4社に1社が未対応?CMSに潜むセキュリティリスク、その危険性と対策について解説します

CMSに潜むセキュリティリスク

はじめに

Webサイトを構築するCMSは、企業サイトの運用において、重要な役割を担います。

しかし、WordPressを筆頭とした無料CMSは、多機能で自由度も高い反面、パソコンやWeb関係に長けた人材が少ない企業では、セキュリティ面でのリスクが大きいのも事実です。

そこで今回は、CMSにおけるセキュリティ(脆弱性)についてご紹介します。現在導入しているCMSや、これから導入を考えているCMSのセキュリティについて考えるきっかけになれば幸いです。

CMSの概要とその種類

CMSの概要とその種類

CMSとは、Contents Management System(コンテンツ・マネジメント・システム)の略で、Webサイト上のコンテンツを管理・更新するシステムを言います。

Webサイトには、テキストや画像などの様々なコンテンツが存在します。ただ、これらを整理し見やすいサイトにするには、HTMLやCSSなどの専門的な言語を使用しなければなりません。

しかしCMSを利用すれば、画像の配置やテキストの編集といった作業が視覚的に行えます。そのため、専門的な知識がなくてもWebサイトの作成が可能です。

CMSには主に「オープンソース型」「パッケージ型」「クラウド型」の3つの種類があります。

オープンソース型は、ソースコードがオープンにされているCMSです。基本的に利用は無料で、個人・法人問わず誰でも使用できます。カスタマイズ性が高く世界中で利用されており、代表的なものとしては「WordPress」があります。

パッケージ型とクラウド型は、主に企業向けに提供されているCMSです。パッケージ型は、ベンダーによって開発されたCMSを自社のサーバーにインストールするのに対し、クラウド型はベンダーが用意しているサーバーを使用して運用します。

CMSにセキュリティ対策が必要な理由

CMSにセキュリティ対策が必要な理由

CMSは便利な反面、サイバー攻撃を受けやすいシステムでもあります。世界中で使用されているWordPressのようなオープンソース型は、特に注意が必要です。ここからは、CMSにセキュリティ対策が必要な理由を解説します。

1.CMSは導入が容易なため利用者が多く、ターゲットにされやすい

CMSは利用者が多く、サイバー攻撃のターゲットにされやすい一面があります。なぜなら、悪意のあるユーザーとしては「独立したひとつのサイト」を狙うよりも「たくさんの人が使っているCMSで作ったサイト」を狙った方が、効率が良いためです。

特にオープンソース型の代表格であるWordPressは、導入が無料な上にダウンロードも容易。IT知識のない人でも気軽に始められるため、世界中に多くのユーザーがいます。ソースが公開されていることもあり、その脆弱性を突かれると、多大な影響が出る可能性があります。

こうしたことから、ユーザーの多いCMSほどしっかりとセキュリティ対策をする必要があります。

2.プラグインなど外部システムから脆弱性が発見されやすい

CMSでは、プラグインなどの外部システムから脆弱性を突かれる可能性も考えなければなりません。

プラグインとは、CMSに機能を追加するシステムです。問い合わせフォームの設置やSEO対策など、基本のCMSにない機能をプラグインで追加することで、サイトをカスタマイズできます。

ただし、プラグインはあくまで外部の機能です。そのため、CMS自体のセキュリティ対策をしっかり行ったとしても、プラグインなどの外部機能に脆弱性が見つかれば、そこから攻撃を受ける可能性があります。

3.セキュリティリスクへの対策をとっている企業が少ない

CMSは先述したようなリスクがあるにも関わらず、リスクへの意識が低い企業が多いことも課題です。

一般社団法人日本損害保険協会が行った「中小企業の経営者825人に聞いたサイバーリスクへの意識調査」(2019年11月)によると、24%が「サイバー攻撃への対策をしていない」と回答しています。経営課題においても「サイバーリスクへの対応」は1.6%と、セキュリティ対策は後回しにされる傾向があるようです。

こうしたセキュリティへの意識の低さは、CMSを利用する上で大きな問題となります。なぜなら、オープンソース型のCMSでは、自身でセキュリティ対策を行う必要があるためです。契約サーバーの設定やセキュリティプラグインなどである程度の攻撃は防げますが、より安全性を高めるのであれば、高いセキュリティへの意識と専門的な知識・技術が必要です。

