【セキュリティ対策】Webサイトの脆弱性を早期発見!「CMS脆弱性診断サービス」を専用サーバープランに提供 CMSはセキュリティが必須
フューチャースピリッツは、ホスティングサーバー「FutureWeb Pro/FutuerWeb VPS」の無料オプションとして、Webサイトのセキュリティ対策ツール『CMS脆弱性診断サービス』を2023年4月4日より提供。またCMSのセキュリティ対策の重要性について挙げています。
サイバー攻撃は年々複雑化し、攻撃の種類や頻度も増加しています。被害件数は増加の一途をたどり、セキュリティ対策は企業の重要な課題となっております。
Webサイトにおいては、改ざんや不正ファイル(ウィルス・マルウェアなど)の設置などの被害も多く、Web担当者は日々インシデント対応に追われています。
このような被害の中には、CMS(Contents Management System)と呼ばれるサイト運用管理システムの脆弱性を狙われた事例も多くあります。CMSの導入は、利便性が高い反面、セキュリティリスクにも晒されています。
そのため「CMS脆弱性診断サービス」を、弊社専用サーバー/VPSサービスの『FutureWeb Pro』『FutuerWeb VPS』の無料オプションとして提供いたします。フューチャースピリッツ社のサーバーをご利用の方は、安心してCMSを導入し、ご利用いただくことが可能になります。
WordPress / Movable Type / Joomla! / Magento / Drupal などWebサイトの運用管理に欠かせないCMSの、致命的な脆弱性を検出する弊社ホスティングサーバーの無料オプションサービスです。
■CMS脆弱性診断サービスの特長
- WordPress / Movable Type / Joomla! / Magento / Drupal など主要CMSに対応
- ドメイン単位で検査対象を指定可能
- 毎月1回の自動診断で運用管理の負担なし
- 致命的な脆弱性を検出すると診断レポートを送付
■FutureWeb Pro /FutuerWeb VPSの無料セキュリティオプションとして提供
<FutureWeb Pro>
専用サーバー:月額55,000円+消費税~/初期98,000円+消費税~
<FutuerWeb VPS>
VPS(仮想専用サーバー):月額21,500円+消費税~/初期20,000円+消費税
WordPress / Movable Type / Joomla! / Magento / Drupal などのCMSを利用されているWebサイトへの導入をおすすめいたします。
IRサイト | いち早く脆弱性を見つけ対策を打つことで、公開情報の改ざんや不正ファイルの設置といったステークホルダーへの損害を防止することが可能となります。 |
大規模サイト | フォルダおよびコンテンツデータなどの階層化やページ数が多いサイトでは、脆弱性の発見が難しくなります。自動的に6階層 1000ページまでスキャンし、脆弱性を検出します。 |
サービスサイト | サービスごとにドメインやサブドメインが設定されている場合も、各ドメイン単位でお申込みいただくことで、全ドメインの脆弱性診断が可能です。 |
株式会社フューチャースピリッツ
・代表者:谷孝 大
・設 立:2000年1月/資本金:1億140万円
・URL: https://www.future-s.com/
・事業内容:
マネージドインフラソリューション事業、クラウドサービス事業、プロデュース事業、ソーシャルイノベーション事業
CMS(コンテンツ管理システム)は、ウェブサイトの作成や運営を容易にするためのプラットフォームですが、脆弱性のリスクも存在します。
主にCMSの脆弱性は以下の物が挙げられます。
・未更新のソフトウェア: WordPressやCMSのコアシステムやプラグイン、テーマなどが最新バージョンでない場合、既知の脆弱性が存在し攻撃者の対象となるリスクが生じます。
・弱い認証情報: システムに弱いパスワードやデフォルトのユーザー名/パスワードのままでログインしている場合、攻撃者による不正アクセスのリスクがあります。
・クロスサイトスクリプティング(XSS): XSSは、ウェブサイトに悪意のあるスクリプトを挿入することで、ユーザーのブラウザ上でスクリプトが実行される脆弱性です。これにより、攻撃者はユーザーのセッション情報を盗んだり、ウェブサイトのコンテンツを改ざんしたりすることができます。
・SQLインジェクション: SQLインジェクションは、ウェブサイトに不正なSQLクエリを挿入することで、データベースに対する不正なアクセスを可能にする脆弱性です。攻撃者はデータベースからデータを抽出したり、データを改ざんしたりすることができます。
これらは一般的なCMSの脆弱性の例であり、その他にも多くの脆弱性が存在する可能性があります。脆弱性は常に新たに発見され、修正が必要となります。セキュリティ対策としては、最新のソフトウェアのアップデートやパッチの適用、強力な認証情報の使用、適切な権限の設定、定期的なバックアップの作成などが推奨されます。また、ウェブサイトのセキュリティを定期的に監査し、セキュリティ対策を強化することも重要です。
そのほかCMSの脆弱性から守る方法は以下のようなセキュリティ対策を実施することが推奨されます。
・強力な認証情報の使用: ウェブサイトの管理者アカウントやFTPアカウントなどの認証情報には強力なパスワードを使用し、定期的に変更することが必要です。また、デフォルトのユーザー名やパスワードを使用しないようにし、2要素認証 (2FA) を有効にすることも推奨されます。
・セキュリティ対策の監視とログの確認: ウェブサイトのセキュリティ対策を定期的に監視し、ログを確認することで不正アクセスや異常なアクティビティを早期に検出し対応することができます。
「セキュリティ対策の監視とログの確認」は“WAF”と呼びます。WAFによるセキュリティ対策を行っている株式会社コネクティのCMS「Connecty CMS on Demand」を紹介しまたWAFについても触れたいと思います。
株式会社コネクティはクラウド型CMS「Connecty CMS on Demand」を提供しています。大企業向けの国産CMSとして管理が徹底されたシステムになっています。
今回紹介しました、「CMS脆弱性診断サービス」のようにセキュリティ面も事前に検知出来るように「WAF」機能が搭載しています。
WAFとはWeb Application Firewallの略で、Webアプリケーションに対する攻撃を防ぐためのセキュリティ技術の1つです。WAFは、WebサーバーとWebブラウザの間に配置され、Webトラフィックを監視し、悪意のある攻撃をブロックします。
クラウド型WAFとしては国内企業で有名なのは「SiteGuard(サイトガード)」ですが、「Connecty CMS on Demand」には機能として搭載しています(※1)。
おもに防げる攻撃はSQLインジェクション、クロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリ(CSRF)、OSコマンドインジェクション、ファイルインクルージョン攻撃、リモートファイルインクルージョン攻撃などで、ルールベースのセキュリティやパターンマッチング技術によって攻撃を検知し不正ログインや攻撃を防ぎます。
今回紹介しました「CMS脆弱性診断サービス」で診断するのももちろん大事ですが、そもそもセキュリティがしっかりしているCMSを選択するのも重要ではあります。企業のウェブサイトを改ざんされたくない、大事な書類をサーバーに保管しているなどセキュリティ面で不安な方は「Connecty CMS on Demand」を検討してみてください。
「Connecty CMS on Demand」
※1 追加オプション