CMS連携 会員サイト構築の記事
ARTICLECMSのセキュリティは安全?脆弱性と対策について解説!
画像データ・テキストデータ・テンプレートなどを一元管理し、それらのデータを自動的にWebページへと反映させるCMS。セキュリティは安全なのでしょうか?この記事では、CMSのセキュリティの安全性と脆弱性をカバーするための対策について解説します。
目次
CMSとは?種類ごとにセキュリティリスクに違いはあるのか?
CMSとは、コンテンツ・マネジメント・システム(Contents Management System)の頭文字を取った略語です。画像データ・テキストデータ・テンプレートなどを一元管理し、それらのデータを自動的にWebページへと反映させることができるシステムです。
CMSの種類の種類は、オープンソース型、パッケージ型、クラウド型と大きく3つに分けられ、それぞれの特徴に違いがあり、セキュリティリスクにおいても異なります。ここでは、3種類それぞれの特徴やセキュリティリスクについてお伝えしますので、ぜひ参考にしてください。
オープンソース型
オープンソース型は、プログラムのソースコードが無償で公開されており、商用・非商用問わず、誰でも利用や修正(改変)さらには配布することができるようになっています。そのため、セキュリティリスクは高いといえます。
しかし、プラグイン(拡張機能)やセキュリティソフトを利用するなど、セキュリティ対策を行うことが可能です。主なセキュリティ対策としては、以下のことが挙げられます。
- ファイアウォールの導入
- プラグインの導入は最小限に抑える
(不要なプラグインは使用しない) - プラグインは常に最新の状態を保つ
(サポートが終了したものは使用をやめる) - パスワードを英数字を混ぜた10桁以上の複雑なものにする
- パッチマネジメントを徹底して、脆弱性をいち早く発見し対処する
- WAFを導入して、ファイアウォールでは対応できない部分を補う
最低限、これらのことを実行したうえで利用するようにしましょう。
プラグインに関しては、CMSを利用すると必ずといっていいほど利用する機会があると思います。その場合は、サポートが終了しているものはもちろんのこと、1年以上更新されないプラグインも利用を停止することをおすすめします。
パッケージ型(商用CMS)
パッケージ型は、ベンダーが独自に開発したCMSライセンスを購入し、自社サーバーにインストールするタイプのCMSです。事前に必要な機能が搭載されているので、比較的セキュリティリスクが低いのも特徴の一つです。
ベンダーによっては、セキュリティに対する保険やサポートが充実しているところもありますので、購入前にチェックしておくといいでしょう。ただし、ベンダー側がセキュリティ対策を行ったとしても、プラグインなど外部ツール経由でウィルスが入り込んだり、自社サーバーのセキュリティの脆弱性が原因でウィルスに感染するリスクには注意が必要です。
クラウド型
クラウド型は、CMSを提供するベンダーが管理するサーバーにシステムやデータを保管し、インターネット経由で利用できるCMSです。別途サーバを用意したり、CMSをインストールしたりする必要はなく、インターネット環境とブラウザさえあれば導入できます。
クラウド型では、ベンダーにより安全対策が行われた環境の中でCMSの運用を行えるため、セキュリティリスクは低いといえます。ただし、ベンダーの安全対策やセキュリティに対するサポートや補償制度によって、リスクの高さは変わってくるので、セキュリティ対策に力を入れているベンダーを利用するのがおすすめです。
CMSはセキュリティ面で安全なのか?
CMSのセキュリティ対策はWebサイト運営者に任せられているため、しっかりと対策を行ったりセキュリティに力を入れているシステムベンダーのCMSを利用すれば、安全にサイト運営を行うことは可能です。
またCMSを利用する際は、プラグインやアプリケーションなど、外部ツールを利用することでセキュリティリスクが高まる可能性もあるので注意が必要です。利用する際は、常に最新の状態にアップデートしたり、利用者数の多いものを選ぶなど、対策をしっかりと行うようにしましょう。
CMSにおけるセキュリティリスクとは?
