Web制作会社向け

2026-07-16

保守契約にセキュリティ項目、入れていますか?

その保守契約、更新代行だけになっていないか

顧客に提供したWebサイトについて、自社が結んでいる保守契約の中身を、あらためて棚卸ししてみたことはあるでしょうか。CMSやプラグインの更新、バックアップの取得、月次レポートの送付。決まった作業を淡々とこなす契約になっていて、契約書に書かれた項目と実際にやっている作業が、長年変わっていないというケースは少なくありません。

それ自体は悪いことではありません。ただ、「更新代行」を中心に組んだ保守契約には、Webサーバーが攻撃を受けていないかという観点が抜けていることがあります。プラグインを最新に保つことと、Webサーバーへの不正アクセスに気づくことは、似ているようで別の作業です。

保守契約に一般的に含まれる項目

多くの保守契約には、次のような項目が含まれています。WordPress本体やプラグインのバージョンアップ、コンテンツの軽微な修正代行、定期的なバックアップの取得、表示速度やSSL証明書の状態確認、月次または四半期の稼働レポート。いずれも、Webサイトを長く安定して運用するために欠かせない作業です。

これらはいわば、「壊れていないか」「古くなっていないか」を確認するための項目です。一方で、「誰かが不正に侵入しようとしていないか」「すでに何かが変更されていないか」を継続的に見るための項目は、また別に用意する必要があります。

抜けがちな項目、それがセキュリティ監視

実際に見積書や契約書のひな形を確認すると、バックアップやプラグイン更新の項目はほぼ必ず入っている一方で、Webサーバーへの攻撃を継続的に監視する項目は入っていないことが目立ちます。SSL証明書の更新やウイルス対策は項目として意識されやすい一方、ログイン試行の急増や、ファイルの不審な書き換えといった兆候を捉える仕組みは、保守契約の対象外になっていることが多いのが実情です。

なぜセキュリティ監視は抜けやすいのか

理由の一つは、セキュリティ監視が自社にとって専門外の領域だという点です。デザインやコーディング、CMSの運用は得意でも、攻撃ログの解析や不正アクセスの判定にはまた別の知識が必要になります。

もう一つは、見積に乗せづらいという事情です。効果が目に見えにくい項目は価格に転嫁しづらく、他の作業項目の中に埋もれてしまいがちです。結果として、明示的な項目として契約書に残らないまま運用がスタートすることになります。

そして大きな理由は、事故が起きるまで必要性に気づきにくいという点です。改ざんや不正アクセスは静かに進行することが多く、実際に問題が表面化するまで、その欠落が意識されることはほとんどありません。これは怠慢というより、優先順位づけの難しさに起因する構造的な課題だと言えます。

対策が入っていないと、何が起きるか

Webサイトの改ざんや乗っ取りが起きたとき、クライアントが最初に確認するのは「対策をしていたかどうか」です。保守契約を結んでいたとしても、その中にセキュリティ監視の項目がなければ、「見ていなかった」という事実だけが残ります。

ここでの主旨は、何かを約束する話ではありません。事故を完全に防ぐ方法は存在しませんし、そう言い切ることもできません。ただ、監視をしていた記録があるかどうかは、事故が起きたあとの説明のしやすさに直結します。何も対応していなかったのか、監視をした上で対応していたのかは、クライアントから見て大きな違いです。

保守契約に足す、2つの考え方

Web制作会社として、セキュリティ監視を保守契約に組み込む方法は、大きく2つに分かれます。ひとつは、自社で監視体制を持つやり方です。ログ監視や攻撃対応の知識を社内に蓄積し、既存の保守メニューに組み込んでいく方向性です。

もうひとつは、専用のツールやサービスに任せる方法です。Webサーバーの監視・検知・対応を担うサービスを保守契約に組み合わせることで、専門知識を持つ担当者を新たに確保しなくても、セキュリティ監視の項目を保守メニューに追加できます。Scanrollのような、Webサーバーの監視を自動化するサービスも、その選択肢のひとつです。

どちらを選ぶにせよ、まずは自社の保守契約に何が含まれていて、何が含まれていないかを確認するところから始まります。

Scanrollなら、保守メニューにそのまま追加できます

対応内容を見る →