私たちは、セキュリティ侵害がもたらす悪影響についてよく知っています。直接的な影響に加えて、収益の減少、評判の低下、資産の消失、規制による罰金や訴訟、生産性の低下などがあります。しかし、サイバーセキュリティの向上がもたらすプラス面については、あまり語られていません。
消費者の期待が高まり、デジタル化がますます進む中、企業は単にセキュリティリスクを低減するだけではなく、考え方をシフトする必要があります。今、企業は、サイバーセキュリティに対してより積極的なアプローチをとることで、実際にどのように真のビジネス価値を提供できるかを検討する必要があります。
KPMG CyberのUSリーダーであるグレッグ・ベルは、サイバーセキュリティに対するアプローチをビジネスドライバーとして再構築することで、企業は新たなビジネスチャンスを生み出すことができると述べています。"あまりにも多くの業界で、情報セキュリティが、最適化すべきビジネス上の問題ではなく、最小化すべきテクノロジー上のリスクとして捉えられています」と述べています。 かつては単なるITの問題として認識されていたサイバーセキュリティが、適切に対処する企業には強力な競争力をもたらすという事実に、今、企業は目覚めつつあります。実際、高成長企業を対象としたある調査では、サイバーセキュリティを向上させることで、平均6.7の大きな財務的利益が得られると予想されています。
ここでは、Webサイトのセキュリティを最適化することで、競合他社に差をつけ、成長を促進するための4つの方法をご紹介します。

1.新規顧客の獲得と顧客ロイヤルティの向上

賢明な企業は今、強力なサイバーセキュリティとプライバシーをセールスポイントにしています。Vodafone社の調査によると、89％の企業が、強力なサイバーセキュリティが顧客のロイヤリティと信頼を高めると考えています。また、同じ割合の企業が、セキュリティは競争上の差別化要因であり、同じ保証を提供できない競合他社から顧客を獲得するのに役立つと考えています。

"今日のオンラインの世界では、信頼がビジネスの新しい通貨です。" アカマイ・テクノロジーズ、リージョナル・セールス・リーダー・ウェブ＆セキュリティ、ハンス・ニップシャゲン氏

あらゆる分野において、自社のサイバー・ヘルスに真剣に取り組むことは、新規および既存の顧客が自社と取引するための必須条件となりつつあります。IBMのHarris Pollによると、世界の消費者の60%が、サイバーセキュリティに対して、潜在的な戦争よりも懸念を抱いているとのことです。サイバーセキュリティが適切に行われれば、信頼を築き、顧客満足度を高め、新規顧客の獲得にもつながります。 一方、消費者は、セキュリティ侵害の被害を受けた企業との取引に関心がありません。KPMG社の調査によると、10人中8人の消費者が、ある自動車メーカーがハッキングを受けた場合、その自動車メーカーを警戒するか、二度と購入しないと回答しています。また、キャップジェミニ社の調査では、回答者の66％が、小売業者が情報漏えいに遭ったことをメディアで知った場合、取引を中止するか、大幅に減らすと回答しており、この点を裏付けています。消費者は、どんなに優れた製品であっても、自分たちのデータを守ってくれると信じられない企業からは買いたくないと考えていることは明らかです。 ブランド・ロイヤリティはもはや当てになりません。たった一度のセキュリティ侵害、個人情報の不適切な取り扱い、あるいは見過ごされていた脆弱性が後になって明るみに出ることで、よりセキュリティに精通した競合他社に目を向けるようになってしまうのです。しかし、サイバーセキュリティ機能の導入は、ほぼすべての企業にとって重要な成功指標である顧客満足度を向上させる力を持っています。Capgemini社のサイバーセキュリティに関する調査によると、小売業者がサイバーセキュリティとデータプライバシーの機能を導入した場合、顧客満足度の数は2倍以上になります。 収益機会の損失や顧客の維持を避けることは、優れたウェブサイトのセキュリティに投資する十分な理由となりますが、サイバーセキュリティに対する消費者の信頼が高まることで、安全な製品・サービスに対してより高い価格設定をすることができるという利点もあります。アメリカ人の40％は、既存のサービスから、サイバーセキュリティ対策が機能として提供されているサービスに乗り換えたいと考えています。さらに興味深いことに、4分の1以上（26％）の人が、そのようなサービスに対してより高い金額を支払うこともいとわないと回答しています。 どうすればいいのでしょうか？貴社のサイトが安全であると認識した消費者は、貴社と取引をする可能性が高くなります。そしてそれは、セキュリティに慎重な他の企業に対する競争上の優位性となります。Harris Pollの調査では、回答者の78％が、企業が自分のデータを秘密にしておく能力を「非常に重要」と答えています。それにもかかわらず、企業がデータのプライバシーを守ることを「完全に信頼している」と答えたのは、わずか20％でした。このギャップは、セキュリティに精通した企業が埋めるべきものだと思います。 現在、消費者の4分の3以上が、製品を選択する際にサイバーセキュリティをトップ3の要素として位置づけています。この感情を利用して、データ保護に対する強い姿勢をアピールしましょう。セキュリティに真剣に取り組んでいることを伝えるための効果的な方法には、以下のようなものがあります。

