Blue Monkey
  1. TOP
  2. コラム
  3. CMSに必要なセキュリティ対策とは?企業リスクを回避するための対策・検知・復旧体制の必要性

CMSに必要なセキュリティ対策とは?企業リスクを回避するための対策・検知・復旧体制の必要性

  • LINEで送る
  • このエントリーをはてなブックマークに追加

CMSはWebサイト更新業務の手軽さからオープンソースを中心に世界中の多くの人に愛用されていて、それゆえに攻撃者から狙われる対象になりやすい傾向があります。

CMSの安全性を保つにはつねに個別にセキュリティ対策をすることやつねに最新バージョンにしておくことが必要になりますが、それでも安全性を100%にすることは困難だと言われます。


そのため、企業として運用しているCMSのWebサイトでは、万一攻撃を受けてしまったときのための対策を未然に用意しておく必要があります。

もし、自社のWebページを攻撃者に改ざんされたことに気づいていない状態で、ユーザーが改ざん内容にだまされてしまった場合は、企業への信頼はどうなるでしょうか。


昨今、Webサイトでのセキュリティ事故が起きたときに企業の対応が迅速でないと、炎上問題につながったり、企業の信頼を大幅に損なうようなケースが見受けられます。

万一に備えてのセキュリティ対策と攻撃された場合の検知対策、どちらの体制も整えておくことが重要です。

本コラムでは、CMSに必要なセキュリティ対策についてご紹介します。



セキュリティに強いCMSならBlueMonkey▼

セキュリティにも強みを持ち、誰でも簡単に更新できる国産CMSBlueMonkeyの概要資料はこちら

CMSの基本知識については、下記の資料もご覧ください▼

代表的なツールやメリットをご紹介!CMSとは何かがわかる「CMS入門編」資料



CMSの脆弱性を突いた「改ざん被害」

CMSがサイバー攻撃の対象になりやすい理由は、たとえばWordPressが全世界のWebサイトの42.5%を占めているというユーザー数の多さとも関連し、次のように挙げられます。


・管理者ページのパスワード設定が簡易的なものになっている

→利用者数が多いぶん、パスワード管理の甘いWebサイトも多数存在し、攻撃者に見破られる

・オープンソースのCMSはソースコードを分析されやすい

→WordPressやJoomla!などのオープンソースタイプのCMSは、悪意のある第三者にソースコードを参照されると危険

・プラグインの脆弱性を突かれると情報漏洩などの被害に遭いやすい

→CMSはプラグイン(機能拡張のためのソフトウェア)が豊富なぶん、CMS自体のセキュリティ対策が万全であっても、プラグインのほうを狙われてそこから情報改ざんなどの被害に遭うおそれがある

オープンソース型が広く普及していて手軽に利用しやすい点、プラグインが豊富である点など、CMSのメリットがセキュリティ上の注意点となる傾向があるようです。

近年実際に起きた被害事例から、CMSが狙われたものを取り上げてご紹介します。

引用元:

https://w3techs.com/technologies/overview/content_management


  

WordPressのプラグインの改ざんで詐欺サイトへ誘導(2019年3~4月)

「Easy WP SMTP」「Yuzo Related Posts」といった人気プラグインの脆弱性を悪用した改ざん被害が2019年3月頃から相次いで起きました。

プラグインを改ざんされたWebサイトをそれと知らずに閲覧したユーザーが、詐欺サイトへ誘導されるという被害が報告されています。

WordPressで構築されたWebサイトに”トロイの木馬”(2019年2月)

2019年2月頃から、WordPressで構築されたWebサイトが改ざんされ、トロイの木馬系のマルウェア「Trojan.JS.Redirector」が埋め込まれる被害が相次いで起きました。

大塚商会のホスティングサーバ上の約5,000のWebサイトが改ざん被害(2019年1月)

2019年1月には、株式会社大塚商会のホスティングサーバがWordPressのIDを踏み台にした不正アクセスを受け、同サーバ上のWebサイトに不正なファイルが設置されるなどの改ざん被害に遭いました。被害件数は約5,000件にのぼるといいます。

企業サイトには「セキュリティ対策」「検知対策」「復旧対策」が必要

個人が運営するブログサイトなどが改ざん被害に遭った場合に賠償責任を問われる可能性は低いですが、企業が運営するWebサイト経由でマルウェアが拡散されるようなことがあれば、その企業の信頼が損なわれるだけでなく、訴訟に発展するおそれもあります。

