コーポレートサイトやオウンドメディアなど複数のWebサイトを運用するのが当たり前になった昨今、セキュリティ管理の重要性は日に日に大きくなっている。セキュリティリスクに対し予算や人的リソースを割く企業も増えているにもかかわらず、サイバー攻撃による被害は後を絶たない。
特に海外、国内問わず最大シェアを誇るCMSのWordPressは無料かつ便利で使いやすいと同時に、セキュリティ保守を怠ると脆弱性を悪用した犯罪に狙われやすいCMSともいえる。内製・外部委託問わずセキュリティ人材の確保が急務だといわれているが、現実はどうなのだろうか。
今回は、実際にWebサイトを運営している企業の担当者125名を対象にアンケート調査を行った。
アンケート回答期間:2024/2/15~2024/2/16
アンケート機関:ECマーケティング株式会社
アンケート方法:インターネット調査
WordPressの使用状況・用途
Q1:サイト運用業務におけるWordPressの使用状況を教えてください。(単一選択)
Webサイト運用担当者のうち92.0%はWordPressの使用経験があると回答。現在WordPressを利用している担当者は「1年未満」が全体の16.8%、「1年以上」が56.0%と、ある程度の期間WordPressの運用に携わってきた担当者が多い結果となった。
Q2:WordPressを導入していたサイトの用途を教えて下さい。(複数選択)
※「WordPressを利用したことがある」と回答した方への質問
WordPressを使ったサイトの用途として最も多かったのは「コーポレートサイト」46.1%、次いで「ブランドサイト」が41.7%。やはり会社や自社商品の基本情報を掲載するWebサイトをWordPressで制作している企業は多いようだ。
採用サイトやサービスサイトのページ制作にWordPressを利用しているケースも多くみられる。
サイトセキュリティの状況把握
Q3:WordPressのバージョン情報を把握していましたか。(単一選択)
※「WordPressを利用したことがある」と回答した方への質問
78.3%の参加者が「WordPressのバージョン情報を把握している」と回答。WordPressにおけるバージョン管理の必要性を認識している担当者は多いということだろう。
Q4:WordPressの保守で実施したことがあるものを教えて下さい。(複数選択)
※「WordPressを利用したことがある」と回答した方への質問
全体の50.4%が保守の一環としてWordPressのコアアップデートを実施したことがあると回答。しかし、コアアップデート以外は一気に50%未満にとどまった。
Q5:サイト運用におけるセキュリティリスクについて、自身は正しく認識していると思いますか?(単一選択)
サイト運用におけるセキュリティリスクについて正しく認識していると思うか聞いたところ、33.6%は「そう思う」、44.0%が「どちらかといえばそう思う」と回答。合計で77.6%、およそ8割のWeb担当者がサイト運用に関わるリスクをしっかり認識していると捉えているようだ。
Q6:次の単語を知っていますか?「死活監視」「サプライチェーン攻撃」「マルウェア」「ランサムウェア」「フィッシング」「DDoS」(単一選択)
前項の質問で「セキュリティリスクを認識している」と回答したのは全体のおよそ8割であると述べたが、具体的なセキュリティ用語すべてを知っている人は41.6%とその半数程度にとどまっている。
また、すべての単語について「完璧に説明できる」と回答したのは全体のわずか15.2%。リスクの認識に対する自己評価が高いわりに、リスクの詳細までは知らないというのが現実のようだ。
セキュリティ対策の実施状況
Q7:運用サイトのセキュリティ対策について、あてはまるものを答えてください。(単一選択)
「全て社内で管理している」が32.0%で、「部分的に外部委託している」が46.4%。多くの企業が自社でセキュリティ対策を行っているものの、外部に委託している企業も少なくない。
「部分的に」もしくは「全て」外部委託していると答えた企業は全体のおよそ6割。半数以上の企業が内部の運用担当者とは別に外部委託でセキュリティ対策を行っていることが分かる。
また、「セキュリティ対策をしていない」「わからない」と回答した企業は8%いることが判明した。サイトの運営者でありながらセキュリティ対策においては、関与していない担当者も一定数いるようだ。
Q8:運用サイトにおけるセキュリティ対策は万全だと思いますか?(単一選択)
運用サイトにおけるセキュリティ対策は万全だと思うか聞いたところ、23.7%が「万全だと思う」、51.7%が「どちらかといえば万全だと思う」と回答。合わせて75.4%の担当者が自社のセキュリティ対策状況に自信を持っているようだ。
Q9:運用サイトで実施しているセキュリティ対策を教えて下さい。(複数選択)