CMSが抱えている、主なセキュリティリスク

CMSが抱えている、主なセキュリティリスク

脆弱性を狙った攻撃

セキュリティリスクは、システムの脆弱性を狙うところから始まります。脆弱性とは、プログラムのミスから起こる欠陥のことです。一般的には脆弱性が見つかると、提供元が脆弱性を修正して再配布を行いますが、近年では脆弱性が発見されてから修正されるまでの間に攻撃を仕掛ける「ゼロデイ攻撃」が多発しています。

脆弱性を狙った攻撃には、ブログや掲示板などの入力フォームから悪意のあるサイトに誘導する「クロスサイトスクリプティング」、SQL文を入力することによって不正な操作を行う「SQLインジェクション」、Web上のアプリケーションを通じてOSへの不正なコマンドを実行する「OSインジェクション」などがあります。こうした攻撃から、サーバーへの不正アクセスにつながります。

不正アクセス

脆弱性を狙った不正アクセスでは、個人情報の漏洩やサイトの改ざんといった被害に遭う可能性があります。

■個人情報の漏洩

不正アクセスで注意しなければならないのは、個人情報の漏洩です。CMSのサイトには、お客様が入力した個人情報が保存されており、不正アクセスを受けることによってこれらの情報が漏洩する可能性があります。

特定非営利活動法人日本ネットワークセキュリティ協会の「2018年 情報セキュリティインシデントに関する調査報告書」によると、不正アクセスによる個人情報の漏洩は443件中90件。紛失・置き忘れ、誤操作に次いで3番目に多い原因です。

個人情報が漏洩すると、お客様の情報を使って犯罪が行われる可能性があります。クレジットカードの情報が流出すればそれを利用して勝手に買い物をされることもありますし、メールアドレスの情報が流出すれば、不正アクセスを目的としたメールを、企業名を使って送られることも考えられます。メールのようにさらなるサイバー攻撃の手段として利用されれば、被害者はさらに拡大していくでしょう。

■サイト改ざん

不正アクセスによるサイトの改ざんにも注意が必要です。

サイトの改ざんとは、不正アクセスによってWebサイトのデザインを変更したり、マルウェアを仕込んだりする手法です。デザインが変わる程度なら大きな問題はありませんが、サイトにマルウェアが仕込まれるとサイトを閲覧した人が次々と感染します。基本的にマルウェアを仕込んでも見た目は変わらないため、知らないうちに被害を拡大させてしまう可能性があります。

セキュリティリスクが企業にもたらす損害とは

セキュリティリスクがもたらす損害

脆弱性を狙った外部からの不正アクセスは、企業に大きな損害をもたらします。被害は直接的なものはもちろん、余波による間接的なものもあります。

1.直接的な被害

不正アクセスによる直接的な被害としては「業務停止」「情報の紛失・漏洩」「対策費用」の3つがあります。

不正アクセスが起こると、企業は現在使用しているネットワークやシステムなどを一旦停止して、原因の究明を行い、同じことが起こらないように対策する必要があります。当然、停止をしている間、それらのシステムやネットワークは使用できません。システムが使えないことによって業務が停止すれば、納期遅れや営業機会の損失につながります。同時に社員の士気も下がり、優秀な人材が他企業に流れてしまうことも考えられます。

また不正アクセスによって情報が紛失したり漏洩したりすることも、情報化社会の現代においては大きなダメージです。情報を再度集めたり、復旧させたりする時間が必要となるため、営業活動は大きく停滞するでしょう。同時に、関係者への謝罪や連絡にも追われることになります。

加えて、不正アクセスによる被害が再度起こらないようにする対策費用も必要です。情報の復旧や保護、原因究明とそれに合わせた対策は、専門的な知識や技術を要した企業に依頼しなければなりません。加えてお客様への対応や謝罪のための費用などもかかります。例えば、平成27年に起こった日本年金機構の情報流出事件では、お客様対応だけで6億円の費用が費やされています。

こうした被害は最悪の場合、事業継続を困難にし、企業を倒産に追い込んでしまうことも考えられます。

2.間接的な被害

不正アクセスによる間接的な被害としては、損害賠償や顧客の喪失、公的な処罰などです。

情報漏洩が起こると、先述したようにお客様の情報が悪用されて、何らかの被害を受ける可能性があります。この場合、お客様から損害賠償を求められることも考えられます。

特定非営利活動法人日本ネットワークセキュリティ協会の「2018年 情報セキュリティインシデントに関する調査報告書」によると、個人情報漏洩による1件あたりの平均想定損害賠償額は6億3,767万円。1人あたりの平均想定損害賠償額は29,768円です。損害賠償額は漏洩した情報の内容や企業側の対応によって差がありますが、1人あたり35,000円の損害賠償を支払ったケースもあります。

