このページの先頭です
このページの本文へ移動
サイトメニューここまで

本文ここから

ウェブサイトを開設する上での注意点

更新日:2026年7月10日

ウェブサイトは、企業や団体の情報発信、商取引、顧客とのコミュニケーションに欠かせない存在となっています。一方で、改ざん、不正アクセス、個人情報の漏えい、サービス停止を狙ったDDoS攻撃など、ウェブサイトを標的としたサイバー攻撃は後を絶たず、生成AIの悪用などにより手口は一層巧妙化しています。攻撃を完全に防ぐことは困難ですが、開設前から運用、被害発生時の対応までを通じて必要な対策を講じることで、被害の発生と拡大を抑えることができます。

開設前に決めておくこと

ウェブサイトの構築方法には、自社でサーバを用意する方法のほか、CMS(管理画面から記事や画像を更新できるソフトウェア)の利用、ECパッケージ(ネットショップに必要な機能をまとめたソフトウェア)の導入、SaaS型サービス(事業者が提供しすぐ使える申込型の)の利用など、さまざまな選択肢があります。
サービスそれぞれの形態によって、自組織が責任を持って対策する範囲とサービス事業者が対応する範囲(責任分界)が大きく異なります。自社でサーバを用意する場合は、OSやミドルウェアの対策まで全て自組織側の責任となります。一方、SaaS型サービスでは事業者側が多くを担うのが一般的ですが、アカウント管理・公開コンテンツ・サイト設定の管理は自組織側の責任となることが多く、過信は禁物です。いずれの場合も、利用するサービスの仕様書や契約書で「誰が何を守るか」を必ず確認し、不足する対策は自組織で補ってください。
また、ドメイン名の管理、運営担当者、緊急時の連絡体制、外部委託先との役割分担についても、開設前にあらかじめ明確にしておきましょう。ドメイン登録業者の管理アカウントにも、できるだけ多要素認証を設定してください。

ぜい弱性対策

ウェブサイトに対する不正アクセスの多くは、OSやウェブアプリケーション、CMS等のぜい弱性を悪用して行われています。修正プログラムが適用されていないソフトウェアは攻撃者の格好の標的となりますので、

  • OS、サーバソフトウェア、ミドルウェアを最新の状態に保つ。
  • CMS・プラグイン・テーマ・ライブラリを定期的に更新し、利用していないものは削除する。
  • 利用しているソフトウェアにぜい弱性がないか継続的に情報を収集する。

ことが大切です。

次のようなウェブアプリケーション特有のぜい弱性についても、設計・実装の段階から対策を組み込んでおき、外部に構築を委託する場合も、これらの対策が契約要件に含まれているかを確認してください。

  • SQLインジェクション

不正な命令文によりデータベースの情報を取得・改ざん・破壊する攻撃

  • クロスサイト・スクリプティング

不正なスクリプトを利用者のブラウザで実行させ、情報を窃取する攻撃

  • ディレクトリ・トラバーサル

不正なパス指定により公開されていないファイルを取得する攻撃

  • クロスサイト・リクエスト・フォージェリ(CSRF)

利用者になりすまして意図しない操作をサーバに実行させる攻撃

ID・パスワードと認証の強化

管理画面やサーバへのログインに使うID・パスワードが窃取されると、改ざん、情報漏えい、なりすましといった深刻な被害に直結します。次の点を徹底してください。

  • 初期パスワードは必ず変更する。
  • パスワードは、十分な長さのものを設定する。
  • 他のサービスで使い回さず、過去に漏えいしたことが知られているパスワードは用いない。
  • 管理者・利用者の双方について、フィッシング耐性のあるFIDO2認証(パスキー、セキュリティキー等)の導入を推奨する。
  • 退職者や異動者のIDは速やかに削除または停止する。
  • 利用者のパスワードは、ソルト(注記)を付与した上で、パスワード保管に適したハッシュ関数で保管する。 (注記)元のデータに任意の文字列を加えること。

最近は、フィッシングで盗んだ認証情報をその場で正規サイトに入力し、ワンタイムパスワード等による多要素認証まで突破する手口も確認されています。これらの対策では不十分な場合があるため、フィッシング耐性のある方式の導入を推奨します。

通信経路の暗号化

ウェブサイトと利用者の間でやり取りされる情報は、暗号化されていないと盗聴、改ざん、なりすましの被害を受けるおそれがあります。重要な情報を取り扱うページに限らず、サイト全体をhttps化し、公的に信頼された認証局が発行するTLSサーバ証明書を使用してください。
管理者がサーバへ接続する際の通信についても、安全に暗号化された通信で行い、平文での通信は避けてください。