• サイバーセキュリティについて話す：消費者のプライバシーに関する懸念に対応し、個人情報がどのように使用されるかを説明し、そのデータをどのように保護するかを表明するなど、サイバーセキュリティ能力に関する会話を始めましょう。信頼がビジネスの中核となるブランド属性にならない理由はありません。
• サイバーセキュリティについて話す：消費者のプライバシーに関する懸念に対応し、個人情報がどのように使用されるかを説明し、そのデータをどのように保護するかを表明するなど、サイバーセキュリティ能力に関する会話を始めましょう。信頼がビジネスの中核となるブランド属性にならない理由はありません。
• ウェブサイトのHTTPS化（ハイパーテキスト・トランスファー・プロトコル・セキュア：これは、あなたのドメインが適切な認証局で認証されていることを証明するための措置です。
• サイトに視覚的なセキュリティの手がかりを加える：Baymard Instituteの調査によると、平均的なユーザーのサイトのセキュリティに対する認識は、その直感によって大きく左右されるといいます。そこで、信頼バッジ、安心感を与えるコピー、ビジュアルスタイリングなど、視覚的な「セキュリティの手がかり」となる要素を取り入れ、サイトのセキュリティに対する訪問者の認識を向上させましょう。

2. 常時接続可能なウェブサイトの提示

分散型サービス拒否（DDoS）攻撃は、ハッカーが感染したシステムの大規模なネットワークを利用して、企業のサーバーに悪意のあるトラフィックを殺到させます。これにより、標的となるWebサイトの速度が低下したり、クラッシュしたり、オフラインになったりします。また、DDoS攻撃はウェブサイトへの正規のアクセスを拒否するため、サイトが停止している間は企業の収益源が断たれてしまいます。 企業は、自社のサイトがこのような標的にされた場合に得られる利益を見逃すべきではありません。たった一度の攻撃でビジネスが停止し、その後数週間に渡って業務に支障をきたすことになります。この種のダウンタイムの平均コストは？Gartner社によると、1分あたり5,600ドルです。 IBMによると、ダウンタイムはビジネスの流れを乱すだけでなく、競争上の優位性を低下させます。「今日、デジタル・ビジネス・チャネルはより大きな市場シェアを占めており、収益創出を促進することができます。今日、デジタル・ビジネス・チャネルはより大きな市場シェアを占めており、収益を上げることができます。彼らはすぐにビジネスを放棄し、自分たちのニーズを満たすために競争力のある企業を利用します。" 最悪の場合、企業はDDoS攻撃によるダウンタイムと評判の低下に耐えられないかもしれません。中小企業の60%は、データ侵害を受けてから6ヶ月以内に事業を停止しています。 どうすればいいのでしょうか？サイバー脅威から自社を守るための対策を講じている企業は、攻撃による生産性への影響を軽減できる可能性が高くなります。適切な計画を立てれば、サイバー攻撃によるビジネスのダウンタイムを減らすことができます。また、侵害された競合他社よりも安全な代替手段を探しているお客様に、常にサイトを利用できるという利点をアピールすることができます。

• ウェブサイトを継続的にスキャンする：DDoS攻撃に関しては、「予防は治療に勝る」と言われます。WebアプリケーションやWebサイトを狙う攻撃の多くは、Webサイトに存在するパッチの当たっていない脆弱性を利用して行われます。マルウェア対策ソフトウェアを導入して脆弱性をスキャンし、予防することで、標的にされないようにしましょう。
• インシデントレスポンスとリカバリープランを作成する：サイバー攻撃を受けると、一刻を争います。明確なインシデント対応計画があれば、攻撃を受けた後にウェブサイトを効率的に復旧させるために必要なリソースとプロセスを確保することができます。

3.SEO効果を享受する

検索者を保護し、企業がウェブサイトのセキュリティを優先するように、Google を含む検索エンジンは、SEO のランキング要因の 1 つとして Hyper Text Transfer Protocol Secure (HTTPS) を挙げています。 HTTPS は、クレジットカード番号、パスワード、ユーザー名などの機密情報がサイトで処理されている間、それらの情報を暗号化する仕組みです。Googleは可能な限り、検索者をHTTPコンテンツではなく、HTTPSで認証されたコンテンツに送ります。実際、2018年以降、Google Chromeは、HTTPSを使用していないウェブサイトに安全でないというフラグを立てます。 Google社のウェブマスター・トレンド・アナリストであるGary Illyes氏は、2つの検索結果の品質シグナルが他の点で同等である場合、同社のHTTPSによるランキングアップがタイブレーカーの役割を果たす可能性があると述べている。つまり、HTTPSを持っているかどうかが、Googleの1ページ目に載るか2ページ目に載るかの分かれ目になるのです。言い換えれば、HTTPS を導入しないことは、ビジネス上好ましくないということである。 その上、ウェブサイトはマルウェアに感染しているという理由で、検索エンジンのブラックリストに載る可能性があります。つまり、視認性が低下し、オーガニックトラフィックが最大で95％も減少し、回復が困難になる可能性があります。 どうすればいいのでしょうか？セキュリティに配慮したSEO戦略を採用することで、検索競争で優位に立ち、SERPブラックリストの（永久的な）ダメージを回避することができます。

