CMSのセキュリティリスクとは?実施すべき対策も紹介
今やCMSは多くのWebサイトで活用されるようになり、専門的な知識がなくてもサイト構築が可能になりました。企業にとってCMSは、大量の機密情報を保持する事業活動のインフラになっており、その分、サイバー攻撃を受けたときの被害は非常に大きくなります。最近は、日常的に大規模な情報漏洩事件を耳にするようになりました。企業にとってCMSのセキュリティ対策は、事業活動を支える非常に重要なものとなっています。
CMSが狙われる理由
さまざまな機能が備わっており便利なCMSですが、サイバー攻撃で狙われやすいことをまずは認識しておく必要があります。ここではCMSが狙われる理由を説明します。
利用者が多い
昔のWebサイトは、運営者それぞれがHTMLなどで個別に制作していましたが、今ではCMSの利用が主流となっています。サイバー攻撃をする側から見れば、オリジナルな単体のWebサイトを狙うよりも、ソースコードが共通しているCMSを狙ったほうが大きな被害を与えられます。CMSには時折セキュリティホールが見つかることがあり、ベンダーは速やかに対処しますが、サイバー攻撃をする側が先に見つけてしまった場合、同じCMSを使っている多くの企業に被害が出ることがあります。
プラグインの脆弱性は狙いやすい
プラグインの脆弱性は、WordPressなどのオープンソース型のCMSでとくに大きいといわれています。オープンソース型の場合、パッケージ型のように責任をもつベンダーがおらず、出回っているプラグインの脆弱性に対する検証が十分ではないことが多々あります。つまり、外部のプラグインが多くなるほどセキュリティリスクは高まっていくといえます。CMS本体のセキュリティレベルが高かったとしても、プラグインの脆弱性が原因でサイバー攻撃を許してしまうこともあるのです。
セキュリティ意識の低い企業が多い
CMSのメリットは、Webサイトの制作に関する専門知識が不要であることです。しかし逆をいえば、サイバーセキュリティに関する専門知識がなくてもWebサイトを構築できてしまいます。また、ライセンス使用料が無償であるオープンソース型は、中小企業などセキュリティ対策にコストをかけにくい企業が採用していることがあります。こうした背景から、セキュリティに対する意識が低いまま、構築・運営されているWebサイトが多い状況が生まれているのです。
CMSのセキュリティリスクがもたらす被害
サイバー攻撃によりセキュリティを突破されてしまうと、大きな被害に遭う恐れがあります。具体的にどのような被害が出るのか紹介していきます。
個人情報の流出
CMSには顧客個人を特定する機密性の高い情報が保管されています。いうまでもなく、漏えいすると企業ブランドを棄損し、サービスに対する信頼性の低下は免れません。また、情報が流出した個人から民事訴訟を起こされることも考えられ、もし流出した情報量が大きかった場合は、多額の賠償金を請求される恐れもあります。また、国からも運用に関わる是正勧告を受けることも考えられます。
サイトの改ざん
Webサイトの改ざんとは、サイトが他社に乗っ取られ、悪意のある内容に書き換えられることをいいます。表示内容が書き換えられるケースもあれば、サイト上のボタンのリンク先がすり替えられるケースなどもあります。改ざんされた自社サイトが原因で他者に被害が出れば、損害賠償を求められることも考えられます。
Webサイトの停止
Webサイトがウイルスに感染すると、閲覧したユーザーにも感染し、二次被害が出る恐れがあります。二次被害防止のために、復旧するまでサイトを停止せざるを得ないこともあり、復旧に時間がかかると停止期間中の機会損失も大きくなります。またデータが大量に送りつけられることで停止する場合もあります。
CMSで行うべきセキュリティ対策
事前に対策を行うことで防止できるセキュリティ被害もあります。ここでは、CMS運営側で行えるセキュリティ対策を紹介します。
基本的な取り組み
多くのCMSベンダーは常にセキュリティの脆弱性について評価検証しています。脆弱性を見つけ次第、バージョンアップという形で対応します。CMSの新しいバージョンが出たら、すぐに更新するようにしましょう。クラウドで提供されるCMSなど、ものによっては運営側で更新作業が不要なものもあります。
不要なプラグインは極力削除したほうがよいでしょう。プラグインを導入した当初は、セキュリティについては問題ないという評価をしていたとしても、時間が経過すると最新のセキュリティリスクに対応できていない場合もあります。
基本的なことですが、パスワードの更新は定期的に行いましょう。人的理由やシステムの脆弱性など、さまざまな理由でパスワードが流出する恐れがあります。
近年は、フルマネージドでセキュリティ強化・監視・各種運用保守をしてくれるCMSベンダーも出てきているので、相談するのも選択肢の1つです。
WAFの導入
WAF(Web Application Firewall)とは、Webアプリケーションにおけるユーザーとサイトのデータ通信を監視して、対策を講じるサービスです。ここで不正な通信が見つかり次第、ブロックなどの対策が講じられます。Webサイトのセキュリティを完璧にすることは不可能で、脆弱性が見つかっても修正が困難な場合に用いられることが多い方法です。
パッケージベンダーの活用
先に紹介したとおり、オープンソース型はセキュリティリスクが高くなりやすく、後から対策しても継ぎはぎになり、一貫性のある対策を講じきれないことがあります。オープンソース型を専門に取り扱い、セキュリティ対策を含めたパッケージでWebサイトの構築・保守を請け負うベンダーの活用は有効で安全性が高い方法です。
オープンソース型に対応するCMSのパッケージベンダー
ここでは、オープンソース型に対応する代表的なパッケージベンダーと、サービスを紹介します。
プライム・ストラテジー(KUSANAGI)
プライム・ストラテジーは、もともと独自のWebサイト構築を行っていた会社でした。現在はWordPressをはじめとするオープンソース型CMSによる、サイト構築および運用保守、Webサイトの高速化を行うサービス(KUSANAGI)を提供しています。
【取材記事】SSエコシステムの発展を目指した高速CMS環境を提供する、プライム・ストラテジー「KUSANAGI」(前編)
Human Made社(Altis)
Human Made社が提供するAltisは、WordPressを核として、セキュリティ対策やマーケティングシステムの機能拡張などを行うパッケージソリューションサービスです。企業側の要望と、WordPress間のギャップを埋めるサービスを幅広く提供しています。WordPressを熟知したメンバーがそろっており、安全性の高いCMSの構築が期待できます。
【取材記事】“WordPressのプロ”が開発したAltisの魅力と提供価値(前編)
まとめ
広く利用されるようになったCMSは常に高いセキュリティリスクに晒されており、被害が出ると多大なコストが発生します。世界的に利用者が多いオープンソース型のCMSは、とくにセキュリティ被害が多いといわれています。社内に技術者を配置してしっかり保守管理することが望ましいですが、もし自社で保守管理が難しい場合は、パッケージベンダーの活用などを検討することをおすすめします。コストはかかりますが、被害発生時のコストと比べれば、決して高くはないはずです。
この記事を書いた人
