無料のCMSは危険？企業Webサイトでリスクを避けるためのセキュリティ対策を解説します

Webサイトの更新業務を手軽に行うことができるCMS（コンテンツ・マネジメント・システム）。「WordPress」といったオープンソースのツールを中心に世界中の多くの人に愛用されていますが、利用者が多いゆえに攻撃者から狙われる対象になりやすい傾向があります。
CMSの安全性を保つには、常に個別にセキュリティ対策をすることや最新バージョンにしておくことが必要になりますが、それでも安全性を100%にすることは困難だと言われます。

 

特に、WordPressなどの無料のCMSは自社で安全対策を行う必要があるため、攻撃者に狙われやすい性質を持っています。

 

企業が運用しているWebサイトでは、万一攻撃を受けてしまったときのための対策を未然に用意しておく必要があります。
昨今、Webサイトでのセキュリティ事故が起きたときに企業の対応が迅速でないと、炎上問題につながったり、企業の信頼を大幅に損なうようなケースが見受けられます。
万一に備えてのセキュリティ対策と攻撃された場合の検知対策、どちらの体制も整えておくことが重要です。

 

本コラムでは、CMSを導入したWebサイトに必要なセキュリティ対策についてご紹介します。

 

 

 

 

CMSとは

CMSとは「コンテンツ・マネジメント・システム」の略で、Webサイトのコンテンツを管理・更新するシステムを指します。CMSを導入すると、アップしたテキスト・画像・動画などのコンテンツを一括管理できるほか、管理画面上でWebサイトの編集や更新が行えます。

 

 

CMS管理画面の一例（BlueMonkeyの管理画面では公開後と同じ見た目でWebサイトのコンテンツの編集が可能です）

 

 

CMS導入のメリット

CMSツールのおもな導入メリットは、HTMLやタグなどの複雑な専門知識がなくてもWebサイトのコンテンツを作成・更新できる点です。更新・管理の容易さから、多くの個人・法人で 活用されています。特に近年はWebマーケティング業務を自社で行う企業が増えていることもあり、Webの専門知識を持たない人でもWebサイトを更新・管理するためにCMSを導入するケースが増えているようです。

 

 

CMSの種類（オープンソースと独自開発）

CMSで最もシェアが大きく、知名度も高いのが「WordPress」です。2024年に行われた調査では、上場企業3,842社のうち4,930件がWordPressを導入しているという結果となりました。詳しくはこちらの記事で解説しています。

• 上場企業で使われているCMSのシェア上位のランキングをご紹介！【定番CMSの比較に】

 

しかし、WordPress以外にもCMSは多数開発されており、有料・無料など区分でいくつかの分類に分けることができます。

 

 

CMSの分類

WordPressなど、ソースコードが公開されていて無料で使用できるCMSは「オープンソース」CMSと呼ばれます。一方で、企業が営利目的で開発し提供しているCMSは「独自開発」系CMSと呼びます。

 

 

「独自開発」系のCMSはランニングコストは発生しますが、国内企業が開発しているものであれば日本語対応の操作画面や、有人サポートといったメリットがあります。独自開発系のCMSはサーバーの管理の仕方によって「クラウド型」と「インストール型」、「オンプレミス型」の3種類に分かれます。クラウド型はツールの運営事業者がCMSサーバーを管理し、導入会社はインターネットを介してコンテンツにアクセスします。

 

「インストール型」は、ベンダーが独自開発したCMSを、自社のサーバーにインストールして使うタイプです。法人・企業向けに必要な機能をパッケージングして提供されることが多いため、「パッケージ型」と呼ぶ場合もあります。

 

「オンプレミス型」は導入会社の社内にCMSサーバーを用意し、自社内でサーバーを管理するCMSです。国内ベンダーが提供する「独自開発」系CMSは、日本企業の実情を考慮した機能や手厚いサポート体制が魅力です。また、セキュリティ対策などの安全面を強化することで、ほかCMSとの差別化を図っています。

 

 

CMSのセキュリティ対策が重要な理由・起こりうるリスク

CMSは世界中で広く利用されており、多くのウェブサイトが存在します。そのため一度に多くのサイトを狙える、CMSに対する攻撃が増えています。

 

