ホームページのセキュリティ対策は、専門部署がある会社だけの話ではありません。問い合わせフォーム、採用フォーム、WordPressの管理画面、ドメイン、サーバー契約がある時点で、中小企業でも守るべき入口はすでに複数あります。
ただし、最初から高度な診断や高額なツールに進む必要はありません。
まずは、ログイン情報、更新、入口の防御、バックアップ、診断範囲の5つを棚卸しすると、自社で直す部分と外部へ任せる部分が見えてきます。
要点セキュリティ対策は5項目を表にすることから始める
中小企業のホームページでは、まず管理者権限、更新状況、SSL/WAF、バックアップ、診断範囲を確認してください。
この5項目が見えると、月額保守の中身、管理会社への質問、追加費用の優先順位まで整理できます。
ホームページのセキュリティ対策は攻撃ゼロではなく復旧まで決めること
ホームページのセキュリティ対策で最初に決めるべきことは、攻撃を完全にゼロにする方法ではありません。
実務では、攻撃を受けにくくし、異常に気づき、戻せる状態を作ることが中心です。
IPAは中小企業向けガイドライン第4.0版で、情報セキュリティを経営者の認識と社内での実践手順に分けて整理しています。
2026年6月1日の最終更新では、バックアップやウェブサイトの安全運用も、最初に取り組む項目として強く扱う改訂です。
出典: IPA「中小企業の情報セキュリティ対策ガイドライン」
つまり、セキュリティ対策は「詳しい人が全部やるもの」ではなく、経営側が何を守り、どこまで外部へ任せるかを決める管理課題です。
ドメインやサーバーの契約情報が曖昧な会社は、先にホームページのドメイン管理で確認すべき項目を整理しておくと、後の対策が進めやすくなります。
注意小さい会社だから狙われないとは言い切れない
攻撃者は会社規模だけを見ているわけではありません。古いCMS、弱いパスワード、放置されたフォーム、委託先経由の入口など、入りやすい場所を探します。
中小企業が最低限やるべきホームページのセキュリティ対策5つ
中小企業が最初に見るべきホームページのセキュリティ対策は、権限、更新、防御、復旧、診断の5つです。
ここを飛ばしてツールだけ導入しても、管理者権限が残っていたり、バックアップから戻せなかったりすると事故対応で詰まります。
- ログイン情報と権限管理
管理者を必要最小限にし、退職者や旧制作会社のアカウントを停止する - CMS、テーマ、プラグイン、PHPの更新
更新前のバックアップと表示確認を前提に、古い状態を放置しない - SSL、WAF、サーバー側の防御
通信の保護、攻撃通信の遮断、ログイン試行制限を確認する - バックアップと復旧手順
保存場所、保存世代、復元担当者、復元費用を確認する - 脆弱性診断と改ざん検知
フォームや会員機能がある場合は、診断対象と監視方法を決める
IPAの「安全なウェブサイトの作り方」では、SQLインジェクション、クロスサイトスクリプティング、CSRF、アクセス制御や認可制御の欠落など、Webアプリケーションで注意すべき脆弱性が整理されています。
専門用語は難しく見えますが、実務上はフォーム、ログイン、権限、入力値の扱いに問題がないかを確認する話です。
最低限5項目の確認表
| 確認項目 | 見る場所 | 判断の目安 |
|---|---|---|
| 権限 | CMS サーバー | 管理者は最小限 |
| 更新 | CMS テーマ | 放置なし |
| 防御 | SSL WAF | 有効化済み |
| 復旧 | バックアップ | 戻せる手順あり |
| 診断 | フォーム 会員機能 | 範囲を決める |
この表は、Web担当者がいない会社ほど役に立つ実務ツールです。
担当者不在の運用体制そのものを整える場合は、Web担当者がいない中小企業のサイト運営ルールもあわせて読むと、社内窓口と外部実務者の分け方が整理しやすくなります。
実務完璧な診断より先に管理表を作る
最初の1週間でやるべきことは、難しい診断ではなく、誰が何を管理しているかを表にすることです。管理表がないまま診断を頼むと、対象範囲や復旧責任が曖昧になります。
WordPressサイトで見落としやすい乗っ取り対策
WordPressを使っている場合、ホームページのセキュリティ対策は管理画面だけで完結しません。
本体、テーマ、プラグイン、サーバー、SFTP、データベース、ファイル権限まで、入口が複数あるためです。
WordPress公式のHardening WordPressでは、最新版への更新、強いパスワード、2段階認証、SFTP、ファイル権限、バックアップなどが扱われています。
WordPressを使っていないサイトでも、「管理画面だけでなく契約とサーバーも見る」という考え方は同じで、CMSだけを見て終わらせないことが重要です。