では、CMSを利用するにあたり考えられるセキュリティリスクにはどんなことがあるでしょうか。ここではセキュリティリスクの種類についてお伝えします。
個人情報の流出
一つ目は、個人情報の流出です。セキュリティ対策が不十分なことが原因でサイバー攻撃を受け、サイト内に保管されている個人情報が流出してしまいます。
個人情報が流出してしまうと、顧客からの信頼度も落ちるうえ、会社として多額の損害賠償が発生しその後の存続に大きな影響を与える可能性もあります。
コンテンツの更新や売上アップに注力するあまりに、セキュリティ対策が疎かになりがちなケースが多いため要注意です。セキュリティリスクの低いCMSを利用したり、パスワードを複雑化する、セキュリティソフトを導入するなどして、綿密なセキュリティ対策を実施するよう心がけましょう。
サービスやサイト運営の停止
サイバー攻撃によりウィルスに感染した場合、サイトを訪れたユーザーが被害を被るケースが考えられます。例えば、本来アクセスできるページとは別のページへ飛ばされたり、全く関係のない広告画像が表示されたりします。
サイトがウィルスに感染してしまうと、そのウィルスがユーザーに広まるリスクもあるため、サービスやサイトの運営を停止する必要があるでしょう。
サイトへのアクセスができなくなる
サイトがウィルスに感染してしまうと、情報が勝手に暗号化されたりロックされたりし、ユーザーがそのサイトへアクセスできなくなってしまう場合があります。その代表的なウィルスがランサムウェアと呼ばれるものです。
ランサムウェアはマルウェアの一種です。感染したサイトの内部リンクを書き換えたり、悪質なフィッシングサイトへ誘導したりするのが特徴で、サイトへのアクセスを制限することもできます。
もしランサムウェアに感染してしまうと、企業のデータや取引先のデータなどを人質に取られて身代金を要求されるケースもあります。その結果、解決のための大きな労力や金銭、取引先からの信用を失ってしまうことも考えられるので、しっかりと対策を行っておくことが必要です。
代表的な5つのCMSのセキュリティレベルを比較!
ここでは、5種類のCMSのセキュリティレベルの比較についてお伝えしたいと思います。お伝えするCMSは以下の5種類です。
- WordPress(ワードプレス)
- Movable Type(ムーバブル・タイプ)
- Drupal(ドゥルーパル/ドルーパル)
- SiteCore(サイトコア)
- MTCMS Cloud
現在検討中のものや気になっているものがありましたら、ぜひチェックしてみてください!
1. WordPress(ワードプレス)
WordPressは、2022年時点では、80%以上のシェア率を誇る定番CMSです。豊富なプラクグインやテーマが特徴で、無料で利用できるにもかかわらず、本格的なサイトを作れます。
ただしオープンソース型のため、ソースコードが公開されていることによるセキュリティリスクもあります。またプラグインが豊富なため、プラグイン経由でウィルスに感染してしまうリスクも考えられます。
WordPressでは、開発元のベンダーからのサポートは受けられないため、セキュリティに関する対策はご自身で行わなければなりません。WordPressに関する情報はネット上にたくさん公開されていますので、セキュリティに関する情報を調べて、しっかりと対策を行ったうえで利用するようにしましょう。
| CMSの形式 | セキュリティ対策 | リスク |
|---|---|---|
| オープンソース型 | ご自身で行う | 中 |
2. Drupal(ドゥルーパル/ドルーパル)
Drupalも世界的に知名度が高いオープンソース型のCMSです。WordPressと同様、ソースコードを誰でも閲覧することができ編集・複製を行えるため、セキュリティリスクは高いといえます。