管理体制が不十分なサイトは、セキュリティリスクが高く、攻撃の対象となりやすいため注意が必要です。実際、セキュリティ対策がされていないと、以下のようなリスクにさらされます。

 

• 個人情報流出のリスク
• 企業信頼性低下の危険性
• Webサイト運営停止のリスク

 

ハッカーによる不正アクセスが発生すると、Webサイトの改ざんや誤情報の発信、個人情報の流出などが発生します。

 

これは、企業の信頼性を低下させるだけでなく法的な問題を引き起こす可能性があります。未然に防ぐためにも、慎重な対応が必要です。

 

ランサムウェアを使った攻撃では、データを人質に身代金を要求される場合があります。また、Webサイトが攻撃を受けて運営停止に追い込まれる、不正アクセスやウイルス感染によりサイトが改ざんされて正常に稼働できなくなる、といったケースも考えられます。

 

 

CMSのセキュリティ課題

CMSのタイプによって、異なるセキュリティ課題が存在します。

 

 

オープンソース型の課題

オープンソース型CMSは、無料で利用でき、カスタマイズ性が高い点が魅力です。しかし、人気で使用者が多いこと、誰でもソースコードが閲覧できるなどの理由から、悪用されるリスクも潜んでいます。

 

具体的には、以下のような課題があります。

 

ソースコードの公開

ソースコードが公開されているため、攻撃者にとってシステムの弱点を見つけやすい環境です。

 

プラグインの脆弱性

機能拡張のためのプラグインは、開発元が異なるためセキュリティレベルにばらつきがあります。質の低いプラグインは、セキュリティホールとなる可能性があります。

 

アップデートの遅延

システムの脆弱性を解消するためのアップデートは、ユーザー自身で行わなければいけません。アップデートを怠ると、古いバージョンの脆弱性を突かれ攻撃を受けるリスクが高まります。

 

オープンソース型の代表であるWordPressは、それ自体にセキュリティ対策機能がありません。運用者自身で設定を行う必要があるため、素人作業では高度なセキュリティ対策は難しいかもしれません。CMSの中でも、オープンソース型はセキュリティリスクが高いタイプといえるでしょう。

 

 

クラウド型の課題

クラウド型CMSは、サービス提供業者のサーバーで運用されるため、サーバー管理の手間が省けます。しかし、外部サーバーに自社データを預けるため、以下のセキュリティ課題に注意が必要です。

 

データ管理

自社データが外部サーバーに保存されるため、外部サーバーから情報漏洩が発生するリスクがあります。データの取り扱いに関する契約内容をしっかりと確認することが重要です。

 

サービスへの依存

サービス提供業者にシステム運用を依存するため、セキュリティ対策の柔軟性が制限されます。提供業者のセキュリティ対策レベルを事前に確認しましょう。

 

共有環境のリスク

他の利用者とサーバーを共有するため、他の利用者のセキュリティ問題が自社に影響を与える可能性があります。

 

 

インストール型の課題

インストール型CMSは、自社サーバーにインストールして運用します。そのため、柔軟なカスタマイズが可能です。しかし、運用管理の責任も自社が負うことになります。
自社で管理を行うからこそ、専門的な知識と細心の注意が求められます。

 

サーバー管理

サーバー管理を自社で行うため、専門知識が必要です。適切な管理が行われない場合、脆弱性を突かれる可能性があります。

 

カスタマイズ

柔軟なカスタマイズが可能な一方、過度なカスタマイズはセキュリティホールを生む可能性があります。変更を加える際は、セキュリティへの影響を十分に検討する必要があります。

 

バージョン管理

CMSと関連ソフトウェアのバージョン管理は複雑です。アップデートの漏れが生じると、脆弱性を突かれるリスクが高まります。

 

 

オンプレミス型の課題

オンプレミス型は、自社でサーバーやソフトウェアを管理する形態です。インストール型と同様に、以下のセキュリティ課題が存在します。

 

サーバー管理

自社でサーバーを管理するため、専門知識と人的リソースが必要です。セキュリティ対策の専門家でなければ、適切な対策を講じることは困難です。

 