加えて、復旧までの閉鎖期間中に見込まれたWebサイト経由での利益が0になるという被害もあります。改ざん対策には日ごろから注力すべきでしょう。

CMSの安全性を万全にするためには、改ざんを未然に防ぐ「セキュリティ対策」、万一改ざんを受けてしまった際に速やかに事態を把握するための「検知対策」、改ざん前の状態に戻す「復旧対策」の3点が必要となります。次に、それぞれについてご説明します。

①セキュリティ対策

Webサイトのセキュリティ対策では「多層防御」により全体を保護する必要があります。

多層防御とは、「ネットワークでの対策」「Webサーバでの対策」「アプリケーションでの対策」というように、複数の段階においてセキュリティ対策を設ける概念です。

しかし、オープンソースなどのCMSでWebサイトを構築していて、自社で別途セキュリティ対策を講じなければならない場合、手が回らずに単一施策になってしまっているケースも見受けられます。その場合にはWebアプリケーションのセキュリティ診断サービスを利用するという手もあるでしょう。

②検知対策

改ざんは、自社では気付きにくいケースが多く、不正な状態が長引いてしまいやすいのが特徴です。

また、企業のWebサイトから被害を受けたユーザーや、そのことを知ったユーザーからの信頼が大きく揺らぐというリスクもあります。

そのため、万が一、自社サイトが改ざんされてしまったときには、それをすばやく検知できる対策が必要です。

Webサイト改ざん被害の報告が管理者へ速やかにエスカレーションされれば、企業として迅速な対応ができ、さらなる被害の拡大や二次被害を軽減できるでしょう。

  

③復旧対策

近年、セキュリティ事故が起きた際に企業の対応が迅速でないと、炎上問題や信頼の失墜につながるケースが見受けられます。

復旧対策としてバックアップファイルを確実に保存し、Webページやコンテンツの改ざんを把握したら速やかに元の状態に復旧できるよう体制を整えておきましょう。

情報セキュリティインシデントへの対応フローを固めておこう

企業として自社の「情報セキュリティ基本方針」を制定し、未然に対応フローを構築しておくことが重要です。

たとえばGDPR(※)では、個人データが侵害されるインシデントが起きた際、72時間以内に監督機関へ報告することを義務づけています。そのため、ヨーロッパに商圏を持つ企業のWebサイトでは対応フローの構築は必須となります。

※GDPR……General Data Protection Regulation(一般データ保護規則)。EU域内の個人データ保護を規定する法として2016年4月に制定、2018年5月25日に施行された。

引用元:

https://www.ppc.go.jp/enforcement/infoprovision/laws/GDPR/

EUに商圏を持たない企業であっても、Webサイトの改ざんを含め、サイバー攻撃に遭った場合や、データやPC、スマホの紛失などによる情報漏えいなど、情報セキュリティインシデントが起きる可能性は身近にあふれています。もしもの場合は速やかな対応と状況の公表が求められるので、未然に対応フローを用意しておいたほうが良いでしょう。

【情報セキュリティインシデントへの対応フロー例】

情報セキュリティインシデントの把握

公式コメント(第一報)…情報セキュリティインシデントが起きた事実の報告とお詫びなど

情報セキュリティインシデントの詳細状況の把握・対応方針の決定

公式コメント(第二報)…対応方針の開示

情報セキュリティインシデントへの対応

(対応が完了した段階で)解決の報告、お詫びと今後の改善案の開示

まとめ

Webサイトの改ざん被害はホームページを運営している人なら誰にとっても起こりうることで、決して他人事ではありません。

CMSでWebサイトを構築している場合は特にターゲットにされやすいことを意識し、検知や復旧のためのフローをあらかじめ整備しておくことが大切です。

オープンソースのCMSを採用している場合は、本コラムでご紹介したセキュリティ対策をすべて自社で依頼・構築する必要があります。

一方、独自開発のCMSを採用する場合は、セキュリティ対策の内容を事前に比較・検討し、自社にとってより万全なサービスを選ぶ必要があるでしょう。

クラウドサーカス株式会社が提供しているクラウド型の国産CMS「Blue Monkey(ブルーモンキー)」では、2019年5月よりWebサイト改ざん検知サービスを追加しています。

多層防御によるセキュリティ対策に加え、デイリーでWebサイトをチェックし、異常を検知したらアラートメールで通知する改ざん検知、HA機能(自動ファイルオーバ-)やバックアップ体制による復旧対策を用意しています。

ご興味のあるWeb担当者様は、お気軽にお問い合わせください。

  • LINEで送る
  • このエントリーをはてなブックマークに追加

お問い合わせ・

ご相談窓口

CMSに関するお問い合わせ・お見積り等、
お気軽にご連絡ください。

お電話からのお問い合わせ

03-5339-2678

【受付】平日10:00〜12:00/
13:00~17:30