また顧客の喪失も、間接的な被害のひとつです。不正アクセスによって情報漏洩などが起これば、当然お客様からの信頼は失われます。ブランドイメージが低下し、お客様が離れ、売上も減少。加えて株価も下落し、取引先からも今後の取引を断られるなど、営業に大きな影響を与えるでしょう。

さらに、情報漏洩をすると公的な処罰も待っています。日本には「個人情報保護法」があり、民間企業や地方自治体は個人情報を適切に取り扱わなければならないと定められています。もし個人情報の漏洩が起こると個人情報保護法違反となり、刑事罰を負わなければなりません。基本的には行政から改善指導が入り、従わない場合、1年以下の懲役または100万円以下の罰金が科されます。

CMSで行うべきセキュリティ対策方法

CMSで行うべきセキュリティ対策方法

ではCMSではどのような対策を行うべきなのでしょうか。CMSでのセキュリティ対策には、内部の運用で人的に対策する方法と、外部からの攻撃に対して製品を導入する方法の2つがあります。

内部の運用時に行うセキュリティ対策

CMSのバージョンを常に最新に保つ

CMSのバージョンを最新に保つことは、CMSにおけるセキュリティ対策の基本です。CMSのバージョンアップは脆弱性の修正のために行われることが多く、古いバージョンをそのまま使用していると脆弱性を突かれて不正アクセスされる可能性があります。常に情報をチェックし、最新版にバージョンアップしましょう。

パスワードを定期的に変える

使用しているパスワードを定期的に変更することも、サイバー攻撃への対策として有効です。

ただし、パスワードを設定する際には、特定されにくいものにすることが重要。原則8桁以上で英文字と数字を織り交ぜるなど、複雑なパスワードにすると特定されにくくなります。

複雑なパスワードは覚えにくいため、どこかにメモしておいても構いません。ただし、IDと別に保管するなど、IDとパスワードが一致しないような管理をしましょう。

使用する外部システム(プラグイン)を最小限に留める

CMSでは、プラグインなどの外部システムの利用を最小限にすることもセキュリティ対策となります。

WordPressのようなオープンソース型では、プラグインを使用して機能を追加します。ただし、プラグインは外部で作成されたものを使用するため、セキュリティ面で弱かったり、プラグインにウイルスが仕込まれていたりすることもあります。

外部からの攻撃を防ぐためには、使用するプラグインを最小限にし、攻撃対象を少なくすることです。不要になったプラグインは削除し、導入の際にもセキュリティがしっかりしているか確認することが重要です。

管理画面の利用制限

CMSでは、管理画面に利用制限を設けられるものも多いです。これを活用することで、特定のデバイスからしかアクセスできなくなります。

制限はIPアドレスを利用して行うものがほとんどです。IPアドレスは同じものが存在しないため、一致しない外部からの操作を防ぎやすくなります。

外部の攻撃に関するセキュリティ対策

脆弱性診断を行う

脆弱性診断を行うことで、セキュリティ対策につながります。脆弱性診断とは、ネットワークやOSなどに脆弱性がないか診断するものです。脆弱性がないかを確認し、もしあるようならば診断内容にあった対策を行うことで、セキュリティを強化できます。

脆弱性診断にはツールを使用した「ツール診断」と、専門家が行う「手動診断」があります。早めに診断を行いたい場合にはツール診断、より精度の高い診断を行いたい場合には手動診断を行うと良いでしょう。

ネットワークレベルでの対策

ネットワークレベルの対策では、ファイアウォールの導入が有効です。ファイアウォールを導入することによって、不正な侵入からネットワークを守れます。

ただ、ファイアウォールだけではサイバー攻撃からCMSを守り切ることはできません。より安全性を増すのなら、OSやサーバーの脆弱性を突いた攻撃に強い、IDS・IPSとの併用が望ましいです。

Webサーバーレベルでの対策

Webサーバーレベルの対策なら「WAF」の導入をおすすめします。WAFは「Web Application Firewall」の略で、Webアプリケーションの脆弱性への攻撃に対応したシステムです。

クロスサイトスクリプティングやSQLインジェクションは、リクエストとしては不正ではありません。そのため、ファイアウォールやIDS・IPSの網を潜り抜けてしまいます。しかしWAFは、こうしたリクエストを検知し、遮断できます。ネットワークレベルでの対策に加え、WAFを導入することで十分なセキュリティ対策を行えるでしょう。

