皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

サイバー攻撃、以前は大企業が中心であったのに対して最近では『中堅中小企業』がターゲットになっていると言われています。

それにはこんな理由があるようです。

ターゲットは中堅中小企業へ変化

昨今、『中堅中小企業』がターゲットになっているのは時代の変化が影響しているされています。

１．攻撃者の目的がお金に変化

２．仮想通貨の発展による『ばらまき型メール』の増加

３．攻撃失敗による攻撃先のシフト

この3つが影響しているようです。

そして、『中堅中小企業』には複数の弱点があるともいわれています。

１．セキュリティが脆弱

２．人間がセキュリティホール

３．攻撃に気づかない可能性が高い

４．セキュリティシステムが古い

５．物理セキュリティが存在しない

６．重要な資産が存在する

７．サプライチェーンリスク

確かにそうかもしれません。

大企業のようには投資できないでしょうし、十分な社内教育もできないことなどから必然的にそうなってしまいます。

何とか可能なことは行いたいものです。

そのラボにおける活動の第一弾として、『日本国内におけるWordPressセキュリティの現状』の分析レポートが公開されています。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書いたラボが公開した分析レポートにおいて、WordPressへの攻撃（検出箇所）として以下のものが最多として書かれていましたのでご紹介します。

WordPressへの攻撃で最多のものとは

WordPressへの攻撃（検出箇所）で検出が最も多かったものは、『xmlrpc.php』というものです。

『XML-RPC』というのは、遠隔での呼出しを行うプロトコルの一種で、WordPressで言えば、通常の管理画面以外からの投稿を可能にするものです。

WordPressの場合、スマホアプリなどのXML-RPCを使った更新にも対応しているため、xmlrpc.phpというファイルが用意されています。

これが使用可能になっているとどうなるのか？

xmlrpc.phpをターゲットとしたDDoS攻撃などの被害に遭う可能性があり、それを受けた際にはサーバが高負荷状態でパンクしてしまうことにもなります。

つまり、アクセスできない状態にされてしまう恐れがあるということです。

では、これを避けるための対策法はどのようにすれば良いのか？

xmlrpc.phpファイルへの攻撃の対処法

WordPress3.5未満においては管理画面の投稿設定にxmlrpcを無効にするチェックボックスがあったのですが、WordPress3.5以降のバージョンではそれがなく（現在の最新は4.9.4）、デフォルトで有効な状態にあります。

その場合、一番簡単な方法は『.htaccess』でxmlrpc.phpへのアクセスを禁止してしまう方法です。

<Files xmlrpc.php>

Order allow,deny
Deny from all
</files>

と、記述を追加すればOKです。

どうしても特定のIPアドレスからのみ許可をしたい場合、

<Files xmlrpc.php>

Order allow,deny
Deny from all
Allow from xxx.xxx.xxx.xxx
</files>

と、赤字の部分を加えればOKです。

これ以外に、多少サーバへの負荷が残るものを考慮したいのであれば以下の方法が良いです。

<IfModule mod_rewrite.c>

RewriteEngine On
RewriteBase /
RewriteRule ^xmlrpc\.php$ “http\:\/\/0\.0\.0\.0\/” [R=301,L]
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>

というように、WordPressで.htaccessに設定される記述に赤字の部分を追加し、xmlrpc.phpへのアクセスを0.0.0.0にリダイレクトさせてしまう方法もあります。

ちなみに、プラグインを使って無効化する方法もありますが、プラグインそのものに脆弱性が見つかることもあるためお勧めではありません。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

中小企業クラスの場合、取引先などとの兼ね合いの問題もあり、ある程度は情報セキュリティや個人情報保護といったことに無関心ではいられないようですが、零細企業、小規模事業者ともなると、情報セキュリティや個人情報保護といったことには非常に無関心であると感じます。

では、いったい何故そのような状態のままなのでしょうか？

どうせ何もない！という考え方

随分前の話しにはなりますが、士業の先生から驚くべき言葉を聞いたことがあります。

『小さなところなんてどうせ何もない。万が一それがあったとしても、大したお度が目はない。』

国家資格を所持した士業の先生ですら、こういった感じの方もおられます。

しかし、小さいから何も起きないわけではありません。

確かに、ターゲットとされやすいのは知名度のある大企業とは言えますが、問題が起きるのはターゲットとされた時ばかりではありません。

インターネット上に潜んでいるもの、メール経由で問題が起きるもの、踏み台とされるものなど、問題が起きてしまうケースは他にもたくさんあります。

そして、問題が起きてしまった場合、例えば個人情報が漏えいするようなことがあった場合にはどうなるのか？

個人情報取扱事業者としてペナルティを課せられることになります。

これは、5月に改正された個人情報保護法により、小規模事業者であっても適用されることになっています。

ただし、おそらく最初は改善命令という形に留まり、それにも違反した場合においては刑事罰ということになるでしょう。

※だからと言って、業務改善命令を受けた時に対処すれば良いということではありません。

しかし損害はこれだけではすみません。

顧客や取引先などからの信用を失うことになります。

このようなことにならないためにも、正しく認識し、最低限必要なことはモラルとして行うことが必要です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今日は、ウェブサイトなどへのサイバー攻撃による被害状況をお伝えします。

