1%)』と回答した方が最も多く、次いで『運用ノウハウがないから(31.0%)』『保守契約がないから(22.5%)』と続いた。
費用面や知識不足が理由で、セキュリティ対策を実施していない方が多いようだ。
万全のセキュリティ対策を行っている中小企業は4割!WAFの導入についても5割しか行っていないことが判明
8割以上の中小企業が、Webサイトのセキュリティ対策を実施していることが分かった。
では、WAFを導入している方はどのくらいかを確認した。
「WAF※を導入していますか?※Web Application Firewall、Webサイトを守るための防御ツールのこと」と質問したところ、『はい(53.7%)』『いいえ(46.3%)』という回答結果であり、WAFを導入している方は半数以上。
では、WAF以外ではどのようなセキュリティ対策を行っているのであろうか。
そこで、「WAFのほかに、どのようなセキュリティ対策を行っていますか?(複数回答可)」と質問したところ、『常にCMSの最新アップデートを行っている(34.4%)』と回答した方が最も多く、次いで『ウイルス対策ソフトを導入している(26.0%)』『CMSの管理画面の利用制限をしている(21.8%)』と続いた。
このように、WAF以外にもさまざまな対策を行っていると回答しているが、これらのセキュリティ対策で万全だと思うのであろうか。
続いて、「現在行っているセキュリティ対策で万全だと思いますか?」と質問したところ、『はい(45.9%)』『いいえ(54.1%)』という回答結果で、半数以上の方は万全ではないと感じている。
Webサイトを公開している中小企業の3割がサイバー攻撃を受けたことがある。その被害状況は?
現在行っているセキュリティ対策が万全ではないと思う方が半数以上いることが分かった。
では、これまでにサイバー攻撃を受けたことがある方はどのくらいであろうか。
「これまでにサイバー攻撃を受けたことはありますか?」と質問したところ、3割以上の方が『はい(33.1%)』と回答した。
『はい』と回答した方に、「サイバー攻撃を受けた結果、どのような被害が出ましたか?(複数回答可)」と質問したところ、『サーバーが停止した(繋がりにくくなった)(45.6%)』と回答した方が最も多く、次いで『業務が(一時)停止するなどの支障が出た(38.4%)』『ウイルスに感染した(不正なプログラムをダウンロードさせられた、なども含む)(26.0%)』と続いた。
被害についての詳細は以下の通りだ。
■サイバー攻撃でどのような被害が出た?
・不正アクセスしたあと、管理パネルに不正に入って、インターネットが繋がらなくなった。データはバックアップしていたが、1日ほど復旧に時間が掛かりました(40代/男性/東京都)
・ページのソースコードが書き換えられ、侵入しやすくされた(40代/男性/新潟県)
・メールサーバーに宛先の存在しない大量のメールが送信され高負荷となり、通常のメール送受信に遅延が発生した(50代/男性/静岡県)
自社webサイトが閲覧できない状態にされたり、ページのソースコードを書き換えられたりとさまざまな被害にあっているようだ。
このようなサイバー攻撃の被害によって、業務に支障が発生する事態は避けたいところだ。
できるだけ安価で簡単なほうが良い?中小企業担当者はWebサイトのセキュリティ対策に何を望んでいる?
調査結果で、3割以上の方がサイバー攻撃の被害に遭ったことがあり、業務に支障をきたした経験があることが分かったが、これらの事態を避けるために、万全なセキュリティ対策が必要だと感じる方も多であろう。
では、どのようなセキュリティ対策が望ましいと考えているのか。
「Webサイトの理想的なセキュリティ対策として、近いと思うものを教えてください(複数回答可)」と質問したところ、『専門知識がなくても対処できる(48.0%)』と回答した方が最も多く、次いで『操作がシンプルで簡単(46.4%)』『利用料金が安い(無料サービスがあるなど)(44.9%)』と続いた。
【まとめ】Webサイト利用とセキュリティ対策が明らかに
今回の調査で、さまざまなWebサイトのセキュリティ対策をしているものの、万全ではないと思う方が半数以上いることが分かった。
これまでに、サイバー攻撃を受けた経験がある方は3割以上おり、業務に支障をきたす状況になったことがある。
Webサイトのセキュリティ対策には、知識がなくても対処できたり、操作が簡単、利用料金が安いといったことを求めていることが明らかに。
被害に遭わないためにも、担当者の負担が少なく、操作性がよい対策を行う必要がある。
被害に遭ったことがある方はもちろん、現状のセキュリティ対策に不安がある方は、今一度セキュリティ対策の見直しが必要であろう。
出典:PRTimes 【セキュリティ対策】WAFの導入は5割!サイバー攻撃を受ける前にWebサイトのセキュリティ対策は万全に!