障害復旧時のための対策

障害復旧時のためには、定期的にデータのバックアップをとっておくことが大切です。万一不正アクセスによってサイトが改ざんされたとしても、元のデータが残っていれば復旧は容易です。復旧までの時間が短縮されれば、営業への影響も少ないでしょう。

セキュリティに配慮したCMSの選び方とは

セキュリティに配慮したCMSの選び方とは

CMSは、つい利便性で選んでしまいがちです。しかし、サイバー攻撃の標的となりやすいCMSは、先述したようなセキュリティリスクを抱えています。利便性よりもセキュリティ対策の内容を重視して選びましょう。ここからは、セキュリティに配慮したCMSの選び方について解説します。

オープンソース型は、脆弱性を理解して導入しよう

オープンソース型を利用する際には、脆弱性を理解した上で導入しましょう。オープンソース型のCMSは悪意のあるユーザーに狙われやすく、ソースコードが公開されていることから脆弱性を突かれやすいです。加えて、外部システムであるプラグインの穴を突いた攻撃を受けることもあります。オープンソース型を導入する際には、これらのリスクがあることを理解し、可能な限りの対策をしてから運用をすべきです。

オープンソース型の対策に不安がある場合には、パッケージ型CMSの導入を検討しましょう。パッケージ型は脆弱性を理解したベンダーが開発しており、オープンソース型に比べるとセキュリティリスクが低いです。

CMSのセキュリティ対策は「使い方」も大事

CMSを使用する際には、使い方にも配慮が必要です。どんなにセキュリティ対策に優れているCMSを使用していても、使用する人の意識が低ければ意味がありません。例えば「使用者がうっかりお客様の個人情報を公開してしまう」「悪意ある投稿のURLを開いてしまう」といった人的要因による情報漏洩は、どんなにセキュリティ対策に優れているCMSを使っても防げません。

車の安全性能よりも運転者の安全意識が重要であるように、CMSも「何を使うか」より「どう使うか」が大切です。

SITEMANAGEはセキュリティに配慮したパッケージ型のCMS

シフトのSITEMANAGEは、内部の運用時における対策に加え、外部からの攻撃に対する対策も同時に行っています。

内部の運用に対する対策

SITEMANAGEでは、内部の運用時に起こる情報漏洩に対しても、セキュリティ対策も行っています。

管理画面の操作制限

管理画面の操作は、企業内の社内IP以外は管理画面の閲覧を不可にするなどの対応も可能です。

この対策をすれば、パソコンを持ち出したとしてもIPが変わってしまうのでアクセスはできません。

スタッフレベルでの機能制限

スタッフやグループごとにアクセスできる情報を制限できます。運用者によって使える機能を絞ることが出来るため、近年多く問題になっている内部からの情報漏洩もしっかり防ぐことができます。

外部の攻撃に対する対策

自社開発のパッケージCMS

オープンソースCMSとは違い、自社開発であるため、ソースが非公開で安全。

万が一セキュリティホールが発見されても自社開発なので対応に時間がかかりません。

基本的な脅威への対策は標準装備

クロスサイトスクリプティングやSQLインジェクション、OSインジェクションなど基本的な脅威となる不正アクセスへの対策は標準装備しています。

社内テストによる事前のバグ対応

開発後の社内テストを行うため、致命的な障害などを未然に防げるようになっています。

株式会社シフトでは、これまで様々なサイトを制作してきました。

その多くは、セキュリティに配慮したパッケージ型CMS「SITEMANAGE」によるものです。

サイトの制作・構築に関するお悩みなどございましたら、こちらのフォームから是非お気軽にご相談ください。

実際に被害(攻撃)に遭ってしまった場合の対応方法

実際に被害に遭ってしまった場合の対応方法

CMSのセキュリティについて解説してきましたが、対策を講じても攻撃を受けるリスクはあります。

近年その攻撃方法は多様化しており、それに対応する方法も様々です。

それぞれの対処法については下記サイトを参考にしてみて下さい。

情報処理推進機構:https://www.ipa.go.jp/security/

まとめ

CMSは気軽な反面、様々なセキュリティリスクを抱えています。大切なことはリスクを理解し、しっかりした対策を行うことです。強固な対策を行うことで、CMSはより安全に、便利に利用できるでしょう。

ご相談をお待ちしております。お気軽にご相談ください。

お電話でのご相談窓口

03-5847-1281

(受付時間:平日 9:30-18:00)

この記事をシェア

X FaceBook hatena

この記事をシェア

X FaceBook hatena