なぜ取引先に言われる前に確認すべきなのか

IPAの『2024年度 中小企業における情報セキュリティ対策に関する実態調査』(全国4,191社対象)の結果は衝撃的です。

  • 62.6%の企業がセキュリティ対策に投資ゼロ
  • 約7割の企業が組織的なセキュリティ体制を整備していない
  • サイバーインシデント発生企業の約7割が『取引先にサービスの停止や遅延の影響が出た』と回答
  • 被害額の平均は73万円、復旧までの平均は5.8日
  • 不正アクセスされた企業の約5割が『脆弱性を突かれた』、約2割が『他社経由で侵入された』

つまり、あなたの会社のサイトのセキュリティ不備は、あなたの会社だけの問題ではありません。取引先のサプライチェーン全体のリスクになります。そして取引先がそのリスクに気づいた瞬間、あなたの会社は『リスクのある取引先』として認識されます。

確認①:SSL/TLS証明書は有効か

最も基本的で最も見落とされがちな項目です。SSL/TLS証明書が期限切れになると、Chromeは全画面で『この接続はプライベートではありません』と警告を表示します。

  • 自社サイトをChromeで開き、アドレスバーに鍵マークが表示されているか確認する
  • SSL証明書の有効期限を確認する(2026年3月から最大有効期間が200日に短縮された)
  • HTTPでアクセスしたときにHTTPSに自動リダイレクトされるか確認する
  • サブドメイン(blog.example.com等)も含めて確認する

SSL証明書の期限切れは、ある事例ではアクセス94%減、週末の売上15,000ドル損失を引き起こしました。取引先のサイト担当者が日曜にあなたのサイトを開いて『安全じゃない』と思ったら、月曜朝のメールで『他社を検討します』と届くかもしれません。

確認②:セキュリティヘッダーは設定されているか

セキュリティヘッダーは、ブラウザに対して『このサイトをどう扱うか』を指示する設定です。見た目は変わりませんが、設定されていないとサイトが攻撃の入口になります。

  • HSTS(HTTP Strict Transport Security):常にHTTPS接続を強制する。未設定だとHTTPへのダウングレード攻撃が可能
  • CSP(Content Security Policy):外部からのスクリプト注入を制限する。未設定だとマルウェアやマイニングスクリプトが注入されるリスク
  • X-Frame-Options:サイトが他のサイトの中に埋め込まれるのを防ぐ。未設定だとクリックジャッキング攻撃が可能
  • X-Content-Type-Options:ブラウザがファイルの種類を誤って解釈するのを防ぐ

これらのヘッダーは設定に数分しかかかりません。しかし設定されていないサイトは非常に多く、攻撃者が『簡単な標的』を探すときの基準の一つになっています。

確認③:管理画面は外部から見えていないか

WordPressなら /wp-admin、その他のCMSにもそれぞれ管理画面のURLがあります。この管理画面がインターネット上で誰でもアクセスできる状態になっていませんか?

  • 管理画面のURLにアクセス制限(IP制限、VPN経由のみ等)がかかっているか
  • 管理者アカウントに二段階認証(MFA)が設定されているか
  • デフォルトのユーザー名(admin等)が変更されているか
  • 使っていないテストアカウントが残っていないか

McDonald'sのAI採用ツール事件では、テストアカウントのデフォルトパスワード『123456』が6年間放置されていたことで、6400万人分のデータにアクセスできる状態でした。管理画面のセキュリティは、サイト全体のセキュリティの要です。

この記事を社内で共有してください

この3つの確認は、専門知識がなくても5分で着手できます。問題は『誰が確認するか』が決まっていないことです。IPAの調査でも、中小企業の約7割がセキュリティの担当者を明確に決めていません。

まずこの記事をWeb担当者、IT担当者、または経営者に共有してください。そしてこの3項目を誰がいつ確認するかを決めてください。取引先から『おたくのサイト、大丈夫ですか?』と言われてからでは遅いのです。

まず確認すべきこと

3つの設定を自分で一つずつ確認するのが難しければ、外部のツールで一括チェックできます。

Web検診では、SSL/TLS設定、セキュリティヘッダー(HSTS・CSP・X-Frame-Options等)、公開情報の露出を含む無料のサイト診断を提供しています。

出典

IPA『2024年度 中小企業における情報セキュリティ対策に関する実態調査』: https://www.ipa.go.jp/security/reports/sme/sme-survey2024.html

IPA プレスリリース(速報版): https://www.ipa.go.jp/pressrelease/2024/press20250214.html

SSL Dragon(SSL有効期間200日への短縮): https://www.ssldragon.com/blog/what-happens-when-ssl-certificate-expires/