CMSにセキュリティ対策が求められる理由
CMSはWebサイトの構築・コンテンツ管理を容易にする反面、脆弱性が懸念されています。まずは、CMSのセキュリティ対策の必要性を解説します。
サイバー攻撃の標的となることが多い
CMSはサイバー攻撃の標的になりやすいシステムです。2020年12月時点で、Webサイトの61.5%はCMSが利用されており、セキュリティ上の脅威による被害が多く報告されています。
さらに、攻撃者は脆弱性があればどのようなサイトでも攻撃を仕掛けます。したがって、企業のサイトだけでなく、個人運営のサイトも被害にあう可能性もあるでしょう。また、CMSで構築されたWebサイトは顧客情報など価値があるものも多いため、標的にされやすくなっています。
CMSは導入企業も多く種類が豊富なため、CMSに特化したさまざまな手段で攻撃を仕掛けられているのが現状です。
参考:Historical trends in the usage of content management systems|Q-Success
Webサイトへのサイバー攻撃に備えて|JPCERT/CC
CMSの管理体制が不十分なことが多い
CMSが狙われやすい原因の1つとして、管理体制が不十分であることが挙げられます。世界的に人気のあるCMSの多くはオープンソースによるものであり、セキュリティ対策は個々で行わなければなりません。CMSは専門知識を持たずして手軽に利用できる分、すべての人が万全の対策をとれるとは限りません。そのため、管理が不十分となっている場合も多くあります。
特に個人で運営しているサイトはセキュリティ対策がされていないことも多く、攻撃の対象となる可能性もあるでしょう。
また拡張機能が充実しているオープンソースCMSは、拡張機能ごとにセキュリティ上の脆弱性があるためセキュリティパッチの適用を行う必要があります。しかし、そこまで管理の行き届いていない場合が多くあります。
CMSのセキュリティリスク
サイバー攻撃の被害にあったときに生じるCMSのセキュリティリスクについて具体的に解説します。
不正操作による誤情報発信や個人情報流出
もっとも大きな被害は「個人情報の流出」です。
ECサイトなどであれば個人情報もサーバ内に記録されている場合が多く、サイバー攻撃にあうとその情報が盗まれます。個人情報を流出させた場合、企業が被る損害賠償金額は数千万円以上にも及ぶといわれています。
個人情報を取り扱うサイトは、万全のセキュリティ対策をとり、責任を持って情報管理を行わなければなりません。
ウイルス感染やサービス停止の可能性
不正アクセスだけでなく、ウイルス感染の可能性もあります。HTMLの改ざんにより、ユーザーが運営者の意図しないWebサイトに飛ばされる危険や、ウイルスをばら撒かれる危険もあるでしょう。。
サイトがウイルスに感染した状態においては、ユーザーが正しいページにアクセスできなくなるだけでなく、ユーザーもウイルスに感染するかもしれません。二次感染を防ぐために、サービスの停止が避けられない状況になるでしょう。
サイト改ざん等による企業の信頼性低下
サイトの改ざんによって誤情報が発信され、取引先の企業やユーザーも被害を受けるケースがあります。結果として企業の信頼性を損なうことになるかもしれません。
近年ではサイトを改ざんする際「ランサムウェア」を仕込むケースが多発しています。ランサムウェアとはアクセス制御を行い、データなどを人質に身代金を要求する不正プログラムです。
このランサムウェアを仕込まれると、閲覧しているユーザーに被害が及びます。
CMSの種類ごとのセキュリティ課題
CMSの種類によっても、セキュリティの課題や対応方法が異なります。主な3つのCMSタイプごとに解説します。
オープンソース型
オープンソース型のCMSはソースコードが一般公開されており、攻撃者にとっても標的にされやすいのが特徴です。WordPressのように広く利用されているものが多く、十分なセキュリティ対策ができていない企業も多く見られます。
- ソースコードが公開されているため、攻撃者が脆弱性を見つけやすい。
- サードパーティ製プラグインの品質にばらつきがあり、セキュリティホールになる可能性がある。プラグイン同士の影響も考慮する必要がある。
- ユーザー自身が定期的なアップデートを行う必要があり、怠ると脆弱性が放置される。
