CMSのセキュリティ不足が招くリスク
CMSは専門知識不要で、Webサイトの構築や更新ができる便利なシステムです。しかし、十分なセキュリティ対策が行われていないと不正アクセスを招き、次のようなリスクが生じます。
- Webサイトの停止
- Webサイトの情報改ざん
- 情報漏えい
Webサイトの停止
不正アクセスによるウイルス感染などがあると、サイトが正常に稼働しなくなり、訪問者が違うサイトに遷移させられてしまうなどのエラーが発生します。
その状態で公開を続けると、サイト訪問者のデバイスがウイルスに感染したり、攻撃者が悪意のあるコードやリンクを他サイトに拡散したりする可能性があります。被害の拡大を防ぐためにも、問題が発生した時点でサービスの停止を検討しなければなりません。場合によっては調査と対策のため、サイトが長期間運営停止に追い込まれることもあり得ます。
Webサイトの情報改ざん
意図しないコンテンツの変更や悪意のあるファイルのアップロードなどが起きる可能性があることも、CMSのセキュリティ上のリスクです。
サイト内のコンテンツが改ざんされて偽の情報が掲載された結果、サイトを訪れたユーザーが悪意のあるサイトへ誘導されることもあります。誤情報の掲載は企業の信用問題に関わるため、十分に注意しなければなりません。
また、サイトの見た目は変わっていなくても、マルウェア(悪意のあるソフトウェア)を仕込まれ、知らないうちに訪問者のデバイスをウイルス感染させているケースもあります。
情報漏えい
企業が運用するCMSには、サイト上で問い合わせや会員登録、購入などを行った顧客の個人情報が保存されています。セキュリティ対策に不備があると、入力フォームの確認画面にスクリプトなどを埋め込まれたり、CMSの管理画面からデータベース上のデータを取り出されたりといった手口で、情報が漏えいする恐れがあります。
個人情報の漏えいは、企業の信頼を大きく損ないかねません。万が一、クレジットカード情報などが漏えいすれば顧客に金銭的な被害が発生することも考えられます。損害賠償に発展するケースもあるでしょう。
【種類別】CMSの脆弱性
CMSは、構築方法によって次の3種類に分けることができます。それぞれ、セキュリティ上の強み・弱みがあるため、ここで確認していきましょう。
オープンソース型
WordPressなどの無料で使えるオープンソース型CMSは、セキュリティに関するリスクが特に多く指摘されています。主な理由は、次の3つです。
- オープンソースのため悪用されやすい
- 攻撃者にとって開発リターンが大きい
- 膨大な数のプラグインが攻撃のきっかけとなりうる
オープンソースのため悪用されやすい
オープンソース型のCMSは、誰でも仕様変更が行えるように、ソースコードが一般公開されています。利用者がニーズに合わせてプログラムを変更できる点がオープンソース型の大きなメリットですが、悪用もできてしまう点がデメリットといえます。
ソースコードが公開されているため、システムの脆弱性を発見しやすく、悪意のある利用者によってサイバー攻撃が行われているのが現状です。
攻撃者にとって開発リターンが大きい
オープンソース型のCMSは利用者が多いことから、サイバー攻撃による利益が得やすいという側面もあります。そのため、悪意のある攻撃者に狙われやすくなります。十分なセキュリティ対策を施さないと、サイバー攻撃によるリスクがさらに高まるでしょう。
膨大な数のプラグインが攻撃のきっかけとなりうる
オープンソース型のCMSは、「プラグイン」と呼ばれる拡張機能を利用して、必要な機能を追加して利用するのが一般的です。
ソースが公開されていることで、企業から個人まで、さまざまな開発者が便利なプラグインを提供していますが、プラグイン経由でサイバー攻撃が行われるリスクもあります。
このように、オープンソース型のCMSは、ソースコードが一般公開されていることによって、セキュリティリスクが高まりやすいという特徴があります。運用にあたっては、ITの専門知識を持った人材による保守管理が欠かせません。
オンプレミス型
オンプレミス型は、自社独自でサーバーを設置してWebサイトを構築するタイプのCMSです。
外部から独立した環境でシステムを構築することになるため、適切なセキュリティ対策を施すことで、サイバー攻撃や情報漏えいのリスクを最小限に抑えられます。
機密情報を扱うケースなど厳格なセキュリティ対策が求められるケースでは、オンプレミス型が適しているでしょう。
サイバー攻撃の手法ハッキング手法は日々進化しているため、サーバーの脆弱性を放置すると、不正アクセスやランサムウェアのリスクが高まります。安全な運用のためには、継続的なセキュリティアップデートで、最新の状態を保つことが重要です。
クラウド型
クラウド型CMSは、サービス提供元であるベンダーがセキュリティ対策を行います。自社に専門知識を持った人材がいない場合も、一定レベルのセキュリティ体制が構築できるのがメリットです。
ただし、どのようなセキュリティ対策を行っているかはベンダーによって異なるため、導入実績や具体的なセキュリティ対策を確認したうえで、信頼できるところを選ぶことが重要です。
CMSのセキュリティ対策
ここでは、CMSの導入時や運用時に知っておきたいセキュリティ対策の具体的な手法を紹介します。
- 脆弱性診断
- セキュリティの高いパスワード設定
- Basic認証
- CMSのバージョンアップ
- セキュリティプラグインの導入
- プラグインの定期的なメンテナンス
- PHPの更新
- SSLの導入
- WAFの利用
- 海外IPの遮断
- VPNの導入
脆弱性診断
脆弱性診断とは、ネットワークやOSなどに問題がないかどうかを定期的に調査することで、脆弱性の発見につながります。脆弱性が見つかった場合は、都度対策を行うことでセキュリティレベルが維持され、問題を未然に防げます。
セキュリティの高いパスワード設定
