無料のCMSは危険？企業Webサイトでリスクを避けるためのセキュリティ対策を解説します

Webサイトの更新業務を手軽に行うことができるCMS（コンテンツ・マネジメント・システム）。
「WordPress」といったオープンソースのツールを中心に世界中の多くの人に愛用されていますが、利用者が多いゆえに攻撃者から狙われる対象になりやすい傾向があります。

CMSの安全性を保つには、常に個別にセキュリティ対策をすることや最新バージョンにしておくことが必要になりますが、それでも安全性を100%にすることは困難だと言われます。

特に、WordPressなどの無料のCMSは自社で安全対策を行う必要があるため、攻撃者に狙われやすい性質を持っています。

企業が運用しているWebサイトでは、万一攻撃を受けてしまったときのための対策を未然に用意しておく必要があります。

昨今、Webサイトでのセキュリティ事故が起きたときに企業の対応が迅速でないと、炎上問題につながったり、企業の信頼を大幅に損なうようなケースが見受けられます。

万一に備えてのセキュリティ対策と攻撃された場合の検知対策、どちらの体制も整えておくことが重要です。

 

本コラムでは、CMSを導入したWebサイトに必要なセキュリティ対策についてご紹介します。

 

 

 

 

 

CMSとは

 

CMSとは「コンテンツ・マネジメント・システム」の略で、Webサイトのコンテンツを管理・更新するシステムを指します。

CMSを導入したサイトでは、アップしたコンテンツをCMSで一括で管理、CMSの管理画面上でWebサイトの編集や更新ができるようになります。


CMS管理画面の一例
（BlueMonkeyの管理画面では公開後と同じ見た目でWebサイトのコンテンツの編集が可能です）

 

 

CMS導入のメリット

CMSツールのおもな導入メリットは、HTMLやタグなどの複雑な専門知識がなくてもWebサイトのコンテンツを作成・更新することができるという点で、多くの個人・法人に活用されています。
特に近年はWebマーケティング業務を自社で行う企業が増えていることもあり、Webの専門知識を持たない人でもWebサイトを更新・管理するためにCMSを導入するケースが増えているようです。

CMSの種類（オープンソースと独自開発）

CMSで最もシェアが大きく、知名度も高いのが「WordPress」です。

2021年に行われた調査では、上場企業3,737社のうち3,110社がWordPressを導入しているという結果となりました。

詳しくはこちらの記事で解説しています▼

 

CMSの分類

WordPressなど、ソースコードが公開されていて無料で使用できるCMSは「オープンソース」CMSと呼ばれます。
一方で、企業が営利目的で開発し提供しているCMSは「独自開発」系CMSと呼びます。



「独自開発」系のCMSはランニングコストは発生しますが、国内企業が開発しているものであれば日本語対応の操作画面や、有人サポートといったメリットがあります。

さらに独自開発系のCMSはサーバーの管理の仕方によって「クラウド型」と「オンプレミス型」の2種類に分かれます。

クラウド型はツールの運営事業者がCMSサーバーを管理し、導入会社はインターネットを介してコンテンツにアクセスします。
一方、オンプレミス型は導入会社の社内にCMSサーバーを用意し、自社内でサーバーを管理する仕組みです。


国内ベンダーが提供するCMSツールは、オープンソースソフトの人気に対し、日本企業の実情を考慮した機能や手厚いサポート体制を備え、また、セキュリティ対策などの安全面を強化することで差別化を図っています。

 

オープンソースCMSの脆弱性を突いた「WordPress改ざん被害」

CMSがサイバー攻撃の対象になりやすい理由は、たとえばWordPressが全世界のWebサイトの42.5％を占めているというユーザー数の多さとも関連し、次のように挙げられます

 

・管理者ページのパスワード設定が簡易的なものになっている

→利用者数が多いぶん、パスワード管理の甘いWebサイトも多数存在し、攻撃者に見破られる

・オープンソースのCMSはソースコードを分析されやすい

<p→WordPressやJoomla!などのオープンソースタイプのCMSは、悪意のある第三者にソースコードを参照されると危険

・プラグインの脆弱性を突かれると情報漏洩などの被害に遭いやすい

→CMSはプラグイン（機能拡張のためのソフトウェア）が豊富なぶん、CMS自体のセキュリティ対策が万全であっても、プラグインのほうを狙われてそこから情報改ざんなどの被害に遭うおそれがある

オープンソース型が広く普及していて手軽に利用しやすい点、プラグインが豊富である点など、CMSのメリットがセキュリティ上の注意点となる傾向があるようです。

近年実際に起きた被害事例から、CMSが狙われたものを取り上げてご紹介します。

引用元：

https://w3techs.com/technologies/overview/content_management

 

 

WordPressのプラグインの改ざんで詐欺サイトへ誘導（2019年3～4月）

「Easy WP SMTP」「Yuzo Related Posts」といった人気プラグインの脆弱性を悪用した改ざん被害が2019年3月頃から相次いで起きました。

プラグインを改ざんされたWebサイトをそれと知らずに閲覧したユーザーが、詐欺サイトへ誘導されるという被害が報告されています。

 

 

WordPressで構築されたWebサイトに”トロイの木馬”（2019年2月）

2019年2月頃から、WordPressで構築されたWebサイトが改ざんされ、トロイの木馬系のマルウェア「Trojan.JS.Redirector」が埋め込まれる被害が相次いで起きました。

 

 

大塚商会のホスティングサーバ上の約5,000のWebサイトが改ざん被害（2019年1月）

2019年1月には、株式会社大塚商会のホスティングサーバがWordPressのIDを踏み台にした不正アクセスを受け、同サーバ上のWebサイトに不正なファイルが設置されるなどの改ざん被害に遭いました。被害件数は約5,000件にのぼるといいます。