システム保守

ハードウェア、ソフトウェアの保守管理も自社で行う必要があります。定期的な点検、アップデートなど、継続的なメンテナンスが重要です。

 

さらに、物理的なサーバーの設置・管理も必要となるため、コストと手間がかかります。セキュリティ対策も自社で責任を持つ必要があるため、専門知識と人的リソースが不可欠です。

 

 

無料CMSは危険？オープンソース型の脆弱性を突いた「WordPress改ざん被害」の事例

CMSがサイバー攻撃の対象になりやすい理由は、無料CMSのWordPressが「全世界のWebサイトの43.7％を占めている」ことが挙げられます。ユーザーが多いということは、一度に多くのサイトを狙いやすいということです。さらに、以下の理由もあります。

 

• 管理者ページのパスワード設定が簡易的なものになっている
  →利用者数が多いぶん、パスワード管理の甘いWebサイトも多数存在し、攻撃者に見破られる

 

• オープンソースのCMSはソースコードを分析されやすい
  →WordPressやJoomla!などのオープンソースタイプのCMSは、悪意のある第三者にソースコードを参照されると危険

 

• プラグインの脆弱性を突かれると情報漏洩などの被害に遭いやすい
  →CMSは多種多様なプラグイン（機能拡張のためのソフトウェア）があり、CMS自体のセキュリティ対策が万全であっても、プラグインを狙われてそこから情報改ざんなどの被害に遭うおそれがある

 

オープンソース型が広く普及していて手軽に利用しやすい点、プラグインが豊富である点など、CMSのメリットがセキュリティ上の欠点となる傾向があるようです。
近年実際に起きた被害事例から、CMSが狙われたものを取り上げてご紹介します。

 

引用元：

• https://w3techs.com/technologies/overview/content_management

 

 

WordPressのプラグインの改ざんで詐欺サイトへ誘導（2019年3～4月）

「Easy WP SMTP」「Yuzo Related Posts」といった人気プラグインの脆弱性を悪用した改ざん被害が2019年3月頃から相次いで起きました。
プラグインを改ざんされたWebサイトをそれと知らずに閲覧したユーザーが、詐欺サイトへ誘導されるという被害が報告されています。

 

 

WordPressで構築されたWebサイトに”トロイの木馬”（2019年2月）

2019年2月頃から、WordPressで構築されたWebサイトが改ざんされ、トロイの木馬系のマルウェア「Trojan.JS.Redirector」が埋め込まれる被害が相次いで起きました。

 

 

大塚商会のホスティングサーバ上の約5,000のWebサイトが改ざん被害（2019年1月）

2019年1月には、株式会社大塚商会のホスティングサーバがWordPressのIDを踏み台にした不正アクセスを受け、同サーバ上のWebサイトに不正なファイルが設置されるなどの改ざん被害に遭いました。被害件数は約5,000件にのぼるといいます。

 

 

企業サイトでのリスクを避けるためには「セキュリティ対策」「検知対策」「復旧対策」が必要

個人が運営するブログサイトが改ざん被害にあった場合、賠償責任を問われる可能性は低いでしょう。しかし、企業が運営するWebサイト経由でマルウェアが拡散した場合は、その企業の信頼が損なわれるだけでなく、訴訟に発展するおそれもあります。

 

加えて、復旧までの閉鎖期間中に見込まれたWebサイト経由での利益が0になるという被害もあります。改ざん対策には日ごろから注力すべきでしょう。

 

CMSの安全性を万全にするためには、改ざんを未然に防ぐ「セキュリティ対策」、万一改ざんを受けてしまった際に速やかに事態を把握するための「検知対策」、改ざん前の状態に戻す「復旧対策」の3点が必要となります。次に、それぞれについてご説明します。

 

 

①セキュリティ対策

Webサイトのセキュリティ対策では「多層防御」により全体を保護する必要があります。
多層防御とは、「ネットワークでの対策」「Webサーバでの対策」「アプリケーションでの対策」というように、複数の段階においてセキュリティ対策を設ける概念です。

 