出典: WordPress.org「Hardening WordPress」(英語)
WordPressで確認する場所
| 場所 | 確認すること | 放置時のリスク |
|---|---|---|
| ユーザー | 管理者 退職者 | 不正ログイン |
| 更新 | 本体 テーマ プラグイン | 既知脆弱性 |
| サーバー | PHP SFTP | 侵入口の拡大 |
| ファイル | 権限 不要ファイル | 改ざん |
| 復旧 | バックアップ 検証 | 戻せない |
特に多いのは、退職者、前制作会社、外部スタッフの管理者アカウントが残っている状態です。
権限が残っているだけで直ちに事故になるとは限りませんが、使っていない入口が残るほど、後から原因を追いにくくなります。
WordPress保守をどこまで自動化できるかは、更新通知や簡易チェックだけで判断しないほうが安全です。
AIや自動化の使いどころは、WordPress保守をAIで自動化する場合の限界でも整理しています。
回避更新を怖がって何年も止めない
更新で表示崩れが起きる可能性はあります。だからこそ、更新しないのではなく、バックアップ、検証、復元手順を先に決めてから更新する順番が必要です。
ホームページのセキュリティ対策の費用目安は3層で考える
ホームページのセキュリティ対策の費用目安は、無料で確認できるもの、月額で守るもの、診断で確認するものに分けると判断しやすくなります。
いきなり月額サービスを足すより、既存サーバーで使える機能を確認するほうが無駄がありません。
費用を3層で分ける表
| 層 | 主な対策 | 費用の見方 |
|---|---|---|
| 無料 標準 | SSL ログイン制限 自動バックアップ | 契約内で確認 |
| 月額 | WAF 改ざん検知 監視 | 公開価格例を確認 |
| 診断 | 脆弱性診断 フォーム確認 再診断 | 範囲で見積 |
公開価格例として、攻撃遮断くんではWebセキュリティタイプNeoが月額約1万円から、DDoSセキュリティタイプNeoが月額約1.5万円から、サーバーセキュリティタイプが月額約4万円からとされています。
Web改ざん検知オプションは月額約2,000円からの公開価格例がありますが、これは特定サービスの料金であり一般相場ではありません。
出典: 攻撃遮断くん「料金プラン」
脆弱性診断の費用は、対象URL数、フォーム数、ログイン有無、手動診断の有無、報告書と再診断の範囲で変わります。
そのため、「診断一式はいくらか」ではなく「どこまで診断するか」を先に決めることが、見積もり比較の土台です。
保守費用でも同じ考え方です。
月額の安さだけで判断すると、バックアップ、復旧、緊急対応、更新作業、診断が別料金になり、結果的に事故時の総額が読めなくなることがあります。費用の見方は、HP保守費用が高すぎると感じたときのチェックポイントでも詳しく扱いました。
メモ費用比較では、同じ費目集合で比べることが重要です。WAFありの月額と、更新だけの月額を横並びにしても判断材料になりません。
AI脆弱性スキャンや自動診断は補助として使う
AI脆弱性スキャンや自動診断は、ホームページのセキュリティ対策で役に立つ場面があります。
ただし、AIスキャンだけで安全性を保証するとは書けません。自動診断は入口の切り分けであり、修正と再確認まで含めて対策になります。
自動化で見つけやすいのは、既知の脆弱性、設定ミス、SSLの不備、公開されている不要ファイル、基本的なフォームの問題などです。
一方で、業務フローに依存する権限不備や、会員ごとの表示制御は、機械だけでは判断が難しい場合があります。
自動診断と人の確認を分ける表
| 確認方法 | 向いている対象 | 注意点 |
|---|---|---|
| 自動診断 | 既知脆弱性 設定ミス | 誤検知あり |
| AI補助 | ログ整理 優先順位 | 断定しない |
| 専門家確認 | フォーム 会員機能 | 範囲を決める |
| 再診断 | 修正後 | 直ったか確認 |
実務では、診断、修正、再確認を分けて考えるのが安全です。
診断結果が出ても、誰が修正するか、修正後にどう確認するかが決まっていなければ、レポートだけが残って対策は止まります。
注意診断結果をそのまま社内で放置しない
自動診断レポートは、対応優先度を決める材料です。高リスク、フォーム関連、管理画面関連から順に、対応者と期限を決めてください。
ホームページ管理会社に確認すべき質問
ホームページ管理会社に任せている場合でも、社内側が何もしなくてよいわけではありません。
管理会社へ確認すべきなのは、保守していますかという曖昧な質問ではなく、契約に含まれる作業範囲です。
- 更新は本体、テーマ、プラグイン、PHPのどこまで含まれますか
