CMSのセキュリティ対策は?脆弱性の攻撃リスクと対策を解説!
サイバー攻撃によるビジネスへの被害・損失は甚大です。CMSのセキュリティリスクと企業が行うべき対策を解説します。
目次
■ 1. CMSとは:基本から理解する >>
1.1 CMSの定義 >>
1.2 主要なCMS >>
■ 2. CMSのセキュリティの重要性:Webサイトのセキュリティリスク >>
2.1 サイバー攻撃の具体的なリスク >>
2.2 ビジネスへの直接的な影響 >>
■ 3. CMSの主なセキュリティ脅威 >>
3.1 SQLインジェクション >>
3.2 クロスサイトスクリプティング (XSS) >>
3.3 DoS/DDoS攻撃 >>
■ 4. CMSのセキュリティ強化対策例:技術 >>
4.1WAF (Web Application Firewall) の導入 >>
4.2 二段階認証の導入 >>
■ 5. CMSのセキュリティ強化対策例:運用管理ガイドライン >>
5.1 アップデート管理の重要性 >>
5.2 強固なパスワードポリシー >>
5.3 CMSの機能を活用した運用ルール >>
■ 6. まとめ >>
Webサイトの基盤としてのCMS(コンテンツ管理システム)。そのセキュリティ対策は、サイト管理者にとって絶えず考慮すべきテーマと言えます。今回は、その重要性と具体的な対策方法について詳しく解説していきます。
1.1 CMSの定義
CMSとは、Webサイトのコンテンツを効率的に作成、編集、管理できるソフトウェアの一種です。特にプログラミングの知識が少ない方でも、手軽にWebサイトを運営できるのが最大の特長です。企業のWebサイトなど、日々コンテンツの更新が必要なWebサイトは、HTMLを手動で編集するよりもはるかに効率良く運用できます。
1.2 主要なCMS
WordPress:世界で最も人気があり、プラグインやテーマが豊富。カスタマイズ性に富んでいます。
Joomla:ユーザーフレンドリーで、社交的なサイトやeコマースサイトに適しています。
Drupal:拡張性が高く、大規模なWebサイトやアプリケーションの開発に向いています。
Sitecore:エンタープライズ向けのCMSであり、カスタマーエクスペリエンス管理を強化したプラットフォームです。
Adobe Experience Manager (AEM):エンタープライズ向けのCMSであり、デジタルエクスペリエンスを一元的に管理できることが特徴です。
Connecty CMS on Demand:国産でエンタープライズ向けのクラウド型CMSであり、大規模・複数Webサイト管理が可能です。WAFなどのセキュリティ機能や権限管理機能など、企業向けでも安心して使える設計のため、日本の大手企業に数多く採用されているのが特徴です。
CMSの詳しい解説は過去の記事「CMSとは?企業ホームページにおすすめのCMS7選」を参照ください。
2.1 サイバー攻撃の具体的なリスク
サイバー攻撃を受けた場合、Webサイトの改ざんだけでなくWebサイトそのものが消されてしまう可能性もあります。また、仮に顧客データなどの重要な情報が漏洩してしまった場合、その被害やビジネスへの影響は甚大です。
2.2 ビジネスへの直接的な影響
Webサイトが正常に動作しない、あるいは顧客のデータが第三者に漏れることは、ビジネスにとって非常に大きな損失をもたらします。具体的には、売上の減少、法的責任、再発防止のためのコスト増加などが考えられ、さらには企業イメージや顧客からの信頼を大きく損なうことになります。
企業へのサイバー攻撃として記憶に新しい例を挙げると、スイーツ系オンラインショップで約7,600件もの顧客のクレジットカード情報が漏洩した事故や、鉄道会社のインターネットサービスで3,200人ものアカウントに不正ログインがあった事故などがあります。また、2015年3月頃から、WordPressの画像関連プラグインの脆弱性を狙った攻撃が頻発し、過激派組織「ISIS」を名乗る改ざんが世界中で行われました。(現在この脆弱性は改善されています)
3.1 SQLインジェクション
不正なSQL命令を挿入することで、データベースから情報を不正に取得したり、破壊したりする攻撃方法です。SQLはコマンドを入力し、データベースからデータを抽出したりするのですが、そのコマンドに対して意図しないコマンドを実行させることにより不正な操作を行わせるという攻撃です。対策としては、「エスケープ処理(プログラム言語で使用される特別な文字や記号をルールに沿って別の文字列に書き換える仕組み)」や、「プリペアドステートメント(動的にSQL文を生成する際に複雑な値で生成する仕組み)」、「ログの監視・解析」などが挙げられます。
3.2 クロスサイトスクリプティング (XSS)
ウェブアプリケーションに不正なスクリプトを埋め込むことで、他のユーザーの情報を不正に取得する攻撃です。対策としては、「ユーザーからの入力値をそのまま表示しない」、「適切なエスケープ処理を行う」などがあります。
3.3 DoS/DDoS攻撃
悪意のある攻撃者が脆弱性のあるWebサイトやサーバーに不正なデータを送りつけてエラーを起こしたり、多数のコンピュータからターゲットとなるサイトに大量のアクセスを行い、サービスを利用不能にする攻撃です。対策としては、「トラフィックの監視やフィルタリング」、「専用の対策サービスを利用するなど」が挙げられます。比較的単純な攻撃方法ですが、ウェブサイトを落とすには十分な攻撃と言えます。
4.1WAF (Web Application Firewall) の導入
WAFは、ウェブアプリケーションに対する様々な攻撃を検出し、ブロックするためのファイアウォールです。設定や更新を適切に行うことで、多くの脅威からサイトを守ることができます。