自社サイトで行っているセキュリティ対策として一番多かったのが「定期バックアップ」63.5%。サイト運用には必須の保守作業だが、自社では管理せず外注しているケースやリソース不足で作業に手が回っていない企業が多いのかもしれない。
Q10:あなたの勤め先はサイバー被害に備えた保険に加入していますか。(単一選択)
サイバー被害に備えた保険に加入していると回答した参加者は60.0%。セキュリティ対策としてサイバー保険に入るという選択肢は一般的になりつつあるようだ。
WordPressのアップデートについて
Q11:運用サイトに導入しているツール・システムのバージョン情報や、アップデート時に想定される影響など把握できていますか。(単一選択)
バージョン情報やアップデート時の影響の把握を「完全にできている」と回答した人は21.6%。次いで「どちらかといえばできている」と答えたWEB担当者は55.2%と半数以上に上っており、アップデートの影響を把握している担当者はかなり多いことがわかる。
一方、全体の約4分の1にあたる23.2%のWEB担当者は「どちらかというと(把握)できていない」「(把握)できていない」と回答している。状況を把握せず運用しているケースも一定数あるようだ。
Q12「表示崩れ」や「不具合」を理由にシステムやプラグインのアップデートを後回しにした経験はありますか?(単一選択)
アップデートを放置した経験が「かなりある」「おそらくある」と回答したのは合計で77.6%。
前項で述べたアップデート時の影響に関する意識の高さから鑑みると、バージョンによる影響をある程度理解していても、更新に手が回っていない企業も少なからずあると思われる。
セキュリティ対策の予算について
Q13:サイト運用予算におけるセキュリティ維持費用(月額換算)を教えてください。(単一選択)
サイト運用予算におけるセキュリティ維持費用について聞いたところ、20.8%は5万円以下、29.6%が6万円~10万円と回答。月額10万円以下に収まっている企業が半数以上、その他の企業のうち33.6%は月額11万円~50万円の費用を投じている点も興味深い。
Q14:運用サイトのセキュリティ対策予算はここ数年間で変化しましたか。(単一選択)
運用サイトのセキュリティ対策予算について聞いたところ、15.2%が「増えた」、40.0%が「どちらかといえば増えた」と回答した。半数以上の企業において予算増加があったと答えていることから、企業としてセキュリティリスクへの意識は高まっていると推測される。
Q15:運用サイトのセキュリティ対策予算は足りていると思いますか?(単一選択)
サイトのセキュリティ対策予算について、「足りていると思う」と回答した参加者は28.0%、「どちらかといえば足りていると思う」と回答した参加者は47.7%。予算の増加に伴い、現状で十分と考える担当者が多いようだ。
セキュリティ被害に関する意識
Q16:セキュリティ被害について「うちは大丈夫」と他人事に思った経験はありますか。(単一選択)
セキュリティ被害について「うちは大丈夫」と他人事に思った経験はあるか聞いたところ、「ある」と答えた人は40.0%、「どちらかといえばある」と答えた人は31.2%。合わせて71.2%のWeb担当者がサイバー被害を他人事に思った経験があることが分かった。
Q17:ウェブサイトの不正アクセスや情報漏洩、個人情報の流出などのニュースを耳にしたとき自社の対策状況を不安に思いますか。(単一選択)
不正アクセスや情報漏洩、個人情報の流出などのニュースを耳にしたとき自社の対策状況を不安に思うか聞いたところ、32.0%が「そう思う」、58.4%が「どちらかといえばそう思う」と回答した。他人事に思う経験もある一方、他社のニュースを見て危機意識を抱く担当者も多いようだ。
Q18:もし運用サイトがセキュリティ被害に遭った場合、心配することは何ですか。(複数選択)
もしサイトがセキュリティ被害に遭ったら心配することは何か聞いたところ、最も多かったのは「サイト利用者への影響」53.6%だった。
ほか選択した参加者が多かったのは「取引先への影響」36.8%、「個人情報の流出」35.2%、「ネットでの炎上」「損害賠償」33.6%など。一方、「人材の流出」「従業員からの訴訟」など、社内への影響を不安視する担当者はかなり少ない傾向だ。
サイバー攻撃に関する状況
Q19:これまで運用サイトがセキュリティ被害に遭ったことはありますか。(単一選択)
過去に運用サイトがセキュリティ被害に遭ったことがあると回答したのは全体の52.8%。半数以上の企業がこれまでにサイバー攻撃の被害に遭った経験があることが分かった。
Q20:具体的にどのような被害に遭いましたか。(複数選択)
※Q19で「被害に遭ったことがある」と回答した方への質問
実際に受けた被害のうち最も多かったのは「サイトの改ざん」53.0%。次いで「不正アクセス」「ランサムウェア被害」が47.0%で同率2位、4位は「情報漏洩」40.9%と続く。
