サイトの管理・運営を効率的に行えるなど便利なCMSですがセキュリティ対策が不十分な場合、サイバー攻撃を受ける可能性も。安全な運用を行うには、CMSのセキュリティリスクを理解し、十分な対策を講じることが求められます。
こちらの記事では、CMSのセキュリティリスクから、セキュリティ対策を怠ることで被る不利益、CMSのセキュリティ対策例などをご紹介します。これからCMSの選定をしている方に向けてセキュリティを重視したCMSを選定するためのポイントも掲載していますので、参考にしてみてください。
OUTLINE 読みたい項目からご覧いただけます。
CMSのセキュリティリスク
まずは、サイバー攻撃を受けた際に発生するCMSのセキュリティリスクについてご紹介します。
データベースの盗用、ウェブサイトの改ざん
ウェブアプリケーション上での対策に不足があると、攻撃者によってデータベースに保存されていたデータの取り出しをされたり、不正なデータの書き込みをされるといった被害を受けます。
これはSQL インジェクションと呼ばれる攻撃で、上記の被害のほか、情報漏洩が発生する可能性もあります。
WordPressの場合は導入したプラグインのアップデートをせず古いバージョンのままのサイトが脆弱性を突かれ、ウェブサイトが改ざんされ、悪意のある外部サイトへ誘導されるような状態になっていたケースもあります。
個人情報漏洩
問合せフォームの確認画面等で出力処理に問題がある場合、そのウェブページにスクリプト等を埋め込まれてしまう可能性があります。
この攻撃はクロスサイト・スクリプティング(XSS)攻撃と呼ばれています。この攻撃による影響はウェブサイトのページを閲覧しているユーザーにまで及ぶケースがあり、ユーザーのcookie情報や個人情報が漏洩するといった被害が発生する危険性があります。
管理者権限を奪われる、攻撃の踏み台にされる
バッファオーバーフローと呼ばれる攻撃をされると、ウェブサイトの管理者権限を奪われる、サイバー攻撃の踏み台にされるといった被害を受けます。
バッファオーバーフローは、コンピュータのメモリ領域内のバッファに許容量を超える大量のデータを送信する攻撃です。名前の通りバッファをオーバーフローさせることで、意図しない動作を引き起こすのが狙いです。
CMSの種類によるセキュリティリスクの違い
CMSの種類により、セキュリティリスクに違いがあります。これからCMSを導入される方は、それぞれのリスクを把握したうえで、対策をすることが必要です。
オープンソース型の場合
オープンソース型のCMSはソースコードが公開されており、誰でも閲覧・改変が可能です。そのため、悪意のある第三者がプログラムの脆弱性をついて攻撃するリスクが高いです。
また、機能拡張のために使用されるプラグインの中には脆弱性のほか、悪意のあるプログラムが仕組まれているケースもあります。実際に、 Security Affairs の調査では、数万件のWordPressのサイトの中に悪意のあるプラグインがあるということが報告されています。
このほかにも、オープンソース型として代表的なWordPressは、利用者が多いことからサイバー攻撃のターゲットにされやすいという問題点もあります。
ちなみに、現在WordPressを使用している場合は、以下の方法で簡単にセキュリティリスクの確認ができますので試してみてください。
【セキュリティリスクの確認の仕方】
自社サイトのドメイン後部に「/wp-login.php」を付けて検索。ブラウザでそのまま管理画面が表示されるようであればセキュリティ対策がなされていない可能性が高いです。
この他にも
WPScans.com
といったサイトなどでもセキュリティリスクの確認が簡単に行えます。
オンプレミス型の場合
オンプレミス型の場合、サーバーの脆弱性を放置していると不正アクセスをされたり、ランサムウェアの感染を招いてしまいます。安全な運用をするためにもセキュリティパッチを適用して最新の状態を保つことが重要です。
クラウド型の場合
クラウド型のCMSは、ベンダーによりしっかりとセキュリティ対策がされているので、オープンソース型に比べ、セキュリティリスクは低いといえます。
ただし、セキュリティリスクが全くないというわけではありません。セキュリティリスクの大きさはベンダーの対策内容によって左右されます。CMSを導入する前にベンダーが実施しているセキュリティ対策をチェックし、自社のセキュリティ要件を満たしているか確認しましょう。