オープンソースなどのCMSでWebサイトを構築していて、自社で別途セキュリティ対策を講じなければならない場合、手が回らずに単一施策になってしまっているケースも見受けられます。その場合にはWebアプリケーションのセキュリティ診断サービスを利用するという手もあるでしょう。
弊社クラウドサーカスが提供するCMS「BlueMonkey」は安全な多層防御を実装しています。詳しくはこちらのページで解説しています。

 

 

②検知対策

改ざんは、自社では気付きにくいケースが多く、不正な状態が長引いてしまいやすいのが特徴です。
また、企業のWebサイトから被害を受けたユーザーや、そのことを知ったユーザーからの信頼が大きく揺らぐというリスクもあります。

 

そのため、万が一、自社サイトが改ざんされてしまったときには、それをすばやく検知できる対策が必要です。
Webサイト改ざん被害の報告が管理者へ速やかにエスカレーションされれば、企業として迅速な対応ができ、さらなる被害の拡大や二次被害を軽減できるでしょう。

 

 

③復旧対策

近年、セキュリティ事故が起きた際に企業の対応が迅速でないと、炎上問題や信頼の失墜につながるケースが見受けられます。
復旧対策としてバックアップファイルを確実に保存し、Webページやコンテンツの改ざんを把握したら速やかに元の状態に復旧できるよう体制を整えておきましょう。

 

 

セキュリティに強いCMSの選び方

CMSには種類があり、それぞれにセキュリティ課題があります。しかし、CMSのサービスやベンダーの取り組みにより、その課題を最小限に抑えることも可能です。

 

ここでは、セキュリティに強いCMSの選び方を紹介します。

 

 

定期的なアップデート

CMSは新たなセキュリティリスクに対応するため、定期的なアップデートが欠かせません。アップデートがこまめに行われているCMSであれば、セキュリティに対する意識が高いと判断できます。
更新が滞っていると、脆弱性が放置される危険性が増すため、選定時に確認しましょう。

 

 

セキュリティ機能の充実度

多層防御などのセキュリティ機能が充実しているか確認しましょう。具体的には、以下の機能が搭載されていると安心です。

 

• ２段階認証
• アクセス制限
• ログ管理
• データ暗号化

 

これらの機能は、意図しないアクセスやデータ漏洩を未然に防ぐ手助けになります。

 

 

ベンダーやコミュニティのサポート状況

何か問題が起きた際に、迅速なサポートを受けられる体制かどうか確認しておきましょう。メーカーやユーザーコミュニティが積極的にサポートを行っているCMSであれば、トラブルが起きても素早い対応が期待できます。特にサポート情報やユーザーフォーラムなどが活発なCMSは、問題解決のスピードが速いです。

 

 

権限管理の柔軟性

メンバーのアクセス権を細かく設定できるCMSは、安全性を高めます。たとえば、コンテンツの編集や公開権限を細かく管理することで、誤操作や情報漏えいリスクを最小限に抑えられます

 

 

情報セキュリティインシデントへの対応フローを固めておこう

企業として自社の「情報セキュリティ基本方針」を制定し、未然に対応フローを構築しておくことが重要です。

 

たとえばGDPR（※）では、個人データが侵害されるインシデントが起きた際、72時間以内に監督機関へ報告することを義務づけています。そのため、ヨーロッパに商圏を持つ企業のWebサイトでは対応フローの構築は必須となります。
※GDPR……General Data Protection Regulation（一般データ保護規則）。EU域内の個人データ保護を規定する法として2016年4月に制定、2018年5月25日に施行された。

 

引用元：

• https://www.ppc.go.jp/enforcement/infoprovision/laws/GDPR/

 

EUに商圏を持たない企業であっても、Webサイトの改ざんを含め、サイバー攻撃に遭った場合や、データやPC、スマホの紛失などによる情報漏えいなど、情報セキュリティインシデントが起きる可能性は身近にあふれています。もしもの場合は速やかな対応と状況の公表が求められるので、未然に対応フローを用意しておいたほうが良いでしょう。

 

 

【情報セキュリティインシデントへの対応フロー例】

情報セキュリティインシデントの把握
↓
公式コメント（第一報）…情報セキュリティインシデントが起きた事実の報告とお詫びなど
↓
情報セキュリティインシデントの詳細状況の把握・対応方針の決定
↓
公式コメント（第二報）…対応方針の開示
↓
情報セキュリティインシデントへの対応
↓
（対応が完了した段階で）解決の報告、お詫びと今後の改善案の開示