• Web サイトのすべてのページでSSL暗号化を有効にする。必要なページだけに HTTPS を導入する企業もありますが、検索エンジンは、サイト全体ではなく、ページごとに結果を提供します。個々のページが HTTPSで提供されていなければ、SSLの効果は得られません。
• ウェブサイトのプラグインを常に更新する。サイトがハックされて検索順位が下がる原因として、コンテンツマネジメントシステム（CMS）やプラグインが古くなっていることが挙げられます。Googleが推奨するサイトハックへの対処法は、そもそもハックされないようにすることです。つまり、マルウェアの警告によってサイト体験が台無しにならないように、脆弱性を検出してパッチを適用するスキャナーを継続的に使用してサイトを保護しましょう。また、アップデートやパッチを定期的にチェックしてインストールし、使用しなくなったプラグインを削除することも重要です。
• ウェブサイトのセキュリティ証明書の有効期限を注意深く追跡する。ウェブサイトのセキュリティ証明書の有効期限が切れていると、ページの順位が下がってしまいます。しかし、Ponemon Instituteの調査によると、71%の組織が自分のサイトにある証明書の数を実際に把握しておらず、55%が過去2年間だけで4つ以上の証明書の停止を経験しています。失効した証明書によるデータの暗号化解除を回避するには、期限切れを警告する自動証明書管理ソリューションを使用するのが一番です。

4.ビジネスパートナーのセキュリティ基準を設定し、それを満たす

セキュリティやプライバシーの保護に関心を持つのは、消費者だけではありません。パートナー、投資家、サプライヤーは、パートナーシップを結んだり契約を結んだりする前に、ウェブサイトのセキュリティ評価を確認することを求めるようになっています。ビジネスパートナーシップは、効果的な成長メカニズムであると同時に、第三者によるデータ漏洩の理想的な環境を提供するものでもあります。

Ponemon Instituteの会長兼創設者であるラリー・ポネモン博士は、"アウトソーシングされたテクノロジーサービスの爆発的な成長とサードパーティの増加を考慮すると、企業はサードパーティへの露出をコントロールし、脆弱性を低減するためのセーフガードとプロセスを導入する必要があります。" と述べています。

Security Magazineの調査では、ITプロフェッショナルの約半数（47％）がビジネスパートナーやサプライヤーのセキュリティに自信がないことを認めており、セキュリティ上の障害が発生した場合、86％がサプライヤーとの契約解除を検討すると回答していることから、強力なサイバーセキュリティポリシーとプロセスを持つ組織には競争上の優位性があります。このような基準を設けることで、一定のサイバーセキュリティを必要とする新規の有利な契約やパートナーシップに応募することができます。

当然のことながら、これらの基準は、組織がビジネスパートナーと取引する際にも適用されるべきです。ビジネスパートナーが安全でなければ、あなたも安全ではないということを忘れないでください。第三者がサイバーセキュリティのベストプラクティスに従わない場合、何が問題になるかを思い起こさせるのが、2017年にNetflixのポストプロダクションのビジネスパートナーを標的にして行われたランサムウェア攻撃です。これにより、ストリーミングサービスであるNetflixの「Orange is the New Black」の次期シリーズが、ハッカーによってオンラインで共有されることになりました。

どうすればいいのでしょうか？ビジネスパートナーのセキュリティ基準を満たし、管理するには、2つのアプローチが必要です。

• ビジネスパートナーのサイバーセキュリティのベストプラクティスを実施する。 パートナー候補、コンサルタント、代理店、サプライヤー、ベンダーのすべてについて、サイバー環境が健全であるかどうかを評価します。また、継続的なセキュリティレビューを実施し、新しく変化するセキュリティ要件を継続的に満たしているかどうかを確認する必要があります。
• 信頼できるビジネスパートナーとしての地位を確立する。企業のサイバーセキュリティポリシーを作成し、それを遵守することで、優れたサイバー衛生へのコミットメントを示します。また、機密データを保護するために行っている措置について、透明性を確保することも重要です。

Webサイトのセキュリティについて話してみませんか？

強力なサイバーセキュリティは、ビジネスの競争力を高め、最終的には長期的な存続を可能にします。経営者の69%が、サイバーセキュリティの主な目的を戦略的な優位性ではなく、リスクの軽減と考えていることから、改善の余地は大いにあると考えられます。サイバーセキュリティは巨大で複雑な分野ですが、自社のWebサイトの脆弱性について理解を深めることは、良いスタートとなるでしょう。