要点まとめ

  • ホームページは「情報を発信するだけの場所」ではなく、個人情報を扱う立派なシステムです
  • 管理画面のパスワードの使い回しや古いCMSの放置が、情報漏洩の主な原因になっています
  • 2026年度末頃からは「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS)」という新しい制度が始まる予定です
  • 難しい専門知識がなくても、今日から始められる対策があります

はじめに

自社のホームページを作ろうと思ったとき、「デザインをどうするか」「どんな写真を載せるか」といったことはたくさん考えても、セキュリティのことまで頭が回らない、という方は多いのではないでしょうか。「うちみたいな小さな会社、狙われることなんてないでしょう」って思いますよね。ただ、実はその考え方こそが、攻撃者にとって一番つけ込みやすいポイントなんです。

もし、開設したばかりのホームページが何者かに乗っ取られ、お客様に「このサイトは危険です」という警告が表示されるようになったら――。信用を築くために作ったはずのホームページが、逆に会社の信用を損ねる原因になってしまいます。この記事では、ホームページを開設するときに見落としがちなセキュリティの注意点と、2026年度末頃から始まる予定の新しい制度について、わかりやすく解説していきます。

なぜ中小企業のホームページも狙われるのか

「大企業ならまだしも、うちみたいな会社のホームページを狙う意味があるの?」と感じる方も多いはずです。ただ、攻撃者(不正アクセスを試みる人たち)の多くは、特定の会社を狙い撃ちしているわけではありません。多くの場合、インターネット上を自動的に巡回するプログラムを使って、パスワードが弱いサイトや、更新が止まっているCMS(コンテンツ管理システム=ホームページの中身を管理する仕組み)を無差別に探し出しています。つまり、会社の規模や知名度に関係なく、「守りが手薄なサイト」であれば誰でも標的になり得るということです。実際に、乗っ取られたホームページが迷惑メールの送信元にされたり、閲覧者にウイルスをばらまく踏み台にされたりする被害も報告されています。注意したいのは、こうした被害は会社側が気づかないまま進行することが多い点です。お客様や取引先から「そちらのサイトにアクセスしたらウイルス対策ソフトが警告を出した」と指摘されて、初めて発覚するケースも少なくありません。

出典:中小企業こそ気をつけたいホームページのセキュリティ

見落としがちなセキュリティの落とし穴

ホームページ開設時によくある落とし穴を、3つ紹介します。

管理画面のパスワードを使い回している

「admin」や生年月日のような単純なパスワード、他のサービスと同じパスワードの使い回しは、非常に危険です。パスワードが一つ漏れると、芋づる式にホームページの管理画面まで乗っ取られてしまうことがあります。

CMSやプラグインを更新しないまま放置している

WordPressなどのCMSは便利な反面、本体やプラグイン(追加機能)に見つかった弱点=脆弱性を放置していると、そこから侵入されるおそれがあります。更新の通知が来ているのに後回しにしていないか、一度確認してみてください。

問い合わせフォームの設定を確認していない

お客様からの問い合わせを受け付けるフォームは、名前やメールアドレスといった個人情報を扱う重要な窓口です。通信が暗号化されていない、送信先の設定を誤っている、といったミスがあると、入力された情報がそのまま漏れてしまう可能性があります。もし制作会社に発注した場合でも、「フォームの設定は任せたから大丈夫」と思い込まず、実際に自分でテスト送信をして、正しく届くか・暗号化されているかを確認しておくと安心です。

注意です。これらはどれも「知っていれば防げた」ケースがほとんどです。ここ大事なので、誤解しないでくださいね。難しい技術力がなくても、意識するだけで防げる漏洩はたくさんあります。

出典:ホームページのセキュリティ対策方法を初心者向けに解説

2026年度末頃から始まるSCS評価制度とは

少し前の話ですが、こうした中小企業のセキュリティ対策の底上げを目的に、経済産業省が「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS=Supply Chain Security)」という新しい制度の構築を進めています。これは、企業が一定のセキュリティ対策を実施しているかどうかを星の数(★)で評価・可視化する仕組みで、取引先からの信頼性にも関わってくると言われています。上位ランクにあたる★3・★4は、2026年度末頃に運用が始まる予定とされています。対応内容は今後公表される評価基準の詳細に依りますが、CMSの定期更新、二段階認証(ログイン時に2つの方法で本人確認を行う仕組み)の導入、ログイン試行回数の制限といった基本的な対策は、目安として押さえておくとよさそうです。

「制度に対応するのが目的」というよりも、この制度がきっかけとなって、今まで後回しにしていたセキュリティ対策を見直す会社が増える、という点が重要です。取引先から「御社のセキュリティ対策はどうなっていますか」と聞かれる場面も、今後は増えていくかもしれません。今のうちから基本的な対策を整えておけば、いざ聞かれたときにも慌てずに答えられます。次の章で、今日から始められる具体的な対策を紹介します。

出典:サプライチェーン強化に向けたセキュリティ対策評価制度(IPA)

今からできる対策

ホームページ開設時、または開設後すぐにでも取り組みたい対策を、3つのアクションにまとめました。

常時SSL化を必ず行う

SSL(通信を暗号化する仕組み)が導入されていないと、フォームに入力した情報が通信の途中で盗み見られる危険があります。ブラウザのアドレスバーに鍵マークが表示されているか、URLが「https」から始まっているかを確認しましょう。

管理画面のパスワードを強化する

英数字・記号を組み合わせた12文字以上のパスワードに設定し、可能であれば二段階認証もあわせて導入しましょう。使い回しをやめるだけでも、リスクは大きく下がります。

更新通知が来たら早めに対応する

CMSやプラグインの更新通知は、「今すぐ」でなくても構いませんが、後回しにしすぎないことが大切です。月に一度など、自分なりのタイミングを決めて確認する習慣をつけましょう。

定期的にバックアップを取っておく

万が一トラブルが起きたときのために、ホームページのデータは定期的にバックアップ(複製を別の場所に保存しておくこと)を取っておきましょう。レンタルサーバーによっては自動バックアップの機能が用意されている場合もあるので、契約中のサービスを一度確認してみてください。

これらは、専門的な知識がなくてもすぐに始められる対策ばかりです。すべてを一度に完璧にする必要はありません。できるところから、一つずつ取り組んでいきましょう。

まとめ

ホームページは、会社の顔であると同時に、お客様の個人情報を預かる場所でもあります。「うちは狙われない」と思わず、パスワードの見直しや常時SSL化など、できることから少しずつ始めてみましょう。2026年度末頃に始まるSCS評価制度も見据えて、今のうちに基本的な対策を整えておくと安心です。