セキュリティ対策については、開発元のベンダーからのサポートを受けられないため自社で行う必要があります。また、日本では知名度が高くないこともあり、WordPressと比較すると、セキュリティ対策に関する情報の豊富さには欠けているでしょう。
| CMSの形式 | セキュリティ対策 | リスク |
|---|---|---|
| オープンソース型 | 自社で対応 | 高 |
3. Movable Type(ムーバブル・タイプ)
Movable Typeは純国産の企業向けCMSです。パッケージ型のCMSのため、開発元のベンダーからのサポートを受けられるため、トラブルやセキュリティ面での問題が発生した場合、ベンダー側が対処してくれます。
| CMSの形式 | セキュリティ対策 | リスク |
|---|---|---|
| パッケージ型 | システムベンダーが対応 | 低 |
4. SiteCore(サイトコア)
SiteCoreは、パッケージ型のCMSです。SiteCoreのCMSは、ユーザーのデータ保護のためのセキュリティ対策が行われており、万が一トラブルが発生した場合でもベンダー側が対応してくれます。
また、SiteCoreではセキュリティオペレーションセンターを設置しており、24時間のセキュリティ監視・脆弱性の管理・外部侵入テストなどを行っています。顧客データを扱う会社にとっては、安心して利用できるCMSです。
| CMSの形式 | セキュリティ対策 | リスク |
|---|---|---|
| パッケージ型 | システムベンダーが対応 | 低 |
5. MTCMS Cloud
MTCMSは、Amazon Web Service(AWS)をプラットフォームとして使用するクラウド型CMSです。サーバーの設定変更やシステム保守などのメンテナンスは、提供元である株式会社スカイアークが行ってくれるため、セキュリティ対策が行われた環境でサイトを運営できます。
| CMSの形式 | セキュリティ対策 | リスク |
|---|---|---|
| クラウド型 | システムベンダーが対応 | 低 |
CMSに対するサイバー攻撃の種類
CMSにおけるセキュリティリスクとしては、脆弱性に対するサイバー攻撃です。ここでは、CMSに対するサイバー攻撃についてどのような種類があるのかをお伝えします。
SQLインジェクション
SQLインジェクションは代表的なサイバー攻撃手法です。SQLとはデータベースのことで、サイト内の情報が保管されている重要な場所です。
SQLインジェクションという手法は、問い合わせフォームからメッセージを送る際、SQL文といわれるデータベースを操作する言語を含めて送り、データベース内を検索したり不正な情報を追加したりするものです。
このSQLインジェクションは、ファイアウォールでは防げないので、注意しましょう。
クロスサイトスクリプティング
クロスサイトスクリプティングは、サイト内に不正なJavaScriptを埋め込むことで、ホームページのソースコードを改ざんする手法です。これにより、訪問するユーザーを悪質なサイトへ誘導したり、個人情報やCookie情報を盗んだりします。
DoS攻撃(ドス攻撃)
DoS攻撃は、Denial of Service Attackの略称で、悪意を持って大量のデータを送信しサーバーに高負荷をかけることで、サーバーをパンクさせる方法です。DoS攻撃を受けたサイトはアクセス困難に陥り、本来訪れたいユーザーがそのサイトに訪問できなくなります。
DoS攻撃をする理由としては、嫌がらせ・妨害・抗議・脅迫などさまざまです。セキュリティソフトを導入することはもちろん、不正な大量アクセスを発見したら、IPアドレスを特定して該当のIPアドレスからのアクセスを制限するようにしましょう。
CMSでできるセキュリティ対策にはどんなことがある?
