保守費を払っているのに危険なまま——コーポレートサイトのセキュリティで本当に確認すべきこと
IT担当者がいない・兼任で困っている企業へ
月額8万円〜、情シス・IT部門・CTO機能を丸ごと外注できます
「保守はお任せしています」——その安心感、正しいですか?
「ホームページはWeb制作会社に任せているので大丈夫です。」——そう答える経営者・総務担当者は少なくありません。しかし実際には、毎月保守費を支払っているにもかかわらず、基本的なセキュリティ対策が放置されているサイトが多く存在します。
ホームページのセキュリティ対策は、一度設定すれば終わりではありません。古くなったプラグイン、放置されたHTTP通信、自社で把握できていないDNS設定——これらは攻撃者にとって格好の標的です。
本記事では、中小企業のコーポレートサイトが抱えがちなセキュリティリスクを具体的に整理し、「何を確認すればいいか」を解説します。
リスク① HTTPS化ができていない
HTTPとHTTPSの違いとリスク
「http://」で始まるURLのサイトは、通信が暗号化されていません。閲覧者とサイトの間でやり取りされる情報(入力フォームの内容・アクセス情報など)が第三者に傍受される可能性があります。
現在では、Google ChromeなどのブラウザがHTTPサイトに「保護されていない通信」と警告を表示します。お問い合わせフォームにこの警告が出ていると、訪問者は離脱し、信頼を失う原因になります。
Googleの検索評価にも影響する
Googleは2014年からHTTPSを検索ランキングの評価要素に加えています。HTTPのままでは、同条件の競合サイトと比較して検索順位が不利になります。「お問い合わせが来ない」「検索で見つからない」という悩みの一因がHTTP未対応にある場合もあります。
確認方法と対応
- ブラウザのアドレスバーに鍵アイコンが表示されているか確認する
- 「http://」で始まるURLを入力したとき、「https://」に自動リダイレクトされるか確認する
- 対応していない場合は、ホスティング会社またはWeb制作会社にSSL証明書の設定を依頼する(無料のLet's Encryptで対応可能なケースが多い)
リスク② プラグインやフレームワークのバージョンが古い
古いままにすることのリスク
WordPressをはじめとするCMSや、使用しているプラグイン・テーマが古いバージョンのままになっているサイトは、攻撃のリスクが高い状態です。
セキュリティ上の脆弱性が発見されると、開発元はアップデートで修正します。しかしアップデートを適用していない場合、その脆弱性は公開されたまま残ります。攻撃者は公開された脆弱性を使って、未対応のサイトを効率的に狙います。これを「既知の脆弱性への攻撃」と言い、最も一般的なサイト攻撃の手口の一つです。
よくある被害のパターン
- マルウェアの埋め込み:サイト訪問者のデバイスに不正なプログラムをダウンロードさせる
- フィッシングページへの改ざん:コーポレートサイトが偽のログインページに書き換えられる
- スパムメール踏み台化:サーバーがスパム送信に悪用され、自社ドメインがブラックリストに載る
- SEOスパム:検索エンジン向けに不正なコンテンツが埋め込まれ、検索順位が急落する
確認方法と対応
- WordPress管理画面で「更新」の数を確認する(プラグイン・テーマ・WordPress本体)
- 保守を委託している会社が「月次でアップデートを適用しているか」を確認する
- 更新をしない理由として「デザインが崩れるかもしれないから」と言われる場合は、テスト環境での事前確認を求める
保守費を支払っていても、アップデートが含まれていない契約になっているケースがあります。契約内容を今一度確認してみましょう。
番外編①:DNSの管理を自社でできていない
ドメイン(例:example.co.jp)のDNS設定を、Web制作会社やホスティング会社に丸投げしている企業は少なくありません。この状態には次のリスクがあります。
- 制作会社に連絡が取れなくなった場合、メールが届かなくなる・サイトが落ちてもすぐ対応できない
- ドメインの更新を忘れられた場合、自社のドメインを第三者に取得されてしまうリスクがある
- 別のサービスに乗り換えたいときに、移行できない・費用を請求される
ドメインとDNSは「自社の看板」です。少なくとも以下の情報は自社で把握しておく必要があります。
- ドメインをどのレジストラ(お名前.com・さくらインターネット等)で管理しているか
- ドメインの有効期限はいつか
- ドメインの管理アカウントのログイン情報が自社にあるか
番外編②:サイトが集客装置になっていない
セキュリティとは少し話が変わりますが、コーポレートサイトの「運用」を考える上で外せない論点です。
毎月保守費を払っているサイトが、検索エンジンで全くヒットしないままになっているケースがあります。「サイトを作って公開した」だけでは、誰にも見つけてもらえません。
Googleでの検索対策(SEO)には最低限、以下が必要です。
- Google Search ConsoleでサイトのインデックスステータスをGoogleに登録する
- ページのタイトルタグ・メタディスクリプションが適切に設定されているか確認する
- HTTPSに対応しているか(リスク①で解説)
- スマートフォンで正しく表示されるか(モバイル対応)
「サイトはあるけどお問い合わせが一件も来ない」という状況は、セキュリティ上の問題だけでなく、集客設計が機能していないことが原因であるケースが多いです。
意味のない保守契約を、今すぐ見直しましょう
改めて確認したいのは、「保守費を払っている=サイトが守られている・機能している」ではないということです。
保守の内容を一度確認してみてください。よくある「意味の薄い保守契約」の中身はこんなものです。
- 月1回のサーバーログ確認(何か起きても報告するだけ)
- アップデートは「崩れるリスクがあるので適用しない」方針
- HTTPS対応・検索対策・DNS確認は「別途見積もり」または「対象外」
これでは、月数万円を払い続けても、セキュリティリスクも集客課題も解決しません。
本当に意味のある運用とは、以下のような内容です。
- プラグイン・CMSを定期的に最新バージョンへアップデートする
- HTTPS対応・リダイレクト設定を正しく維持する
- ドメイン・DNSの状態を定期確認し、自社でも管理できる状態にする
- Google Search Consoleでインデックス状況・検索流入を定期確認する
これらは「保守の基本」です。できていない場合は、今すぐ見直しをお勧めします。
無料相談受付中
バクティーなら、この課題をまるごと解決できます
HTTPS対応・プラグイン管理・DNS確認・検索対策まで、IT周りの運用を月額固定でまるごとサポート。
まずはオンライン無料相談(30分)で、御社の状況を聞かせてください。
まとめ
コーポレートサイトのセキュリティで確認すべき4つのポイントを振り返ります。
- HTTPS化:「http://」のままのサイトは、情報漏えいリスクと検索順位の不利が重なる
- プラグイン・フレームワークの更新:古いバージョンは「既知の脆弱性」を攻撃者にさらしている
- DNSの自社管理:制作会社に丸投げすると、トラブル時に対応できなくなるリスクがある
- 集客設計の確認:保守費を払っても、検索対策なしではサイトは機能しない
「保守をお任せしているから大丈夫」と思っている方は、この機会に一度、委託している会社に「アップデートは月次で対応していますか?」「HTTPS対応は完了していますか?」と確認してみてください。
答えがあやふやな場合は、運用体制を見直すサインです。バクティーでは、こうしたIT運用の課題を整理するところから一緒に対応します。
Next Step
ITの課題、まずは無料でご相談ください
情シス代行・DX推進・CTO代行など、貴社の状況に合わせた最適なプランをご提案します。相談・見積もりは完全無料です。
✓ 押し売りなし ✓ 1営業日以内に連絡