- バックアップは何世代あり、誰が復元しますか
- WAFや改ざん検知は設定済みですか、ログは見ていますか
- 緊急時は何時間以内に一次返信がありますか
- 脆弱性診断は保守範囲に含まれますか、別見積ですか
管理会社を変える可能性がある場合は、契約前に権限と引継ぎ資料を確認してください。
引継ぎ前に契約を終えると復旧時に詰まるため、進め方はホームページ管理会社を変更するときの引継ぎ手順で詳しく整理しています。
また、ドメインの更新期限が近い、支払者が前任者のまま、管理画面の通知先が不明という状態は、セキュリティ以前に運用上の事故につながります。
更新漏れを防ぐ観点では、ドメインの有効期限管理を怠らないための実務チェックも確認しておくと安心です。
警告所有者権限を外部だけに預けない
外部パートナーへ作業権限を渡すことはあります。しかし、ドメイン、サーバー、CMS、Search Consoleの所有者権限を社内で把握できない状態は危険です。契約名義と所有者権限は社内でも確認できる状態にしてください。
セキュリティ対策を後回しにすると起きる影響
セキュリティ対策を後回しにした影響は、サイト停止だけではありません。
改ざん、不正リダイレクト、問い合わせ停止、広告審査への影響、検索評価の低下、採用応募の取りこぼしなど、売上や信用に近い場所へ波及します。
IPAの情報セキュリティ10大脅威2026では、組織向けの脅威としてランサム攻撃、サプライチェーンや委託先を狙った攻撃、AI利用をめぐるサイバーリスク、システム脆弱性を悪用した攻撃などが挙げられています。
ホームページ単体の話に見えても、取引先、委託先、採用候補者から見た信用に関わるため、放置は避けるべきです。
とはいえ、恐怖で判断する必要はありません。
自社で守る情報、外部へ任せる作業、事故時に戻す手順を分ければ、少人数の会社でも現実的に対策できます。ホームページ全体の保守や改善範囲を整理したい場合は、株式会社ノーサイドのサービス領域も参考にしてください。
補足社内説明では損害額より復旧時間を先に話す
損害額を無理に断定するより、問い合わせが止まる時間、復旧に必要な担当者、取引先への説明を示すほうが、社内合意は取りやすくなります。
ホームページのセキュリティ対策でよくある質問
Qホームページのセキュリティ対策は何から始めればいいですか?
Aホームページのセキュリティ対策は、ログイン情報、更新状況、SSL/WAF、バックアップ、診断範囲の5点から始めるのが現実的です。
QSSL化していればセキュリティ対策は十分ですか?
ASSL化は通信を守る対策であり、管理画面の乗っ取り、古いプラグイン、改ざん、バックアップ不備までは防げません。
QWordPressサイトで一番注意すべきことは何ですか?
AWordPressサイトでは、本体・テーマ・プラグインの更新、管理者権限の最小化、強いパスワードと2段階認証が重要です。
QWAFを入れれば脆弱性診断は不要ですか?
AWAFは攻撃通信を減らす対策であり、サイト内に脆弱性がないことを証明するものではありません。
Qホームページのセキュリティ対策の費用目安はいくらですか?
Aホームページのセキュリティ対策の費用目安は、無料で確認できる標準機能、月額約1万円からの公開価格例があるWAF、範囲で変わる診断費用に分けて考えます。
QAI脆弱性スキャンだけで十分ですか?
AAI脆弱性スキャンは初期切り分けや継続監視の補助にはなりますが、重要なフォームや会員機能は専門家確認も併用します。
Qホームページ管理会社には何を確認すればいいですか?
Aホームページ管理会社には、更新、バックアップ、WAF、改ざん検知、復旧、緊急対応、脆弱性診断のどこまでが契約に含まれるかを確認します。
まとめ: まず5項目を表にして、足りない部分だけ外部へ任せる
ホームページのセキュリティ対策とは、権限・更新・防御・復旧・診断を分けて、事故を防ぎ戻せる状態を作るプロセスである
最初にやることは、難しい専門用語を覚えることではありません。
管理者権限、更新状況、SSL/WAF、バックアップ、診断範囲を表にして、できていない項目だけ順番に埋めることです。
自社でできることは、契約情報の棚卸し、不要アカウントの停止、更新前バックアップ、フォームの受信確認です。
外部へ任せるべきことは、脆弱性診断、復旧設計、WAF設定、改ざん調査、複雑なWordPress保守など、失敗時の影響が大きい作業に絞ります。
社内だけで判断しきれない場合は、いきなり大きな契約をするより、現在の管理状況を1枚の表にして相談するほうが話が早くなります。
株式会社ノーサイドでも、ホームページ保守、管理会社の切り替え、WordPress運用、Webマーケティングまで含めて、必要な範囲を整理する支援が可能です。