セキュリティチェックリスト

見出し

1 セキュリティチェックリスト

セキュリティ対策は、知識を増やすだけでは不十分です。実際には、パスワード、二段階認証、バックアップ、更新、メール確認手順、初動対応フローなど、日常運用の中でどこまで整っているかを点検する必要があります。特に中小企業や少人数のWeb運営では、何から見直せばよいか分からないまま後回しになりやすい項目が多くあります。

IPAの中小企業の情報セキュリティ対策ガイドラインでも、経営者の認識と実務の点検を分けて進める重要性が示されています。この記事では、ハブ記事や関連4記事を読んだあとに、今の自社で何ができていて、何が不足しているかを確認できるよう、実務向けのチェックリストとして整理します。

サイバー攻撃の全体像を先に把握したい場合は、「サイバー攻撃の種類と対策」を参照したうえで、このチェックリストに戻ってくると点検しやすくなります。

セキュリティチェックリストが必要な理由

サイバー攻撃は、フィッシング、怪しいURL、不正アクセス、Web改ざんなど、入り口だけを見ると別の問題に見えます。しかし実際には、被害が起きやすい組織には共通点があります。パスワードが弱い、二段階認証がない、更新が止まっている、バックアップが戻せない、異変時の連絡先が決まっていない、といった基本項目が未整備なことです。

そのため、対策を進めるときは個別の攻撃だけを追うより、共通する土台を点検した方が効率的です。このチェックリストは、経営者、Web制作・運用担当、初学者のいずれでも使えるよう、共通項目を中心に構成しています。

まず押さえたい共通の基本項目

難易度: やさしい。まずはここから確認すると、他の対策も進めやすくなります。

□ 管理画面、メール、クラウド、サーバーのパスワードを使い回していない → 詳しくは「パスワード管理と二段階認証」で確認
□ 主要アカウントで二段階認証を有効にしている → 詳しくは「パスワード管理と二段階認証」で確認
□ WordPress、EC-Cube、プラグイン、テーマ、周辺ソフトの更新担当が決まっている
□ 退職者や不要な外部委託先アカウントを停止している
□ 管理者権限を必要最小限に絞っている
□ バックアップの取得先、取得頻度、復元手順を把握している
□ バックアップから実際に復元できるか確認したことがある
□ 端末やサーバーの資産一覧を把握している

ここが未整備だと、どの攻撃に対しても被害が広がりやすくなります。特にパスワード管理と二段階認証は、比較的短期間で改善しやすく、効果も大きい項目です。未対応の場合、パスワード使い回しは最も多い侵入原因の一つです。更新や権限整理は地味ですが、不正アクセスや改ざんの入口を減らす基本になります。

メール・URLまわりの確認項目

難易度: やさしい〜標準。フィッシングや怪しいURL対策に直結する項目です。

□ 不審メールを見つけたときに、クリックせず報告する手順が共有されている → 詳しくは「フィッシング詐欺の手口と見分け方」
□ 本人確認、請求、配送通知などを装うメールに注意するよう周知している → 詳しくは「フィッシング詐欺の手口と見分け方」
□ メール本文ではなく、送信元アドレスや要求内容を確認する習慣がある → 詳しくは「フィッシング詐欺の手口と見分け方」
□ URLはブランド名ではなく登録ドメインで確認する運用になっている → 詳しくは「怪しいURLの見分け方」
□ 短縮URLや見慣れないドメインを安易に開かないルールがある → 詳しくは「怪しいURLの見分け方」
□ ログインやカード入力は、本文リンクではなく公式アプリやブックマークから入り直す運用になっている → 詳しくは「怪しいURLの見分け方」

この領域が弱いと、フィッシングや怪しいURLを入口に認証情報を奪われやすくなります。未対応の場合、1通のメールや1本のURLから被害が始まる可能性があります。見分け方を詳しく確認したい場合は、「フィッシング詐欺の手口と見分け方」「怪しいURLの見分け方」をあわせて確認すると、実際の判断精度が上がります。

