「うちは大企業じゃないから狙われない」が最も危険な思い込み

サイバー攻撃のニュースを見ても「うちみたいな会社は攻撃対象にならない」と考えていないでしょうか。

IPA(独立行政法人情報処理推進機構)の情報セキュリティ10大脅威 2026を見ると、「サプライチェーンの弱点を悪用した攻撃」が組織向け脅威の上位にランクインしています。大企業を直接攻撃するよりも、セキュリティが手薄な取引先を経由して攻撃するほうが容易だからです。

つまり、御社のWebサイトのセキュリティホールが、取引先の大企業への攻撃の踏み台になりかねないのです。セキュリティインシデントが発覚した場合、取引先からの信頼を失い、取引停止に至るケースも珍しくありません。

この記事では、専任のセキュリティ担当者がいない企業でも、今週中に確認・対応できる5つのチェックポイントを解説します。

チェック1:SSL証明書は正しく設定されているか

WebサイトのURLが「https://」で始まっていることを確認してください。「http://」のままのサイトはブラウザが「保護されていない通信」と警告を表示し、訪問者に不安を与えます。

SSLの確認方法は簡単です。ブラウザのアドレスバーに鍵マークが表示されていれば、SSLは有効です。鍵マークをクリックすると、証明書の有効期限も確認できます。

Cloudflareを使っている場合、SSL証明書は自動で発行・更新されるため、期限切れの心配は基本的にありません。自社でSSL証明書を管理している場合は、更新期限をカレンダーに登録しておくことを強く推奨します。証明書の期限切れでサイトが表示できなくなるトラブルは、いまだに頻発しています。

チェック2:CMSとプラグインは最新版か

WordPressなどのCMSを使っている場合、本体・テーマ・プラグインすべてを最新版に更新しているかが最重要のチェックポイントです

WordPress公式のセキュリティガイドでも強調されている通り、WordPress関連の脆弱性の大半は、古いバージョンのプラグインやテーマに起因します。攻撃者は公開された脆弱性情報を利用して、更新されていないサイトを自動的にスキャンし攻撃します。

管理画面にログインし、ダッシュボードに「更新」の通知が出ていないか確認してください。更新がある場合は、バックアップを取った上で速やかに適用します。使っていないプラグインやテーマは削除してください。存在するだけで攻撃の対象になり得ます。

チェック3:管理画面のアクセス制限

WordPressの管理画面(/wp-admin/)やログインページ(/wp-login.php)は、初期設定では世界中の誰でもアクセスできる状態になっています。これは玄関の鍵を開けっぱなしにしているようなものです。

対策として、管理画面へのアクセスをIPアドレスで制限するか、二要素認証(2FA)を導入してください。CloudflareのZero Trustを使えば、Access機能で管理画面へのアクセスをメールアドレス認証付きに変更でき、技術的な難易度は低く抑えられます。

パスワードについても確認が必要です。「admin」「password123」のような脆弱なパスワードが使われていないか、管理者アカウントのパスワードを12文字以上のランダムな文字列に変更してください。

チェック4:WAF(Webアプリケーションファイアウォール)の導入

WAFは、Webサイトへの不正なリクエスト(SQLインジェクション、クロスサイトスクリプティング等)を自動的に検知・ブロックする仕組みです。

Cloudflareを利用している場合、マネージドルールセットを有効化するだけでWAFが機能します。Freeプランでも基本的なWAF機能が利用可能です。

WAFの導入が特に重要なのは、お問い合わせフォームや検索機能など、ユーザーからの入力を受け付けるページがあるサイトです。これらのページは、不正な入力を使った攻撃の標的になりやすいためです。

チェック5:バックアップは自動で取れているか

セキュリティ対策をどれだけ施しても、インシデントの発生をゼロにすることはできません。万が一の際に復旧できるかどうかを分けるのが、バックアップの有無です

バックアップの確認ポイントは3つです。まず、自動バックアップが毎日実行されているか。次に、バックアップデータがWebサーバーとは別の場所に保管されているか(サーバーごと攻撃されたら意味がないため)。最後に、バックアップからの復旧手順が文書化され、テスト済みか。

Cloudflare Pagesで運用している静的サイトの場合、ソースコードがGitリポジトリに保存されているため、実質的にバックアップが常に取れている状態です。データベースを使っている場合は、D1の自動バックアップ機能やCronジョブによるエクスポートを設定してください。

まとめ

Webセキュリティは「完璧を目指す」のではなく、「最低限の対策を確実に実行する」ことが重要です。

まずは来週、この記事の5つのチェックポイントを1つずつ確認し、対応が必要な項目をリストアップしてください。SSL、CMS更新、管理画面保護の3つだけでも対応すれば、サイバー攻撃のリスクは大幅に低減できます。

あわせて読みたい