サイバー攻撃による被害の実態

ウェブサイトなどへのサイバー攻撃による被害の内訳として一番多いのは『情報漏えい』で、実に全体の70%を超える割合となっています。

これは、WordPressなどのCMS（コンテンツ・マネジメント・システム）の脆弱性やそこで使われるプラグインの脆弱性、Webアプリケーションの脆弱性を狙ったものなど、何らかの脆弱性を突かれたものです。

そして、被害状況として一番多い『情報漏えい』の中でも、業種的には『卸売り・小売り』、『情報通信サービスプロバイダ』が50%以上を占めており、個人情報を取り扱うことの多い業種にターゲットが設定されていることが多いようです。

他における被害の状況としては、

・Webの改ざん

・不正アクセス

・スパムメール送信

・不正ファイルの設置

・DDoS攻撃の踏み台

などがあります。

サイバー攻撃への対策

これらのサイバー攻撃への対策として、まずは情報に敏感になることです。

常に最新の情報を収集し、脆弱性があることがわかったら直ぐに対応を行うことが重要になってきます。

また、レンタルサーバにおいても、WAF（ウェブ・アプリケーション・ファイアウォール）などのオプション追加するなど、外部からの攻撃に備えた施策を施しておくことも重要と言えるでしょう。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

ウェブサイトの制作をする際、スマートフォンサイトまであった方が良いかどうかを悩む方がおられます。

内心は欲しいと思っているものの、スマートフォンサイトもとなると、コストがかなりアップすることから予算におさまらないからです。

自社や自店のターゲットが何で閲覧するか？

スマートフォンの所有率は、昨年の段階で70%を超えており、インターネットを閲覧するデバイスとしては、50%近くの人がスマートフォンで閲覧するという統計が出ています。

この数字を見ると、やはりスマートフォンサイトはあった方が良いと思えます。

確かにその通りで、あった方がいいか？と問われれば、あった方が良いという答えになります。

しかし、予算におさまらないものを無理に行ってしまうのもどうかと思います。

では、その場合どう考えるか？

自社や自店におけるユーザーとなり得る対象、つまりターゲットが何のデバイスを使って閲覧するか？で判断すれば良いです。

とりわけ、企業のホームページなどはパソコンで閲覧されることの方が未だ多く、ビジネスマンが外出先で閲覧すると言っても、それほど率が高いわけでもありません。

また、大企業の場合においては企業イメージがありますので、あまり必要性がなかったとしても時代の流れとして既に作られています。

一方、コンシューマーが対象となるお店などに関してはスマートフォンサイトは必須になってきていますが、それも業種や商材によって異なります。

このような場合、一度ウェブ制作業者や同業者などに聞いてみると良いです。

アクセス解析において、どのようなデバイスからのアクセスが多いのかを。

ただし、これは第一段階としてどうするか？の検討であって、いずれにしてもあった方が良いことには変わりはありませんので、ある程度は第二段階におけるスマートフォンサイト制作のことも考えておいた方が良いでしょう。

しかし、相応の成約が得られません。

いったい何故なのでしょうか？

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

よく耳にする話しとして、SEO対策にコストをかけているのに成約率が上がらないという話しがありますが、これは何が問題でうまくいかないのでしょうか？

順位を上げるためのSEO対策

まず、『SEO』というのは『Search Engine Optimization＝検索エンジン最適化』の略であることはご存知のとおりですが、この検索エンジン最適化のことを誤解している方が多く見受けられます。