インストール型
インストール型CMSは、企業や組織が自社のサーバにインストールして使用するタイプです。
- サーバのセキュリティ管理が自社の責任となり、適切な管理が行われないと脆弱性が生じる。
- 過度なカスタマイズがセキュリティホールを生む可能性がある。
- CMSと関連するソフトウェアのバージョン管理が複雑で、一部のアップデート漏れが脆弱性につながる。
クラウド型
クラウド型CMSは、サービス提供者のインフラ上で運用されるタイプです。
- 自社のデータが外部サーバに保存されるため、データの管理や法的コンプライアンスに関する問題が生じる可能性がある。
- 他の顧客と環境を共有することによる影響のリスクがある。
- ベンダーに依存することで、セキュリティ対策の柔軟性が制限される。
このように各タイプのCMSにはそれぞれ固有のセキュリティリスクがあります。CMSを選択する際は、これらのリスクを考慮し、自社のニーズと対応可否にあわせて適切な対策を講じましょう。
CMSのセキュリティ対策
ここからは、CMSに関するセキュリティ対策法を紹介します。CMSを狙った攻撃を防ぐために、効果的なセキュリティ対策を行いましょう。
最新バージョンにアップデート
CMSのセキュリティ対策の基本は、システムを常に最新バージョンにアップデートすることです。クラウド型CMSは運営元がアップデートをしますが、オープンソースやパッケージのCMSは自分で行わなくてはなりません。
特に、プラグイン(拡張機能)を複数使っている場合は、機能単位で最新版に更新することが求められます。古いバージョンにはセキュリティ上の脆弱性が発生し、攻撃に対する耐性がなくなるためです。最新版にアップデートすることでこの脆弱性をカバーできます。
CMSの脆弱性をカバーするWAFの導入
CMSを使ったWebサイトには、専用のWAF(Web Application Firewal)を導入するとよいでしょう。Webアプリケーションの脆弱性をカバーし、ファイアウォールなどで防御できない攻撃にも有効です。
セキュリティ対策に強みをもつCMSの導入や、WAFのような専門的な対策ができるツールを検討してみてください。
セキュリティに強いCMSの選び方
次に、セキュリティの観点からCMS選定時に考慮すべき主なポイントを挙げます。
定期的なアップデートはされているか
セキュリティに強いCMSは、定期的にアップデートが提供されています。アップデートの頻度や最新のセキュリティパッチの適用状況を確認しましょう。ベンダーが積極的にセキュリティ対策を行っているCMSを選ぶことで、新たな脆弱性にも速やかに対応できます。
セキュリティ機能の充実度はどれくらいか
CMSに標準で搭載されているセキュリティ機能を確認します。例えば、二段階認証・ログイン試行制限・SSL/TLS対応・ファイルアップロードの制限など、機能が充実しているCMSを選びましょう。これらの機能が標準で提供されていれば、追加のプラグインなしでも基本的なセキュリティを確保できます。
ベンダーやコミュニティのサポート状況はどうなっているか
特にオープンソースCMSの場合コミュニティが活発かどうかは見極めるべきポイントです。実際にセキュリティ上の問題が報告された際の対応速度や、コミュニティによるサポートの質を確認しましょう。大規模で活発なコミュニティがあるCMSは、脆弱性の早期発見や修正も期待できるでしょう。
権限管理の柔軟性はあるか
CMSを運用する際は、管理者側の権限設定も重要です。細かい権限設定が可能なCMSを選ぶことで、ユーザーごとにアクセス権限を適切に制御できます。これにより、内部からの不正アクセスや誤操作によるリスクを最小限に抑えられます。
以下の記事では、おすすめのCMSを機能や特徴から比較しています。製品選びの参考にしてください。
まとめ
CMSは会社のホームページや通販サイトなどで使われるため、企業にとって重要な役割を担います。
しかし、CMSで構築したサイトは、セキュリティ上の問題を抱えていることもあります。セキュリティリスクがあれば、サイバー攻撃によってサイト改ざんや情報漏えいなどの被害にあう可能性も否めません。
CMS導入時には、最新バージョンを使用したり、WAFを導入したりするなどセキュリティ対策も考慮し、安全に運営しましょう。