 

 

自社でできるCMSのセキュリティ対策

CMSのセキュリティ対策は、外部からの攻撃を防ぐものと、内部からの流出を防ぐものの2通りがあります。どちらも重要です。両面から対策を行い、安全性を高めましょう。

 

 

内部的なセキュリティ対策

内部的なセキュリティ対策として、バージョン管理、アクセス権限管理、パスワード管理などが挙げられます。

 

 

最新バージョンにアップデート

CMSを常に最新バージョンに保ちましょう。古いバージョンにはセキュリティの脆弱性が潜んでいます。最新版にすることで、既知の脆弱性を修正できます。オープンソースやパッケージ型のCMSは、自社で定期的に更新が必要です。

 

プラグインや拡張機能のアップデートも忘れてはいけません。発見された脆弱性からサイトを守ることができます。不必要なプラグインを削除することもセキュリティ向上につながります

 

 

定期的な見直し・パスワードの設定

パスワードは定期的に変更し、大文字、小文字、数字、特殊文字を組み合わせた複雑な文字列にします。また、CMSのアクセス権限を適切に設定し、不要な権限は付与しないようにしましょう。

 

セキュリティツールやスキャナーで定期的に脆弱性をチェックするのもおすすめです。潜在的な問題を早期に発見できます。

 

このほか、データ損失に備えて、定期的にバックアップをとっておくことも大切です。定期的にセキュリティ設定を見直し、必要に応じて対策を強化することで、より強固なセキュリティ体制を構築できます。

 

 

内部のセキュリティ意識を高める

セキュリティ対策は技術的な側面だけでなく、利用者の意識も重要です。不審なファイルのダウンロードやURLのクリックを控えるなど、基本的なルールを設けましょう。定期的な研修を開催して、情報漏洩のリスクを周知することも効果的です。

 

こうした意識改革が、日常の小さなセキュリティリスクを減らします。

 

 

外部攻撃への対策

外部からの攻撃には、WAFの導入が有効です。

 

 

WAFの導入

CMSの脆弱性を補うために、WAF（Web Application Firewall）の導入を検討しましょう。WAFとは、CMSへの攻撃を防御する特殊なファイアウォールのようなものです。

 

通常のファイアウォールは、外部からの不正アクセスをブロックすることでネットワーク全体を守りますが、CMSを狙った巧妙な攻撃までは防ぎきれません。そこで活躍するのがWAFです。

 

不正にデータを取得・改ざんしようとする攻撃をブロックしたり、ユーザーの個人情報漏洩につながる攻撃を阻止したりと、従来のファイアウォールでは防ぎきれなかった攻撃をピンポイントで防御して、セキュリティレベルを向上させます。

 

WAFの性能は製品や設定によって異なり、最新の攻撃手法も常に変化しています。WAF導入時に、何に対応できるのか、詳細を確認しておきましょう。

 

 

まとめ

Webサイトの改ざん被害はホームページを運営している人なら誰にとっても起こりうることで、決して他人事ではありません。
CMSでWebサイトを構築している場合は特にターゲットにされやすいことを意識し、検知や復旧のためのフローをあらかじめ整備しておくことが大切です。

 

オープンソースのCMSを採用している場合は、本コラムでご紹介したセキュリティ対策をすべて自社で依頼・構築する必要があります。
一方、独自開発のCMSを採用する場合は、セキュリティ対策の内容を事前に比較・検討し、自社にとってより万全なサービスを選ぶ必要があるでしょう。

 

クラウドサーカス株式会社が提供しているクラウド型の国産CMS「BlueMonkey（ブルーモンキー）では、2019年5月よりWebサイト改ざん検知サービスを追加しています。
多層防御によるセキュリティ対策に加え、デイリーでWebサイトをチェックし、異常を検知したらアラートメールで通知する改ざん検知、HA機能（自動ファイルオーバ－）やバックアップ体制による復旧対策を用意しています。
ご興味のあるWeb担当者様は、お気軽にお問い合わせください。