読んで字のごとく、検索エンジン上での評価を最適化することでその検索上の高順位に表示させるためのものです。

従って、Google検索などにおいて1位に表示されているからといって必ずしも成約率が上がるというものでもありません。

ただし、2位、3位以下よりも多くの人を呼び込めることは事実ですし、そもそも検索結果の上位に表示されていないと見てもらうことすらできないことも事実です。

また、業者とユーザー間における会話において認識のギャップが生じている場合もあります。

成約率を上げるための改善策

検索結果で上位表示されているにも関わらず成約率が悪い場合はこのようなことが考えられます。

１．商材に問題がある

２．ターゲットと対策しているキーワードがマッチしていない

３．商品を購入してもらうまでの流れができていない

４．信用度にかけるウェブサイトである

５．etc…

では、これをどのように改善し、成約率アップにつなげていくかですが、単刀直入に言いますと、ウェブコンサルティングを受けてくださいということになります。

そこで提案されたようにウェブサイトを改善し、テストを何度か繰り返していくことが重要です。

これらのことを踏まえ、ウェブ業者に依頼する際には『集客や成約率アップにつながる策を実施したい』と言ってみてください。

そうすれば、検索結果の上位に表示されているか否かに関わらず、それにつながる提案が受けられるはずです。

ある意味間違っているように聞こえるかもしれませんが、SEO対策を行えば必ずしも成約率が上がるというわけではありません。

SEO対策にプラスαなものも必要なのです。

追伸：SEO対策＋成約率アップというものはそれほど安価なものではありません。

結構なコストがかかることが大半です。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

ネットショップサイトを構築する際にも方法としてはいくつかあるわけですが、あなたならどの方法を選択しますか？

ネットショップサイト構築の選択肢

ネットショップサイト構築を行おうとした場合には以下のような方法が考えられます。

１．業者に依頼してEC-CUBEなどのツールにて制作してもらう

２．業者に依頼してASPサービスにて制作してもらう

３．自社内でEC-CUBEなどのツールで制作する

４．自社内でASPサービスにて制作する

このような選択肢があるわけですが、この中で最も安価に制作できるのは３のパターンで、最もコストがかかるのは１や２のパターンです。

単純に、第三者に仕事を依頼すればコストはかかりますし、逆であれば自社内における労力の問題で済むという話しです。

（厳密には自社内においても人件費等がかかっていますのでそれだけではありません。）

EC-CUBEとASPサービスの違い

では、EC-CUBEなどのツールを使うのとASPサービスではどのような違いがあるのでしょうか？

EC-CUBEなどのツールの場合、業者もしくは自分でレンタルサーバに設置を行うことになるため、セキュリティの脆弱性などに関するバージョンアップに関しては随時行っていかなければならなく、バージョンアップに対するコストや労力がかかります。

それに対し、ASPサービスの場合においてはそれらの作業をASPサービスを提供している業者側にて行ってくれるためその分のコストがかかりません。

しかし、ASPサービスを選択した場合においては月々数千円以上のコストが制作費や労力とは別にかかります。

結果的にどれを選択すべきか

結果的にどれを選択すべきかとなると、それは運営する側の考え方の問題であるのと、どういった相手をターゲットとするのかにもよります。

例えば、多少ホームページ制作の知識があるスタッフがいて、EC-CUBEなどのツールの設置もそのスタッフができる。かつ、ネットショップ開設の目的が既存顧客の利便性を図るだけの目的であれば３のパターンでも問題ないと言えます。

しかし、大半の場合においてはなかなか自社にそのようなスタッフもいなく、ネットショップ開設の目的も新規顧客獲得を含めての話しになりますから自社内で構築してしまうのはなかなか難しいものがあります。

そこから考えると結果的には専門業者に任せることが適切な判断となるでしょう。

何を行うにしてもコストを抑えた形で行いたいという気持ちはわかりますが、中途半端なコストしかかけられずに行うのであれば後々後悔することにもつながってしまいます。

つまり、結果的にやらなければよかったということになってしまうということです。

1つは、『うちの様な小さな会社は攻撃するメリットがないから何も起きないよ。』という返事で、もう1つは、『うちの会社は情報セキュリティ対策はバッチリだよ。』という返事です。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