下のグラフは、コネクティのCMS「Connecty CMS on Demand」のWAF機能により実際にブロック対処した不正なリクエスト総数の推移です。内訳としては、DDoSや様々なサイトへの攻撃を繰り返している接続元からの不正リクエストなど、組織的と思われる攻撃の比率が増加しています。これらは短期間に大規模な攻撃にエスカレートするリスクがあり、通常の監視運用による都度の対処では防御が間に合わない可能性があります。そのためWAFを導入してセキュリティ対策を講じる企業が増えてきました。
4.2 二段階認証の導入
ログイン時にパスワードだけでなく、SMSやアプリを使用して二段階の認証も行う方法です。二段階認証を導入することにより、IDとパスワードが流出しても不正ログインされる危険性が大幅に軽減します。
認証アプリ:
Google AuthenticatorやAuthyなどの認証アプリを選びます。Adobeやマイクロソフトは独自の認証アプリがありますが、多くのサービスはGoogle Authenticatorに対応しています。
SMS認証:
SMS認証はログイン時にSMSへワンタイムパスワードを送信するというものです。ただ携帯電話の紛失や電話番号が変わった際に設定が再度必要になるなど懸念点もあります。
メール認証:
メール認証はSMS認証に似ており、ログイン時に登録してあるメールアドレスにワンタイムパスワードを送信するというものです。
BASIC認証:
非常にシンプルですが確実に効果のある認証方法です。HTTPや特定のファイルに対して認証制限を掛けるもので、CMS全体にも制限をかけることが可能です。これにより二重でのログインを必要とし不正アクセスを防ぐことが出来ます。
CMSの設定変更:
対応するプラグインやモジュールを導入し、二段階認証を設定します。
これらの二段階認証の導入にあたり、ユーザーへの説明や教育も不可欠です。安全なログイン方法を伝えるためのユーザーマニュアルやワークショップを実施することをおすすめします。
5.1 アップデート管理の重要性
CMSやプラグイン、テーマのアップデートはセキュリティを保つ上で非常に重要です。これらのアップデートには、新機能だけでなくセキュリティホールの修正も含まれることが多いため、定期的にチェックして最新版を適用するように心掛け、セキュリティを強固なものにしましょう。
余談ですが、企業向けCMSはアップデートが有償なのか無償なのか注意が必要です。ウェブサイトリニューアルやCMS選定の際は、定期的なアップデートが必要になることも考慮して運用コストを試算しておくと良いでしょう。
5.2 強固なパスワードポリシー
簡単なパスワードや、同じパスワードを複数のサイトで使用することは避けるべきです。パスワード管理ツールを利用することで、強力なパスワードを容易に管理・利用することができます。「大文字・小文字・数字・記号を混在させる」「8文字以上」「誕生日など推測されやすい数字は使わない」などの基本的なことから、パスワードの管理・共有方法など決めておく必要があります。また、定期的にパスワードを変更することや、従業員へのセキュリティ教育も効果的です。
5.3 CMSの機能を活用した運用ルール
CMSは基本的なセキュリティ機能を備えていることが多いので、それらの機能を最大限に活用することが重要です。また大勢で運用する場合は、最低限のルールも取り決めておくべきでしょう。
ユーザー権限管理:
多くのCMSでは、ユーザーの役割や権限を設定することができます。例えば、「記事の投稿のみ許可されたユーザー」「CMSの設定変更ができるユーザー」など、ユーザーごとに細かく権限を制御することで不要なリスクを回避します。
オートバックアップと復元:
定期的な自動バックアップを設定することで、何らかのトラブルや攻撃によるデータ損失の際に迅速に復元することが可能です。多くのCMSには、この機能が組み込まれていますので、設定を確認し、適切な間隔でのバックアップを取得するようにしましょう。
アクセス制限とログの監視:
CMSの管理画面へのアクセスを、特定のIPアドレスからのみ許可する設定や、不正なログイン試行を検知してアラートを出すなど、アクセス制御とログの監視は基本的ながら非常に効果的なセキュリティ手段です。
承認ワークフロー:
多くのCMSにはコンテンツの公開前に承認プロセスを経る「承認ワークフロー」の機能が備わっています。この機能を活用することで、誤った情報の公開や、意図しない変更を未然に防ぐことができます。特に大きな組織やチームでの運用時には、公開前のレビューやチェックの体制を確立し、誤公開のリスクを低減させることが推奨されます。
またこういった承認ワークフローは上記の権限管理とあわせて活用すると良いでしょう。
運用ルールの策定と共有:
組織内でのCMSの運用ルールを明確に策定し、すべての関係者と共有することも重要です。例えば、プラグインの導入の際の検証プロセス、緊急時の連絡体制など、事前にルールを確立しておくことで迅速な対応やトラブルを未然に防ぐことができます。
企業のウェブサイトを管理するCMSのセキュリティ課題は、日々新しい脅威が出現する中で絶えず進化しなければならない戦いです。技術的な対策だけでなく、ユーザー教育や組織全体の意識向上が求められます。
特に企業でウェブサイトを運営(CMSを利用)される方は、セキュリティ面がしっかりしているCMSを選択することも重要です。自社のウェブサイトを改ざんされたくない、大事なデータや個人情報をサーバーに保管しているなどセキュリティで不安な方は、本記事を参考に検討してみてください。