回答結果から、一度攻撃に遭うと複数の被害を受けやすいことが分かる。
セキュリティに関する社内状況
Q21:運用サイトがサイバー被害に遭った場合の対応マニュアルの構築や周知はできていますか?(単一選択)
62.4%の担当者が対応マニュアルの構築・周知をしていると回答。社内のセキュリティ体制が整っている企業は多い傾向だ。
Q22:社内にセキュリティ関連の知識・技術をもった人材はいますか。(単一選択)
68.6%の回答者が「社内にセキュリティ関連の知識・技術をもった人材がいる」と回答。およそ7割の企業では社内にセキュリティの知識を有した人材がいるようだ。
Q23:セキュリティに関して困ったときに相談できるパートナー企業はいますか。(単一選択)
※前項で「社内に人材がいない」と回答した方への質問
68.0%の回答者が「社内にセキュリティ関連の知識・技術をもった人材がいる」と回答。
一方、社内に人材が「いない」と回答した担当者のうち、54.5%が社外においても相談できる企業がいないと回答。いざ困った時にセキュリティ対応できるリソースがない状態でサイトを運用している企業が一定数いるという実態が浮き彫りとなった。
Q24:社内でセキュリティ関連に強い人材の育成は行っていますか。(単一選択)
社内でセキュリティ人材の育成を行っていると回答した参加者は63.2%。およそ6割の企業でセキュリティ人材の育成が進められているようだ。
また、前項の「社内にセキュリティ人材がいるか」への回答と併せて集計した結果、以下のようになった。
既に社内に人材を持っている企業はさらに育成を行っており、人材がいない企業は育成もしていないという二極化が進んでいることが分かる。
Q25:セキュリティ対策における社内の理解度・意識についてどう感じますか。(単一選択)
セキュリティ対策における社内の理解度、意識について聞いたところ、「高いと思う」「どちらかといえば高いと思う」と回答した担当者は合計25.6%。
「どちらかといえば低いと思う」「低いと思う」と回答した担当者は69.6%と過半数を超えた。
サイト運営者のセキュリティ意識はあっても従業員間の意識はまだまだ低いと感じる現実が垣間見えた。
最後に、セキュリティ以外も含めサイト運営全般に対する担当者の悩みを質問した。
サイト運用における悩み
Q26:サイト運用業務で困ることはありますか。(複数選択)
サイト運用業務で困っていることとして最も多かったのは「予算が足りない」40.8%、次いで「自分自身・社内のスキル不足」「社内の理解が足りない」36.8%という結果だった。
上位にあがった項目から、「自分自身・社内のスキル不足」「現状の課題が分からない」「効果的な改善ポイントが分からない」などのスキル不足・アドバイザー不足に悩みを抱える担当者も多いことが伺える。
ここで前項の質問にあったセキュリティ対策の運用状況別に悩みを集計したところ傾向に差が見られた。
セキュリティ対策を自社で行っている企業のうち52.5%が「自分自身・社内のスキル不足」に困っていると回答。予算は足りているものの人材が不足している状況が伺える。
一方、「部分的」もしくは「全て」外部委託でセキュリティ対策を行っている企業は48.0%が「予算が足りない」と回答。また、「効果的な改善ポイントが分からない」37.3%、「現状の課題がわからない」36.0%と、リテラシーに悩む傾向も強いようだ。
調査まとめ
・71.2%のサイト運用者がセキュリティ被害を「他人事に思ったことがある」と回答
・52.8%がWebサイトのセキュリティ被害に遭ったと回答
今回の調査でWebサイトがセキュリティ被害に遭った経験を持つ担当者が過半数を超えていた。その一方、「(被害を)他人事に思ったことがある」「保守の内容や予算を把握していない」など、Web担当者の把握が不十分であること、知識不足が散見する場面もあった。
ここから推測されることは、運営担当者の業務がコンテンツ更新作業や集客効果の測定がメインでセキュリティ対策は二の次になっていることだ。
それゆえ、運営はするがセキュリティ対策は責任対象外という担当者が多いように感じられた。
セキュリティ対策や保守に関して外部委託しているケースや、複数部署で共同管理している企業でも、運営担当者が自社の状況を把握しておくことは重要である。「誰かがやっているだろう」という油断がセキュリティの穴となり、被害を生み出すことを忘れずに運用してほしい。
ECマーケティングのWordPress保守サービス
調査を通じ、セキュリティ対策や保守作業が十分にできていない企業が多いことが分かりました。
また、いざというときに頼れる人材、パートナー企業がいない状態で運用している企業も一定数見られました。
ECマーケティングの「WordPress丸ごとおまかせ(保守)サービス」は低コストで健全なWebサイト運用をサポートしています。