アクセス制御と不要な機能の整理

ウェブサーバ上に不要なサービスやアカウント、テスト用のファイル、古いコンテンツなどが残っていると、それらが攻撃の入口となります。

  • 公開する予定のないファイルやディレクトリを公開領域に置かない
  • 不要なサービス、アカウント、プラグインは削除または停止する
  • 管理画面・管理用通信は、IPアドレスや経路で制限し、海外からの利用が業務上必要でない場合はアクセス元を国内に限定することも検討する
  • ファイル・ディレクトリのアクセス権を必要最小限に設定する
  • ウェブアプリケーションファイアウォール(WAF)等の防御製品の導入を検討する
  • 問い合わせや通知メールには、なりすまし防止のためSPF・DKIM・DMARCを設定する

サービス停止を狙ったDDoS攻撃では、最近、コンテンツ配信ネットワーク(CDN)を回避してオリジンサーバを直接狙う手口も確認されています。サーバの公開IPアドレスの取扱いにも十分注意してください。

サプライチェーン・委託先管理

業務委託先のアカウントが侵入経路として悪用される事例が確認されています。委託先のアカウントにも自組織の管理者と同等以上の認証強度を必須とし、付与する権限は業務上必要な最小限にとどめ、契約終了時や担当者変更時には速やかに失効させてください。

ログの取得と保管

ウェブサーバ、データベース、アプリケーション、ネットワーク機器のログは、不正アクセスの早期発見や原因調査に欠かせない情報源です。

  • 必要なログを、改ざんされない場所に保管する
  • 攻撃者が侵入から発覚まで数か月にわたり潜伏する事例もあるため、業務上の要件と関連法令を踏まえ、可能な限り長期間保管する
  • 定期的にログを確認し、不審なアクセスがないか点検する
  • ログには個人情報や認証情報が含まれることがあるため、保管・閲覧権限を限定する

バックアップ

データの改ざん、消去、ランサムウェアによる暗号化等に備え、定期的にバックアップを取得してください。攻撃者がバックアップそのものを暗号化・削除する手口が確認されているため、本番サーバとは独立した環境(オフライン媒体や、書き換え・削除ができないイミュータブル方式の媒体等)に保管し、定期的に復旧手順を確認しておきましょう。

公開後の定期的な点検と改ざんの早期発見

ウェブサイトは公開して終わりではありません。継続的な点検が必要です。
・不要になったページやキャンペーンサイトは速やかに閉鎖する
・自社で行えるセルフチェックと、外部の専門機関によるぜい弱性診断やセキュリティ監査を組み合わせて実施する
・検索サイトで「site:<自社ドメイン>」と入力して検索し、見覚えのないページが表示されていないか確認する
・会員入力画面や購入画面等に、不審なJavaScriptや、人の目では認識しにくい不正な指示文が埋め込まれていないか確認する
・ウェブサーバ、SSH/SFTP等のログに不審なアクセスがないか点検する
これらの確認は、改ざんやマルウェアの設置を早期に発見する時に有効です。

被害に遭った場合の対応

ウェブサイトの改ざんや不正アクセスに気付いた場合は、被害の拡大防止と証拠の保全を最優先に対応してください。

  1. 直ちにサービスを停止し、被害の拡大を防ぐとともに、SNSや別の媒体を用いて利用者・取引先へ速やかに状況を周知する
  2. 可能であれば被害を受けた機器をネットワークから切り離す。サーバ・端末の電源は専門家の指示があるまで切らず、ログ・通信記録等を改ざん検知が可能な方法で保全する
  3. 被害を受けたサーバ、ネットワーク機器、パソコンを含めて影響範囲を調査する
  4. OSやソフトウェアのぜい弱性を塞ぎ、影響を受けたパスワードを速やかに変更する
  5. 不正アクセス等による個人情報の漏えい・漏えいのおそれがある場合は、個人情報保護法上、個人情報保護委員会への報告(速報・確報)と本人への通知が義務付けられています。要件・期限の詳細を確認の上、速やかに対応してください。

その上で、サイバー事案に関する通報・相談・情報提供窓口又は最寄りの警察署に通報・相談してください。

サイバー事案に関する通報・相談・情報提供窓口

サイバー事案に関する通報・相談・情報提供のオンライン受付窓口、サイバー犯罪に関する電話相談窓口についてご案内しています。

情報発信元

警視庁 サイバーセキュリティ対策本部 対策担当
電話:03-3581-4321(警視庁代表)

本文ここまで


Copyright © Metropolitan Police Department. All Rights Reserved.
フッターここまでこのページのトップに戻る