では、CMSを利用するうえでのセキュリティ対策としてどんなことができるでしょうか。ここでは、個人でも実施できるセキュリティ対策をお伝えします。
常にバージョンを最新の状態にアップロードしておく
サイト運営に関わるアプリやプラグイン、サーバーなどは、常に最新の状態にアップロードしておきましょう。アップロードしていない場合、セキュリティが脆弱になってしまい攻撃を受けてしまうリスクが高まります。
ログインパスワードを複雑なものにする
ログインパスワードは、10桁以上の英数字を組み合わせたものを使用するのがおすすめです。これはCMSのログイン情報だけでなく、お使いのパソコンのログイン情報においても大切です。どこからサイバー攻撃が行われるかかわからないため、運営するサイトのみでなく、使用するパソコンのログイン情報についても気を付けましょう。
サイトをSSL化する
サイトのSSL化は、サーバー側で実施することが可能です。WordPressを利用する場合は、レンタルサーバーにインストールして使いますが、レンタルサーバー側で無償でSSL化できる場合が多いのでぜひ利用しましょう。
SSL化することで、データ通信を暗号化することができ、第三者から閲覧されたり改ざんされるリスクを抑えることが可能です。SSL化されるとサイトURLが「https://〜」から始まるようになります。
WAF(ウェブ・アプリケーション・ファイアーウォール)を導入する
WAFは、Webアプリケーションの脆弱性を狙ったサイバー攻撃に対してのセキュリティソフトです。ECサイトやゲームアプリ・ネットバンキング・顧客情報やクレジットカード情報を取り扱うサイトは導入をおすすめします。WAFを入れておくことで、ファイアーウォールでは防ぎきれない攻撃に対しても対処することが可能です。
Webサイトの脆弱性を診断できる無料ツール
ここまで、セキュリティリスクやサイバー攻撃の種類・対処法などについて解説してきました。ご自身が運営するサイトのセキュリティは安全でしょうか。ここでは、Webサイトの脆弱性を診断できるツールをご紹介しますので、ぜひ診断してみてください。
Sucuri Sitecheck(サイトチェック)
SiteCheckでは、所定の位置にサイトURLを入力するだけで、脆弱性を診断できます。診断基準は、Minimal→Low→Medium→High→Criticalと5段階です。そのほかにも、サイトに害を与えるマルウェアソフトへの感染の有無もチェックできます。
WPSEC
WPSECは、WordPressで運営しているサイトのセキュリティをチェックできる診断ツールです。診断するためには会員登録が必要です。また、以下3種類のプランが用意されており、それぞれ1カ月に診断できる回数が決められています。
- Liteプラン(月1回):無料
- Pro(月5回):月額980円(税抜)
- Admin(無制限):月額7,980円(税抜)
月1回までの診断なら、無料で利用可能です。
ワードプレス・ドクター
WordPressで運営しているサイトが、マルウェアソフトに感染していないか診断できるプラグインです。WordPressへインストールして利用します。マルウェアの検出だけでなく自動的に駆除もしてくれたり、ハッキングをリアルタイムでブロックしてくれるため、セキュリティ対策としても役立ちます。
手放しで安心安全にサイト運用・管理するなら、SPIRALマネージドクラウド
当社のご提供する 「SPIRALマネージドクラウド」は、最高水準のセキュリティを誇るCMSホスティングサービスと、セキュリティのプロフェッショナルによる脆弱性診断・アップデート対応などの保守運用サービスの両方を提供し、手放し運用を実現するフルマネージドサービスです。
Webサイトの運用に必要な対策をオールインワンでご提供。サーバーの各種設定や、パッチインストール作業、不正アクセス調査など、脆弱性対応から万が一のトラブル解決まで、豊富な経験を持つ専任のエンジニアが運用業務を全て代行します。
ローコード開発プラットフォーム スパイラル®と連携するプラグインを用意。官公庁、金融機関も採用する信頼のデータベースで、機密性の高い情報も安心して管理いただけます。個人情報などデータの登録、変更フォームはスパイラル®でセキュアにかんたん導入可能。ログイン認証関連の機能も標準装備しており、サイト構築の工期を大幅に短縮できます。
セキュリティ設定チェックシートの用意や安全なWordPressプラグインの管理表など、豊富な運用実績によるノウハウでハイレベルなセキュリティ要求にも対応します。
また、メガバンクを始め100以上の金融機関に導入されている個人情報運用に最適なセキュリティを備えています。総務省のセキュリティ対策にも準拠。また、第三者機関のセキュリティ診断でも高いセキュリティを評価されています。様々な業界・用途・シーンで延べ12,000以上のご利用実績がございます。
サービスの詳細については「SPIRALマネージドクラウド」のページをご覧いただくか、サービス導入をご検討中の方はこちらからぜひお問い合わせください。
まとめ
CMSを利用するにあたり、セキュリティ対策はしっかりと行っておく必要があります。この記事では、CMSのセキュリティリスクやサイバー攻撃の種類、ご自身で行えるセキュリティ対策についてお伝えしましたので、ぜひ参考にしていただき、実施してみてください。