 

 

企業サイトでのリスクを避けるためには「セキュリティ対策」「検知対策」「復旧対策」が必要

個人が運営するブログサイトなどが改ざん被害に遭った場合に賠償責任を問われる可能性は低いですが、企業が運営するWebサイト経由でマルウェアが拡散されるようなことがあれば、その企業の信頼が損なわれるだけでなく、訴訟に発展するおそれもあります。

加えて、復旧までの閉鎖期間中に見込まれたWebサイト経由での利益が0になるという被害もあります。改ざん対策には日ごろから注力すべきでしょう。

 

CMSの安全性を万全にするためには、改ざんを未然に防ぐ「セキュリティ対策」、万一改ざんを受けてしまった際に速やかに事態を把握するための「検知対策」、改ざん前の状態に戻す「復旧対策」の3点が必要となります。次に、それぞれについてご説明します。

 

 

①セキュリティ対策

Webサイトのセキュリティ対策では「多層防御」により全体を保護する必要があります。

多層防御とは、「ネットワークでの対策」「Webサーバでの対策」「アプリケーションでの対策」というように、複数の段階においてセキュリティ対策を設ける概念です。

 

しかし、オープンソースなどのCMSでWebサイトを構築していて、自社で別途セキュリティ対策を講じなければならない場合、手が回らずに単一施策になってしまっているケースも見受けられます。その場合にはWebアプリケーションのセキュリティ診断サービスを利用するという手もあるでしょう。

弊社クラウドサーカスが提供するCMS「BlueMonkey」は安全な多層防御を実装しています。
詳しくはこちらのページで解説しています▼

 

②検知対策

改ざんは、自社では気付きにくいケースが多く、不正な状態が長引いてしまいやすいのが特徴です。

また、企業のWebサイトから被害を受けたユーザーや、そのことを知ったユーザーからの信頼が大きく揺らぐというリスクもあります。

 

そのため、万が一、自社サイトが改ざんされてしまったときには、それをすばやく検知できる対策が必要です。

Webサイト改ざん被害の報告が管理者へ速やかにエスカレーションされれば、企業として迅速な対応ができ、さらなる被害の拡大や二次被害を軽減できるでしょう。

 

③復旧対策

近年、セキュリティ事故が起きた際に企業の対応が迅速でないと、炎上問題や信頼の失墜につながるケースが見受けられます。

復旧対策としてバックアップファイルを確実に保存し、Webページやコンテンツの改ざんを把握したら速やかに元の状態に復旧できるよう体制を整えておきましょう。

 

 

情報セキュリティインシデントへの対応フローを固めておこう

企業として自社の「情報セキュリティ基本方針」を制定し、未然に対応フローを構築しておくことが重要です。

 

たとえばGDPR（※）では、個人データが侵害されるインシデントが起きた際、72時間以内に監督機関へ報告することを義務づけています。そのため、ヨーロッパに商圏を持つ企業のWebサイトでは対応フローの構築は必須となります。

※GDPR……General Data Protection Regulation（一般データ保護規則）。EU域内の個人データ保護を規定する法として2016年4月に制定、2018年5月25日に施行された。

引用元：

https://www.ppc.go.jp/enforcement/infoprovision/laws/GDPR/

 

EUに商圏を持たない企業であっても、Webサイトの改ざんを含め、サイバー攻撃に遭った場合や、データやPC、スマホの紛失などによる情報漏えいなど、情報セキュリティインシデントが起きる可能性は身近にあふれています。もしもの場合は速やかな対応と状況の公表が求められるので、未然に対応フローを用意しておいたほうが良いでしょう。

 

 

【情報セキュリティインシデントへの対応フロー例】

 

情報セキュリティインシデントの把握

↓

公式コメント（第一報）…情報セキュリティインシデントが起きた事実の報告とお詫びなど

↓

情報セキュリティインシデントの詳細状況の把握・対応方針の決定

↓

公式コメント（第二報）…対応方針の開示

↓

情報セキュリティインシデントへの対応

↓

（対応が完了した段階で）解決の報告、お詫びと今後の改善案の開示

 

 

まとめ

Webサイトの改ざん被害はホームページを運営している人なら誰にとっても起こりうることで、決して他人事ではありません。

CMSでWebサイトを構築している場合は特にターゲットにされやすいことを意識し、検知や復旧のためのフローをあらかじめ整備しておくことが大切です。

 

オープンソースのCMSを採用している場合は、本コラムでご紹介したセキュリティ対策をすべて自社で依頼・構築する必要があります。

一方、独自開発のCMSを採用する場合は、セキュリティ対策の内容を事前に比較・検討し、自社にとってより万全なサービスを選ぶ必要があるでしょう。

 

クラウドサーカス株式会社が提供しているクラウド型の国産CMS「BlueMonkey（ブルーモンキー）では、2019年5月よりWebサイト改ざん検知サービスを追加しています。

多層防御によるセキュリティ対策に加え、デイリーでWebサイトをチェックし、異常を検知したらアラートメールで通知する改ざん検知、HA機能（自動ファイルオーバ－）やバックアップ体制による復旧対策を用意しています。

ご興味のあるWeb担当者様は、お気軽にお問い合わせください。




【CMSでどんなことができるの？という方へ】
弊社が開発するCMSツールBlueMonkeyでできることをシーン別にまとめました。
実際の操作画面なども紹介しながら、CMSでどんなことが実現できるか具体的にイメージできる内容となっています。

【CMS関連の記事】
CMSについてより詳しく知りたい方はこちらの記事もどうぞ！