冒頭にお書きした経営者の返答はあなたならどのように思われますか？

この認識、どちらも非常に危険な認識です。

中小企業は踏み台にされる

まず、前者の認識に対する危険性ですが、知名度がさほどない中小企業はハッカーの攻撃対象とはならないという認識を捨てる必要性があります。

どのような企業規模であれ攻撃対象になり得るという認識を持ってください。

ハッカーは中小企業に何もしないわけではありません。

最終的なターゲットにたどり着く前の踏み台として中小企業を狙います。

ハッカーの目的がその中小企業そのものではなくても、その中小企業にはハッカーがターゲットにしている取引先情報が豊富に存在していることにあります。

情報セキュリティの落とし穴

次に後者に対してですが、ご存知の通り、情報セキュリティ対策に結構なコストをかけて投資している全国的に知名度のある組織であっても問題は起きています。

また、情報セキュリティ対策にも『バッチリ』といったパーフェクトなものなど存在しません。

あくまでもリスクを軽減するという確率論的な問題です。

こういった認識の持ち主に限って思わぬところに対策漏れがあり、そこから大きな事故につながってしまうこともあります。

まずは経営者が正しい認識を持ち、情報セキュリティに対して経営者主導で対策を行うようにするということを考えてみて下さい。

この時代において何も施していないというのは論外ですが、セキュリティは一概に何をするのが正しいという答えはありません。

それぞれの企業にあったセキュリティ対策があります。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

よく、『うちのような零細企業は狙われるはずがないから大丈夫ですよ！』と仰られる社長もおられますが、その考え方は間違っています。

ターゲットとなっているのは大企業や行政機関だけではありません。

ハッカーも中小・零細企業を狙う

メディアで報道される被害は行政機関や大手企業ばかりですが、実際のところは中小・零細企業が狙われるケースもあります。

ハッカーにはタイプがあり、自身を誇示するために大規模な組織を狙うケースとそうではないタイプが存在します。

後者の場合、いきなり大規模な組織を狙うには労力や時間などがかかるため、そこに関連する企業の一番ハードルの低いところから狙っていくケースがあります。

つまり、最終的には何らかの形で大規模組織にたどりつくようなケースにおいては小規模な零細企業もターゲットになるということです。

例えば、零細企業A社は中小企業B社と取引があり、中小企業B社は大企業C社と取引があるようなケースです。

これ、大半の零細企業が当てはまると言っても良いでしょう。

もちろん、途中に他の企業が存在しているケースもありますし、クライアントが個人を対象としているところであっても、仕入においてつながっていることもありますから。

上記のケースの場合、零細企業は踏み台として真っ先に攻撃を受ける可能性を秘めています。

情報資産などのリスク分析をする

セキュリティ対策は、○○をすれば絶対安全であるというものは存在しません。

過去にもあったように、DoD アメリカ国防総省もハッカーによる攻撃を受けます。

では、どういったセキュリティ対策をすれば良いのか？

これらに関しては、自社内における業務運用などを洗い出し、それに対して想定されるリスクにはどのようなものがあるのか？を洗い出すことと、自社内にてどれくらいの情報資産を抱え、それが被害にあった場合にどれくらいの対応コストがかかるのか？を洗い出します。

そして、洗い出しを行った結果から、行うべきセキュリティ対策にかかるコストと、被害にあった時の対応コストとを比較します。

その結果として、被害にあった時のコストがセキュリティ対策にかかるコストを上回るのであればそのセキュリティ対策は必須であると認識していただいた方が良いでしょう。

セキュリティ対策に関して小規模事業者が確保できる予算は多くはないですが、どうしても予算を確保できない部分においては運用形態などを見直すことも含めて検討しなければいけません。

皆さん、こんにちは。

業務コンサルタントの高橋です。

SNS（ソーシャル・ネットワーキング・サービス）の1つであるLINEは、今や学生や主婦層の間における伝達手段の1つとして広く活用されています。その裏返せば、ターゲットがそこにあるのであればLINEを宣伝媒体の1つとして活用することも1つの手段であると言えます。

LINEは多くの人にアナウンスできるツール

現在、LINEの国内登録ユーザー数は6,000万人近く、つまり、日本の人口の40%以上の人が登録をしており、その中でも実際に活用しているアクティブユーザーは60%を超えています。そして、普段友人・知人や学校の連絡網などで使われているLINEだけではなく、事業者でも使えるLINE＠というものがLINEには用意されています。これを使い、LINE＠に対して友達追加をしてくれている方に向けて情報を発信することができるのです。

集客にはアナログなチラシ

薬局やガソリンスタンドなどで『LINE＠はじめました！』などといったチラシが貼られているのを見たことはありませんか？LINE＠で情報を配信するにも、まずはLINE＠に友達追加をしてもらう必要性がありますが、それにはお店がLINE＠をやっていて、お得な情報が定期的にもらえることなどをアピールしたチラシなどが必要になります。もちろん、そのお店のホームページやブログなどがユーザーにいつも見てもらえているのであれば、そこでもアピールすれば良いでしょう。

定期的な情報配信でリピーターを獲得する

LINE＠を活用しているお店が狙うのは普通の商売と同じで、お客様にまた来店してもらうことです。そこでLINE＠を使い、友達追加をしてくれている方に対してお得なクーポンを配信したりします。全商品5%OFFのクーポンであったり、1つの購入商品のみ10%OFFのクーポンであったりさまざまですが、顧客からすればうれしい情報ですので、そのお店に再度来店してくれるきっかけになるというわけです。そして、お会計の時にスマートフォンでクーポンを提示することで割引が受けられるわけですから、それにはそのお店のLINE＠に友達登録するしかクーポンをゲットする方法はないことになります。

いかがでしょうか？LINEは個人と個人のコミュニケーションツールであるのみならず、お店とお客様をつなぐコミュニケーションツールとしても活用できるのです。