中小企業もセキュリティ対策は必須
中小企業の場合、セキュリティ対策をしたくても以下のような課題があり、対策が進んでいないケースもあるのではないでしょうか。
- 情報セキュリティ人材の不足
- 社内で人材育成が進んでいない
- 情報セキュリティ人材が不足していることを認識していない
- セキュリティ対策に捻出できる費用がない
サイバー攻撃は企業規模問わず対策が必須です。IPA(独立行政法人 情報処理推進機構)の実証事業を通じて、中小企業は業種や規模を問わず不審な通信などの脅威にさらされている実態が明らかになっています。
【実証事業で明らかになった攻撃例】
- 千葉県にある59社のうち、不正侵入を約32%、悪意のあるウェブサイトへの接続を約88%の企業で検知
- 香川県にある16社のうち、DoS/DDoS攻撃を70%の企業で検知 など
上記のほかにもさまざまな攻撃が検知されています。所在地や業態を問わず、どの企業でもサイバー攻撃をされるリスクはあるのです。
セキュリティ対策を怠ることで被る不利益
セキュリティ対策を怠ることで、以下のような不利益を被ります。
金銭の損失
機密情報や個人情報を漏洩した場合、取引先や顧客などから損害賠償請求を受け、大きな経済的損失になります。
顧客の喪失
企業への管理責任が問われ、社会的評価の低下につながります。それに伴い、取引先からの受注停止や、事故を起こしていない競合への顧客流出が起こることも考えられます。
従業員への影響
情報漏洩などの事故によるイメージダウンを嫌がる社員が転職する、働くモチベーションが低下するなど、事業を支える人材面にも大きな影響があります。
参照元: 独立行政法人情報処理推進機構『中小企業の情報セキュリティ対策ガイドライン』第3.1版
このようにセキュリティ対策を怠ることで被る不利益は多方面に及びます。会社の存続にも関わりますので、しっかりと対策をすることが求められます。
CMSのセキュリティ対策の一例
CMSを導入している方や、これから導入を考えている方に向けてやっておくべきセキュリティ対策の一例をご紹介します。
CMSやプラグインを最新バージョンにアップデートする
CMSのセキュリティ対策の基本としてやっておきたいのが、システムを常に最新バージョンにアップデートすることです。CMSに脆弱性が見つかった場合、修正されたプログラムが配布されるので最新のバージョンにアップデートすることでセキュリティリスクを軽減することができます。
また、WordPressの場合、プラグインに脆弱性が見つかれば、使用の有無にかかわらずそこから攻撃を受ける可能性があります。導入したプラグインのアップデートや、使用していないプラグインを削除するといったことも運用しながら行う必要があります。
サイトをSSL化する
サイトをSSL化することでデータ通信を暗号化でき、セキュリティを強化することができます。
自社のサイトがSSL化されているかどうかはサイトのURLから確認可能です。URLの最初の部分が「http」ではなく「https」になっていればSSL化されています。
もし、SSL化されていなければ悪意のある第三者から個人情報を閲覧されたり、改ざんされるといったリスクがあります。
chromeやsafariなどのブラウザでは、「安全ではありません」という警告が表示され、不安に思うユーザーの離脱や、問い合わせ数の減少なども招いてしまうでしょう。
WAFを導入する
WAF(ワフ)とは、"Web Application Firewall”の略称で、SQL インジェクション攻撃、クロスサイト・スクリプティング(XSS)など、ウェブアプリケーションの脆弱性を狙った攻撃に対するセキュリティ対策です。
WAFの主な機能
・シグネチャ自動更新機能
最新の攻撃に対応できるようにシグネチャ(攻撃のパターン)を更新する
・不正な通信を検知・遮断
シグネチャをもとに攻撃かどうかを判断し、不審な通信の場合は遮断する
・IP機能制限
特定のIPアドレスからの通信をブロックする
・レポート・ログ機能
検知・遮断した攻撃を確認でき、対策を講じるための情報として活用できる など
サイトで個人情報などを扱う場合、攻撃による個人情報の流出を防ぐためにもWAFの導入を検討してみてください。
長く複雑なパスワードにする
