小さな会社のサイトでも本当に狙われますか？

はい。Verizon 2025 DBIR では中小企業の侵害の 88% にランサムウェアが関与し、大企業の 39% を大きく上回りました。攻撃の多くは標的を選ばず自動化されており、規模の小ささは安全の理由になりません。

5 原則は何から手を付けるべきですか？

OWASP Top 10:2025 で 1 位のアクセス制御と 2 位の設定ミス対策が最優先です。次に依存関係（プラグイン・ライブラリ）の管理、その上で Strict CSP とセキュリティヘッダーという順で、土台から固めます。

X-Frame-Options はもう不要ですか？

新規実装では CSP の frame-ancestors ディレクティブを使うのが推奨で、X-Frame-Options は obsolete 扱いです。ただし古いブラウザとの互換のため、frame-ancestors と併記しても問題はありません。

IPA の資料は古くないですか？

IPA「安全なウェブサイトの作り方」は 2026 年現在も第 7 版（2015 年公開）が現行です。SQL インジェクションやアクセス制御欠落など基礎的な脆弱性の解説は今も有効で、毎年更新される「情報セキュリティ 10 大脅威」と併せて参照します。

セキュリティ対策は外注しないと無理ですか？

HTTPS の常時化や不要プラグインの削除など、運用者でもできる対策は多くあります。一方で CSP の設計やヘッダー構成は専門知識が要るため、初期構築時に制作者と一緒に決めておくのが現実的です。

Insight ／安全なサイト

中小企業 WEB セキュリティ 5 原則（2025 OWASP 準拠）

2026 年 5 月 14 日公開最終更新 2026 年 5 月 14 日読了目安 9 分

この記事の結論

中小企業の WEB セキュリティは、OWASP Top 10:2025 の上位から順に固めるのが合理的です。優先順位は ①アクセス制御 ②設定ミス対策 ③依存関係の管理 ④Strict CSP ⑤セキュリティヘッダー。高価なツールよりも、土台の徹底が効きます。

図 1：5 原則は OWASP Top 10:2025 の優先度に沿って、土台のアクセス制御から順に積み上げる。

1. なぜ「うちは小さいから」が通用しないのか

「うちのような小さい会社のサイトは狙われない」という前提は、実データと合いません。Verizon の 2025 年 DBIR（Data Breach Investigations Report）は、中小企業の侵害の 88% にランサムウェアが関与したと報告しています。大企業の 39% と比べると、その差は明らかです。

理由は単純で、現代の攻撃の多くは標的を一つずつ選びません。脆弱性を持つサイトを機械的に探し、見つけ次第攻撃する自動化されたものが大半です。サイトの規模ではなく「穴があるかどうか」だけが判定基準になります。

だからこそ、限られた予算でも「何から手を付けるか」を間違えないことが重要です。次章からの 5 原則は、OWASP Top 10:2025 の優先度と中小企業の現実を踏まえた順番で並べています。

2. 原則 1 — アクセス制御を最優先で固める

OWASP Top 10:2025 で 1 位は A01 Broken Access Control（アクセス制御の不備）です。2021 年版から続けて首位で、2025 年版では SSRF（サーバーサイドリクエストフォージェリ）もこのカテゴリに統合されました。

アクセス制御とは「誰が何を見て・操作できるか」の境界です。管理画面が推測しやすい URL で公開されている、ログインしていなくても他人の情報ページが開ける、といった状態がここに当たります。IPA「安全なウェブサイトの作り方」第 7 版も、アクセス制御の欠落を基礎的な脆弱性の一つとして挙げています。

中小企業サイトでの実務対策はシンプルです。管理画面へのアクセスを限定する、権限は「必要な人に必要な分だけ」与える、ログイン後の操作も毎回サーバー側で権限を確認する。新しいツールを買う前に、まずこの境界を引き直します。

3. 原則 2 — 設定ミスをなくす（2025 年版で 2 位）

A02 Security Misconfiguration（セキュリティ設定ミス）は、2021 年版の 5 位から 2025 年版で 2 位へ上昇しました。コードのバグではなく「設定の不備」で起きる侵害が、それだけ増えているということです。

典型例は、初期パスワードのまま運用している、不要な管理機能やデバッグ表示が公開されたまま、エラー画面にサーバー内部の情報が出ている、といったものです。どれも高度な攻撃技術を必要とせず、設定を直すだけで塞げます。

対策は「公開前チェックリスト」を持つことに尽きます。初期アカウントの無効化、不要機能の停止、エラー表示の抑制、HTTPS の常時化。一度作れば、サイト更新のたびに同じ基準で確認できます。

図 2：OWASP Top 10:2025 では設定ミスが 2 位に上昇し、依存関係はサプライチェーン障害として再定義された。

4. 原則 3 — 依存関係（プラグイン・ライブラリ）を管理する

OWASP Top 10:2025 では、旧「古い・脆弱なコンポーネント」が A03 Software Supply Chain Failures（ソフトウェアサプライチェーン障害）として再定義・拡張されました。自分で書いていない部品 — プラグイン、テーマ、外部ライブラリ — が侵入経路になるという考え方です。

WordPress を例にすると、その傾向は数字で見えます。Patchstack の 2025 年レポートによれば、WordPress エコシステムで報告された新規脆弱性 11,334 件のうち 91% がプラグイン、9% がテーマ、コア本体はわずか 6 件でした。リスクはほぼサードパーティ起因です。

