手軽にWebサイトが構築でき、多くの企業からも利用されているCMS。世界のWebの約半数がCMSによって構築されているとの調査結果もあり、インターネットのコンテンツを制作する上でなくてはならない存在になりつつあります。
しかし、それだけ多くのユーザー数を誇るということは、サイバー攻撃の標的になやすいことも意味しています。特に最近ではオープンソースのCMSが主流になり、適切なセキュリティ対策を講じていないと被害に遭う確率が高くなります。そこで今回の記事では、CMSのセキュリティ対策で注意すべきポイントについて詳しく解説していきます。
CMSのおすすめ製品比較記事を見るそもそもCMSとは何?
そもそもCMSとは「Contents Management System」の略称で、Webサイトを構築する際に視覚的に分かりやすくテキストや画像、全体のレイアウトなどを管理できるツールのことです。現在多くのCMSはオープンソースで提供されており、自由に修正や機能の拡張などを行うことができます。そのため、使い勝手が良く、多くのWebサイトはCMSで構築されているのです。
しかし、カスタマイズが自由で使い勝手が良いということは、その分セキュリティ上の弱点(脆弱性)も見つかりやすいことを意味しており、セキュリティ対策もユーザー自身で行う必要があります。CMSの脆弱性を狙ったサイバー攻撃は大企業や公的な団体などが標的になりやすい傾向にありますが、中小企業も決して油断できません。
CMSにおけるセキュリティ上の危険性
IPAが毎年報告している情報セキュリティ白書によると、2019年度に発生した情報漏えい事件の30%以上がWebアプリケーションへの攻撃によるものと判明しています。近年の傾向としては、ランサムウェアによる攻撃やWebサイト改ざん、フィッシングなどが増加の一途をたどっています。特にWebサイトへの攻撃においては、CMSの脆弱性を狙ったものが多く確認されたほか、不正なリンク先にユーザーを誘導し個人情報を盗み取るなどの手口や、不正ログインによるWebサイトの改ざんなども確認されています。
いずれもユーザーに対して直接的な被害を与える可能性があることはもちろんですが、運営するWebサイトの信頼性低下にもつながり、結果として不信感を抱いたユーザーが離れていき、事業に損失を与える可能性もあるのです。
CMSで注意すべきサイバー攻撃の手口
CMSで構築されたWebサイトを運営する上では、具体的にどのようなサイバー攻撃に注意し対策を講じれば良いのでしょうか。今回は特に注意すべき4つのサイバー攻撃の手口について解説します。
1、ゼロデイ攻撃
ゼロデイ攻撃はOSやCMSなどのシステムの脆弱性を狙った攻撃のひとつです。通常、システムに脆弱性が見つかった場合、その穴を解消するためにパッチとよばれる修正プログラムが配布されます。このパッチが提供される前に攻撃を仕掛けてくるため「ゼロデイ攻撃」とよばれています。
システムを提供するベンダーや開発者側でパッチを準備してもらうのを待つしかなく、ユーザーとしてはゼロデイ攻撃に対する有効な対策を講じにくいのが現状です。
2、ランサムウェア
ランサムウェアとはマルウェアの一種で、感染したPCを乗っ取る、または機密情報を抜き取るなどして、身代金などの金銭を要求する標的型の攻撃手法です。ランサムウェアが感染するルートはさまざまで、スパムメールに添付されたファイルを開いたり、フィッシングサイトに誘導されたりした結果、標的になるケースが典型的です。
近年は要求される身代金も大きくなり、特に大企業などの被害事例が相次いでいます。
3、フィッシング
フィッシングとは偽のサイトやリンク先に誘導し、情報を抜き取る攻撃手法です。たとえば誰もが知っている大手ECサイトやネットバンキングのサイトなど、一見しただけでは本物と見間違うようなフィッシングサイトを作り、そこからユーザーの情報を盗み出します。
ターゲットとなる情報もクレジットカード情報やログイン情報などさまざまですが、CMSを運用しているアカウント情報が盗まれてしまうと、最悪の場合システムが乗っ取り被害にあう可能性もあります。
4、DDoS攻撃
DDoS攻撃は古くから存在するサイバー攻撃の一種で、サーバーに対して大量のトラフィックを送信し負荷をかけ、ダウンさせることを目的とした攻撃です。嫌がらせや報復、抗議の目的で攻撃が仕掛けられることもありますが、悪質化すると混乱に乗じて複数のサイバー攻撃が仕掛けられることも少なくありません。
CMSでとるべきセキュリティ対策3つ
Webサイトへのサイバー攻撃から守るためには、CMSに対してどのようなセキュリティ対策を講じておく必要があるのでしょうか。今回は基本的な対策から応用的なものまで3つの事例を紹介します。
1、システムのアップデート
まずは基本的な対策として、OSやCMSなどのシステムは常に最新バージョンへアップデートしておくことです。古いバージョンのまま運用していると、セキュリティホールが残ったままで脆弱性を狙った攻撃の被害に遭いやすくなります。システムがつねにアップデートされていないと、セキュリティ意識が低い管理者が運営しているとみなされ、その後も格好のターゲットになる可能性があります。
2、不要なプラグインは削除する
オープンソースのCMSはさまざまなプラグインを導入できるメリットがあります。しかし、プラグインによってはセキュリティ対策が甘いものも多く、サイバー攻撃の被害にあうリスクが増大することも意味しているのです。
導入するプラグインは最小限に留め、不要になったものはすぐに削除するようにしましょう。
3、WAFの導入
CMSを狙ったサイバー攻撃は、従来のようなファイアウォールやIDSだけでは防ぐことができません。これらの機器は主にネットワーク層やOS層の監視には有効ですが、CMSはそれよりも上位にあたるアプリケーションレイヤに該当するため、監視は難しいのです。
そこでおすすめしたいのが、WAF(Web Application Firewall)とよばれるセキュリティツール。WAFは従来のファイアウォールとは異なり、アプリケーションレイヤでのセキュリティを強化できます。WAFにはさまざまな提供形態がありますが、より手軽に導入するのであればクラウド型のWAFがおすすめです。
CMSの導入にあたっては十分なセキュリティ対策も考慮する
CMSは簡単にWebサイトが構築でき、管理も容易であるという点で大きなメリットがあります。しかし一方で、オープンソースで自由に修正や改変が可能であるということはセキュリティホールも存在し、脆弱性を狙ったサイバー攻撃のターゲットにもなりやすいことを意味しています。
CMSへのサイバー攻撃に限ったことではありませんが、「これを行ったから完全に攻撃は防げる」という万能なセキュリティ対策方法は存在しません。しかし、基本的なセキュリティ対策を何重にも施しておくことで、CMSを運用するうえでのセキュリティリスクは最小限に留められるのも事実です。
現在CMSを運用している企業担当者は自社のセキュリティ対策項目をあらためて見直し、必要な対策を今一度検討してみましょう。また、よりセキュリティレベルの高いCMSを求めるのならば、法人向けに作られたCMSがおすすめです。
CMSのおすすめ製品比較記事を見る