ログインなどに使用するパスワードを強固なものにすることも、セキュリティを高めることにつながります。チームでパスワードを共有する際は、管理にも十分注意しましょう。
Basic認証のセット
Basic(ベーシック)認証とは、Webサイトにアクセス制限をかける仕組みのことです。簡易的なセキュリティ対策ですが、CMSへのログインとあわせることで二重にパスワードを設定できます。
CMSのバージョンアップ
CMSは、定期的に最新版がリリースされます。最新版には脆弱性に対する修正が含まれていることもあるため、CMSのバージョンは常に最新の状態に保っておくことが重要です。
セキュリティプラグインの導入
WordPressなどのオープンソース型CMSでは、セキュリティ対策を強化するためのプラグインも提供されています。そのようなプラグインの導入により、セキュリティリスクを下げることにつながります。
プラグインの定期的なメンテナンス
プラグインは定期的に見直しを行い、更新が止まっているものは削除するなど、こまめに整理しましょう。それにより、プラグイン経由によるサイバー攻撃のリスクを下げることができます。
PHPの更新
PHPとは、プログラミング言語の一種であり、オープンソース型のCMSとして知名度が高いWordPressにもPHPが使用されています。プログラミング言語もセキュリティ対策を含む更新が行われるため、常に最新版へのアップデートが必要です。
SSLの導入
Webサイトと訪問ユーザーとの間に発生する通信を暗号化するSSLの導入は、セキュリティ対策において必須の項目です。SSLが導入されていないと、Google で検索結果に表示されてもセキュリティ上の警告が出るなど、SEOにも大きな影響があります。SSLが導入されていれば、URLの先頭に「s」が付いて「https」になります。
WAFの利用
WAF(Web Application Firewall)とは、通信を監視し、Webアプリケーションの脆弱性を突いた通信があった場合にそれを遮断するシステムです。通常とは異なる通信が行われた際に、悪意がある第三者による攻撃の可能性があると判断し、Webサイトを保護します。
すでにインターネット上に公開されているWebサイトを保護するには、WAFが特に強力だといわれています。
海外IPの遮断
海外からの不正アクセスが懸念される場合には、サーバーにて海外IPからのアクセスを遮断できます。
ただし、本来はWebサイトにアクセスできるはずのユーザーが、誤作動によってアクセスできなくなるなどの挙動も報告されているため、注意が必要です。
VPNの導入
VPN(Virtual Private Network:仮想プライベートネットワーク)とは、インターネット回線内に特定のユーザーしか使用できないネットワークを構築する技術・サービスです。VPNを介した通信は暗号化され、第三者から読み取れなくなります。VPNを介したアクセスを徹底することで、セキュリティレベルを高められます。
セキュリティレベルが高いCMSの選び方
オンプレミス型であれば自社独自のセキュリティ要件を設定可能ですが、クラウド型のCMSを利用する場合は、ベンダーのセキュリティ対策を確認しておくことが重要です。
セキュリティに強いCMSを選ぶことで、クラウド型の利点を活かしながら、セキュリティ対策不足が招くリスクを回避できます。ここでは、セキュリティレベルが高いCMSの選び方を解説します。
アップデートが定期的に行われているか
プログラムの更新が滞っていると脆弱性が放置される危険性が高まります。そのため、アップデートが定期的に行われているかどうかは、CMSを選ぶ基準の一つになります。最新版のセキュリティパッチの適用状況とアップデートの頻度を確認しましょう。
細かな権限設定が可能か
CMSには、部門を越えて複数のユーザーがアクセスするため、関係者による情報漏えいのリスクがあることも考慮しなければなりません。コンテンツ編集や公開などの操作を行うための権限を細かく設定することで、情報漏えいのリスクを低減することが可能です。CMSの選択時には、希望通りのセキュリティレベルを実現できるかどうかや、細かな権限管理が可能かどうかも確認しましょう。
セキュリティ対策の機能が豊富か
標準的に次のような機能が備わっているCMSは、追加プラグインなしで基本的なセキュリティレベルを確保できます。
これらの機能は意図しないアクセスやデータ漏えいを防ぐ手助けになります。充実したセキュリティ機能が標準搭載されているCMSを選びましょう。
サポートが充実しているか
サイバー攻撃は常に進化しているため、完全な対処は難しいといえます。そのため、万が一問題が起こった際に、ベンダーやコミュニティでどのようなサポートが受けられるかを確認しておくことも重要です。
活発なサポート情報やフォーラムがあると、問題解決がスムーズです。特に大規模なコミュニティがあるCMSは、脆弱性の早期発見が期待できます。迅速なサポート体制が整っているかどうかを見極め、コミュニティが活発に機能しているCMSを選びましょう。
CMSのセキュリティ対策で安全な運用を目指そう
CMSツールは便利なツールですが、サイバー攻撃を受けやすいのも事実です。そのため、プログラムを常に最新の状態に保ち、高機能なセキュリティプラグインを入れるなどの対策が必要になります。
より高度なセキュリティ対策を行うためには、ITの専門知識が必要となり、構築にコストがかかることもあります。コストを抑えながらもセキュリティ対策を重視するなら、クラウド型のCMSがおすすめです。
HubSpotでは、データのセキュリティやプライバシー、管理・統制に対する包括的な取り組みによって、データの安全性を確保するセキュリティインフラストラクチャーを各製品に実装しています。CMSを導入の際は、世界135か国以上で24万8,000社以上の導入実績があるHubSpotが提供するContent Hubを、ぜひご検討ください。基本的な機能が使用できる無料プランもご用意しています。