対策は「入れすぎない・更新を怠らない・出所を確認する」の 3 つです。使っていないプラグインは削除する、更新は放置しない、有料だからといって安全とは限らないと知っておく。これは WordPress のセキュリティ記事でさらに具体的に扱います。

図 3：WordPress のリスクはコア本体ではなく、プラグインとテーマというサードパーティ部品に集中している。

5. 原則 4 — Strict CSP で XSS を抑える

CSP（Content Security Policy）は、ページが読み込んでよいスクリプトの出所を制限する仕組みです。XSS（クロスサイトスクリプティング）— 悪意あるスクリプトを他人のページで実行させる攻撃 — への中心的な防御になります。

かつて主流だった「許可ドメインのリスト方式」は回避策が多く、現在は推奨されません。web.dev は nonce ベースまたは hash ベースの script-src を使う Strict CSP を推奨しています。'strict-dynamic' を組み合わせると、信頼済みスクリプトが読み込む子スクリプトも安全に許可できます。

さらに require-trusted-types-for と trusted-types による Trusted Types で、DOM ベースの XSS も防げます。ただし 2025〜2026 年時点で Trusted Types をフル対応しているのは Chrome のみで、Firefox と Safari は未対応のため、ポリフィルの併用を前提に設計します。

6. 原則 5 — セキュリティヘッダーで保険をかける

セキュリティヘッダーは、ブラウザに「このサイトはこう扱ってほしい」と指示する設定です。2025 年に整えておきたいのは HSTS、CSP、X-Content-Type-Options、Referrer-Policy、Permissions-Policy、Cross-Origin 系といったヘッダー群です。

一点、誤解されやすい変更があります。クリックジャッキング対策の X-Frame-Options は、CSP の frame-ancestors ディレクティブにより obsolete 扱いになりました。新規実装では frame-ancestors を優先し、古いブラウザ互換のために X-Frame-Options を併記する形が無難です。

設定が正しいかは Mozilla HTTP Observatory や securityheaders.com で評価できます。「最初の構築時にまとめて入れて、評価ツールで確認する」のが、後から個別に足すよりはるかに楽です。

図 4：X-Frame-Options は obsolete 扱い。新規実装は CSP の frame-ancestors に寄せる。

【Top 5】中小企業がまず固める 5 原則

1. アクセス制御 — OWASP 1 位。管理画面と権限の境界を引き直す。
2. 設定ミス対策 — OWASP 2 位。公開前チェックリストで初期設定の穴を塞ぐ。
3. 依存関係の管理 — プラグイン・ライブラリは「入れすぎない・更新する・出所を確認」。
4. Strict CSP — nonce / hash ベースの script-src で XSS を抑える。
5. セキュリティヘッダー — HSTS・CSP・frame-ancestors 等を初期構築時にまとめて入れる。

この記事のページ自体も実演です。このページは HTTPS 常時化、Strict CSP（nonce / Trusted Types を含む）、各種セキュリティヘッダーを実装しています。T.C.HARTON は方法論ページで、自社サイトのセキュリティ実装内容を公開しています。

よくある質問

小さな会社のサイトでも本当に狙われますか？: はい。Verizon 2025 DBIR では中小企業の侵害の 88% にランサムウェアが関与し、大企業の 39% を大きく上回りました。攻撃の多くは標的を選ばず自動化されており、規模の小ささは安全の理由になりません。
5 原則は何から手を付けるべきですか？: OWASP Top 10:2025 で 1 位のアクセス制御と 2 位の設定ミス対策が最優先です。次に依存関係（プラグイン・ライブラリ）の管理、その上で Strict CSP とセキュリティヘッダーという順で、土台から固めます。
X-Frame-Options はもう不要ですか？: 新規実装では CSP の frame-ancestors ディレクティブを使うのが推奨で、X-Frame-Options は obsolete 扱いです。ただし古いブラウザとの互換のため、frame-ancestors と併記しても問題はありません。
IPA の資料は古くないですか？: IPA「安全なウェブサイトの作り方」は 2026 年現在も第 7 版（2015 年公開）が現行です。SQL インジェクションやアクセス制御欠落など基礎的な脆弱性の解説は今も有効で、毎年更新される「情報セキュリティ 10 大脅威」と併せて参照します。
セキュリティ対策は外注しないと無理ですか？: HTTPS の常時化や不要プラグインの削除など、運用者でもできる対策は多くあります。一方で CSP の設計やヘッダー構成は専門知識が要るため、初期構築時に制作者と一緒に決めておくのが現実的です。

出典

OWASP, OWASP Top 10:2025 — owasp.org/Top10/2025/
Verizon, 2025 Data Breach Investigations Report — verizon.com/business/resources/reports/dbir
Patchstack, State of WordPress Security in 2025 — patchstack.com/whitepaper/state-of-wordpress-security-in-2025
web.dev, Mitigate cross-site scripting (XSS) with a strict Content Security Policy — web.dev/articles/strict-csp
OWASP, OWASP Secure Headers Project — owasp.org/www-project-secure-headers
MDN Web Docs, X-Frame-Options — developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/X-Frame-Options
IPA, 安全なウェブサイトの作り方（第 7 版） — ipa.go.jp/security/vuln/websecurity/about.html

Free Diagnosis

あなたのサイトは 5 原則を満たしていますか？

無料診断では、現状サイトのセキュリティヘッダーや HTTPS 設定を機械検証し、5 原則のどこに穴があるかをお見せします。発注前に「成功の基準」を一緒に決めます。診断だけで終わっても費用は一切かかりません。

1 分で無料診断を申し込む