総当たり攻撃によってパスワードを探り当てる「ブルートフォースアタック」と呼ばれる攻撃を防ぐためにパスワードは複雑なものを設定しましょう。
内閣サイバーセキュリティセンターでは、英大文字小文字・数字・記号を組み合わせた10桁のパスワードが推奨されています。
英大文字小文字・数字・記号(26種)=88種類の文字を使って10桁のパスワードを作ると組み合わせは約2785京個になります。1秒間に5回の総当たり攻撃をされても約2785京個の組み合わせを試すには、約1760億年かかる計算に。総当たり攻撃でパスワードを探り当てることは現実的に不可能といえるでしょう。
現在のパスワードが脆弱なものになっているなら、変更してセキュリティ対策を強化しましょう。
参照元: 内閣サイバーセキュリティセンター「インターネットの安全・安心ハンドブック Ver5.00 第6章」
セキュリティを重視したCMSを導入するなら
セキュリティを重視してCMSを選定するなら、比較検討時に以下の3項目をチェックしておきましょう。
第三者機関によるセキュリティ診断を行っているか確認
ベンダーから提供されているCMSを導入する場合、定期的に第三者機関のセキュリティ診断を行っているか確認するのがおすすめです。
そういった診断を受けていればベンダーのセキュリティ対策への意識が高いのはもちろん、製品自体も脆弱性に対する対策がされているといえます。導入後も安全に運用できるでしょう。
サポート体制が万全なのか確認
セキュリティ対策が標準実装されているかだけでなく、サポート体制が万全かどうかも確認してください。日常的な問い合わせなどへの体制が整っていると、すぐに不明点を解決でき、スムーズな運用がしやすいでしょう。
万が一、トラブルが発生した際の体制がどうなっているかも非常に重要です。被害拡大を防ぐ体制や復旧手順などが整っていればトラブル発生時に迅速かつ的確な対応が可能だと判断できます。
依頼対象の範囲を確認
WordPressの場合、脆弱性が発見された際に提案しているベンダーが情報をキャッチアップして対応してくれるのか、自社でキャッチアップしてベンダーに依頼する必要があるのか、そもそも脆弱性の対応は誰がどの責任の範囲で行うのか曖昧になるケースがあります。
あらかじめ依頼対象となる範囲や両社の役割を明確にすることが推奨されます。
セキュリティ重視でCMSを選ぶならサイトミライズがおすすめ
セキュリティ重視でCMSを選ぶなら、株式会社エートゥジェイが提供しているSiteMiraiZ(サイトミライズ)がおすすめです。
SiteMiraiZは、グループ会社である株式会社ecbeingが開発・販売している中堅大手向けECサイト構築パッケージ「ecbeing」のノウハウから生まれたCMSで、業界最高レベルのセキュリティを標準実装しているのが特徴です。
サイト構築実績は1,600超で、BtoB・BtoCを問わず多種多様な業種・業態のコーポレートサイト、ブランドサイト、採用サイトに利用されています。
SiteMiraiZ(サイトミライズ)の主なセキュリティ対策
- WAFやSQLインジェクション対策など強固なセキュリティ対策を標準実装
- 特定のIPアドレスからのみアクセスできるように制限
- 24時間365日有人監視し、インシデントの際にも迅速に対応
- ユーザーごとに編集権限の設定ができ、複数ユーザーでのサイト管理も安心 など
「WordPressなどのオープンソース型CMSを利用しており、脆弱性に不安がある」「セキュリティ対策が万全なCMSでウェブサイトを構築・運用したい」という方はSiteMiraiZ(サイトミライズ)の導入を検討してみてはいかがでしょうか。
まとめ
これまでサイバー攻撃が確認されていないからといってセキュリティ対策を後回しにしてはいけません。企業規模や業態を問わずサイバー攻撃を受ける可能性はあります。攻撃を受けた際に被る不利益は、企業の存続に関わるほど大きな打撃となるでしょう。
今回ご紹介したようにCMSにはセキュリティリスクがつきものです。より安全に運用するにはSiteMiraiZ(サイトミライズ)のような堅固なセキュリティをそなえたCMSを導入するのがおすすめです。
SiteMiraiZ(サイトミライズ)について詳しく知りたいという方は 「お問い合わせ」 からお気軽にご連絡ください。
もっと知りたい!
続けてお読みください