現代のビジネスにおいて、「Webサイトを持っていない企業は信用されない」とさえ言われる時代になりました。会社概要、問い合わせフォーム、商品ページ、EC機能… Webサイトは企業の顔であり、業務そのものを支える基盤です。しかし、その一方で「Webサイトのセキュリティ」は軽視されがちです。
なぜなら、”動いているから大丈夫” と思い込んでしまうからです。

実際には、Webサイトは常に攻撃者から狙われています。特定の企業だけではなく、全てのサイトが「常時スキャンされている状況」にあります。言い換えれば、あなたのサイトが攻撃を受けているかどうかではなく、攻撃に耐えられる構造になっているかどうかが重要なのです。

本コラムでは、Webサイトを安全に運用するために「最低限知っておくべき脆弱性と対策」を、今さら聞けない基礎から整理して解説します。中小企業・小規模サイトの管理者、Web担当者、サイト制作者にも役立つ内容です。

■ 1. Webサイトの脆弱性は「技術的な穴」ではなく「企業リスク」

多くの企業は、Webの脆弱性を「技術的な欠陥」「エンジニアの仕事」と捉えています。しかし実際には、以下のような重大な経営リスクを生む要因です。

• 不正アクセス → 顧客データ漏えい → 信用失墜
• サイト改ざん → 偽ページ表示 → 詐欺の踏み台
• ランサムウェア → データ暗号化 → 業務停止
• 大量のスパム送信 → メールのブラックリスト登録
• SEO評価の低下 → 検索結果から消える → 売上損失

つまり「セキュリティ」は技術の話ではなく、企業の存続に関わる問題です。

■ 2. 攻撃者はあなたのサイトを見ている — なぜWebサイトは狙われるのか

“うちは小規模だから狙われない” という声をよく聞きますが、それは完全な誤解です。

攻撃者はあなたのサイトを自動スキャンツールで365日チェックしています。

実際の目的は以下の通り：

• 攻撃しやすいサイトを機械的に探しているだけ
• 個人情報が少なくても「踏み台」目的で使われる
• 改ざんしてフィッシングに転用したい
• サーバーを乗っ取って仮想通貨をマイニングしたい

つまり狙われる理由は「弱いから」であって、「有名だから」ではありません。

■ 3. 今さら聞けない主要な脆弱性と対策

● 3-1. SQLインジェクション

Webアプリケーションの最も古典的かつ危険な脆弱性。
フォームやURLに悪意のあるSQLを入力され、DBの情報を盗まれたり書き換えられたりする。

対策：

• Prepared Statement（プリペアドステートメント）の使用
• 入力値のバリデーション
• DBユーザーの権限は最小限に制限する

● 3-2. クロスサイトスクリプティング（XSS）

ユーザー入力を適切にエスケープしていない場合、攻撃者がJavaScriptを埋め込むことが可能になり、Cookie盗難、偽フォーム、画面改ざんなどに繋がる。

対策：

• エスケープ処理（特に `< > ” ‘ &`）
• CSP（Content-Security-Policy）の設定
• 不要なHTMLタグを除去

● 3-3. クロスサイトリクエストフォージェリ（CSRF）

ログイン中のユーザーに対して、外部サイトから意図しない操作をさせてしまう攻撃。
「勝手に注文」「勝手に登録削除」が起こる。

対策：

• CSRFトークン
• SameSite Cookie
• Referer / Origin のチェック

● 3-4. 認証・セッションの脆弱性

安易なパスワードや、セッションIDがURLに含まれる古いサイトなどは、ハイジャックされやすい。

対策：

• 強力なパスワードポリシー
• 多要素認証
• セッションIDをCookie以外に出さない
• ログイン後のセッション再生成

● 3-5. アクセス制御の欠陥（IDOR）

IDを変更すると他人のデータが参照できる、という非常に多い脆弱性。

対策：

• UUIDを使う（推測されにくいID）
• サーバ側で「そのユーザーのデータか」を必ずチェック

● 3-6. ファイルアップロードの脆弱性

画像アップローダーがあれば、攻撃者はPHPファイルを “画像に見せかけて” アップロードして侵入を試みる。

対策：

• 拡張子のホワイトリスト
• MIMEタイプチェック
• 画像処理ライブラリで再生成（サニタイズ）
• アップロードディレクトリはWeb公開領域の外に置く

● 3-7. サーバー設定の不備

同じコードでも、サーバー設定が甘いと一気に攻撃対象になる。

危険例：

• 管理画面が外部に公開されている
• SSHがパスワード認証のまま
• バージョン情報を表示
• TLS設定が弱いまま

対策：

• 管理画面はIP制限
• SSHは鍵認証化
• HTTPS必須
• 不要なポートを閉じる

● 3-8. パッケージ・CMSの更新不足

攻撃の半数以上が「古いWordPress」「古いライブラリ」によるもの。

対策：

• 常に最新バージョンへ更新
• 不要なプラグインを削除
• composer / npm / pip の脆弱性チェックを定期実施

● 3-9. エラーメッセージによる情報漏えい

エラー画面にSQL文やサーバーパスが見えると、攻撃者にヒントを与える。

対策：

• 本番環境ではエラーメッセージ非表示
• エラーはログへ出力

● 3-10. バックアップ戦略の不足

セキュリティ対策で最も軽視されるが、ランサムウェア時に最重要となる。

対策：

• 外部ストレージに世代バックアップ
• 自動化
• 定期的な復元テスト

■ 4. 結局、何をすればいいのか？最低限の「安全運用」チェック

以下の項目を全てYESにできれば、一般的な企業サイトとしてはようやく合格ラインのレベルです。

• HTTPSのみで運用している
• 入力値のサニタイズ / エスケープができている
• CSRFトークンを導入している
• 管理画面はIP制限している
• ファイルアップロードのチェックをしている
• サーバー・CMSは定期的にアップデート
• 管理者パスワードが強固
• エラーメッセージは非公開
• ログが保存・監査されている
• バックアップが自動化されている

■ 5. セキュリティは”コスト”ではなく”保険”

Webサイトのセキュリティは、派手さはありません。
しかし、問題が起こってからのコストは桁違いです。

• 事故後の信用回復
• 顧客対応の負担
• 調査費用
• サイト復旧
• 風評被害による売上減

事故が起こって初めて「なぜ事前に対策しておかなかったのか」と後悔する企業がほとんどです。

セキュリティはコストではなく、企業の信頼を守る投資です。
そして一度強化すれば、その効果は長期間続きます。