Webサイト・EC運用の確認項目

難易度: 標準。Web運営者が優先して点検したい項目です。

□ WordPress や EC-Cube の管理画面 URL と管理権限者を把握している → 詳しくは「WordPress改ざんの手口と復旧」「EC-Cube改ざんの手口と復旧」
□ 不要なプラグイン、テーマ、拡張機能を削除している → 詳しくは「WordPress改ざんの手口と復旧」「EC-Cube改ざんの手口と復旧」
□ 管理画面の利用者ごとに個別アカウントを使っている
□ サーバー、FTP、SSH、管理画面の資格情報を共有メモのまま放置していない
□ 改ざん時に確認すべきログやバックアップの場所を把握している → 詳しくは「WordPress改ざんの手口と復旧」「EC-Cube改ざんの手口と復旧」
□ 検索結果の汚染、見覚えのないリダイレクト、管理画面異常に気づける体制がある
□ 外部委託先との役割分担と緊急連絡先が整理されている

Web運営では、攻撃を完全に防ぐことだけでなく、異常に早く気づけるかも重要です。特に改ざんは、見た目の崩れよりも、第三者サイトへの誘導やフィッシングの踏み台化として表れることがあります。未対応の場合、気づかないまま検索汚染や誘導被害が続くことがあります。サイト運用の観点を深めたい場合は、「WordPress改ざんの手口と復旧」「EC-Cube改ざんの手口と復旧」もあわせて確認すると効果的です。

発覚時の備えに関する確認項目

難易度: 標準〜重要。被害を広げないための備えを確認します。

□ 不正アクセスや改ざんが疑われたときの社内連絡先が決まっている → 詳しくは「不正アクセス発覚時の初動対応」
□ 誰が第一報を受け、誰が判断するかを決めている → 詳しくは「不正アクセス発覚時の初動対応」
□ 時刻、画面キャプチャ、URL、ログなどを記録する意識が共有されている → 詳しくは「不正アクセス発覚時の初動対応」
□ 安易な削除や再起動を避けるべきことが周知されている → 詳しくは「不正アクセス発覚時の初動対応」
□ 外部委託先、保守会社、決済代行会社などの緊急連絡先を整理している
公的な相談窓口として IPA 情報セキュリティ安心相談窓口などを把握している

この項目は、攻撃を防ぐためというより、被害を広げないための準備です。未対応の場合、発覚後の30分で判断が止まりやすく、被害把握も遅れます。初動は発生してから考えるのでは遅く、事前に決めておくべき運用の1つです。詳しい流れは、「不正アクセス発覚時の初動対応」で確認できます。

立場別に優先して見直したい項目

経営に関わる方は、全項目の中でも「誰が判断するか」「バックアップが戻せるか」「緊急時の連絡先が整理されているか」を優先して確認してください。被害後の意思決定が遅れると、技術的な問題以上に事業影響が大きくなります。

Web制作・運用担当の方は、更新、権限管理、ログ確認、改ざん検知、委託先との役割分担を優先して見直すのが有効です。運用上の抜け漏れが、改ざんや不正アクセスの入口になりやすいためです。

初めてセキュリティを見直す方は、パスワード、二段階認証、不審メール、怪しいURL、バックアップの5点から始めると負担が少なくなります。すべてを一度に完璧にするより、優先度の高い項目から確実に進める方が現実的です。

メールの見分け方を確認したい場合: フィッシング詐欺の手口と見分け方
URL確認を深めたい場合: 怪しいURLの見分け方
発覚後の行動を確認したい場合: 不正アクセス発覚時の初動対応

まとめ

セキュリティ対策は、特定の攻撃だけを知るよりも、共通する基本項目を継続的に点検する方が効果的です。パスワード、二段階認証、更新、バックアップ、メール確認手順、初動対応フローといった土台が整っていれば、被害の入口も広がり方も抑えやすくなります。自社だけで点検や優先順位付けが難しい場合は、外部の専門家への相談も選択肢になります。

この記事の執筆・監修について

本記事は、サイバーセキュリティメディアCCSI編集部が執筆・監修しています。当メディアでは、フィッシング検証、不正アクセス、公表インシデント、Web改ざんの事例確認を通じて、実務で不足しやすい対策項目を継続的に整理しています。本記事では、IPAのガイドラインも踏まえつつ、先行4記事の出口として使いやすい形に再構成しました。