CMSのセキュリティ対策はなぜ必要？仕組み上・運用上のリスクと対策を解説

Webサイトの運用を専門知識なしで行えるCMSは、プログラミングやWebデザインの知識がなくてもWebサイトを構築・運営できる手軽さから、多くの企業で導入されています。しかし、サイバー攻撃によるコンテンツの改ざんなど、セキュリティにかかわる問題が多く報告されている現状があります。

本記事では、なぜCMSにはセキュリティ上の問題が指摘されているのかを解説し、脆弱性によって起こりうる被害事例についても解説します。情報の漏えいや改ざんといったセキュリティリスクから自社のWebサイトを守るためにも、ぜひ参考にしてください。

CMSとは、Contents Management System（コンテンツ・マネジメント・システム）の頭文字を取ったもので、 Web制作を行う際に、専門的な知識がなくてもコンテンツを作成・管理・更新できるシステムのことです。

大企業が独自の大規模なWebサイトを構築する場合などを除き、Webの制作・運用にはCMSがほとんど必須となっています。

CMSの仕組み上のリスク

CMSはその仕組み上、大きく「オープンソース型」と「独自開発型」に分かれます。独自開発型はさらにクラウドとオンプレミスに分かれますが、現在はほとんどがクラウドで提供されています。

このうち、オープンソース型のCMSには仕組み上のセキュリティリスクが指摘されています。なお、オープンソース型CMSの代表例にはWordPressがあり、日本では全CMSの約8割を占めています。
 

攻撃者にとって開発リターンが大きい

オープンソース型のCMSは利用者が多いことから、サイバー攻撃による利益が得やすいということもできます。そのため、悪意ある攻撃者にとっては十分なリターンがあり、脆弱性も発見されやすいという特徴があります。
 

オープンソースのため脆弱性を見つけやすい

オープンソース型のCMSは、誰でも開発や改良が行えるようにソースコードを基本的にすべて公開しています。これはさまざまなニーズに合わせた製品やサービスが生まれやすいメリットがある一方で、すべてのソースがわかることから脆弱性を見つけやすいという弱点もはらんでいます。
 

膨大なプラグインが攻撃のきっかけとなりうる

オープンソース型のCMSでは、機能を拡張するための豊富なプラグインを利用できる点が特徴です。ソースが公開されていることで多種多様なプラグインが作られるというメリットがありますが、一方で、プラグイン経由でサイバー攻撃が行われるリスクもあります。
 

CMSの運用上のリスク

CMSはコンテンツの作成・更新が簡単に行えることから、実際には運用も制作会社へ依頼するケースも多いものの、自社で内製化しやすいというメリットがあります。一方で、運用上のセキュリティリスクにも注意が必要です。
 

担当者の属人化リスク

中小企業でWebサイトの運用を内製化した場合、対応が属人化するケースは少なくないでしょう。その場合、担当者が退職した場合などに十分な引き継ぎが行われず、セキュリティに関する対策も不十分になってしまう可能性があります。
 

初心者にはセキュリティ導入のハードルが高い

CMSを安全に保つ策としては、CMSのバックアップを取っておくこと、WAFなどのセキュリティ技術を導入することなどが挙げられますが、初心者ではハードルの高い作業になります。
 

CMSツールといえば、世界全体のWebサイトの約4割を占める「WordPress（ワードプレス）」が連想されます。 WordPressに代表されるオープンソース型のCMSは無料なので、個人から企業まで多くのユーザーに利用されています。

無料のCMSは気軽に導入できますが、自社で安全対策をしなければならずセキュリティリスクが高い傾向にあるのが特徴です。

一方で、CMSにはクラウド型に代表される有料ツールもあります。有料のクラウド型と無料のオープンソース型のCMSを比較すると、次のような違いがあります。
 

WordPressなどオープンソース無料型

WordPressなどの無料で使えるオープンソース型CMSは、ソースコードが公開されているため脆弱性が見つかりやすく、サイバー攻撃の対象になりやすいといわれています。

実際に、WordPressでは脆弱性を狙った不正アクセスが問題視されています。特に初心者の場合は、セキュリティ対策を講じていないケースが見受けられます。そのようなWebサイトでは、簡単に情報を抜き取られたり、改ざんされたりしてしまうので注意が必要です。

WordPressにおいては、特に、本体・テーマ・プラグインなどにセキュリティリスクがあります。脆弱性はプログラムのある場所に生じるため、特にこの3つは注意しておきましょう。
 

クラウド型CMSなど有料型

クラウド型CMSは有料ではありますが、ベンダーにセキュリティ対策を一任できるのが大きなメリットです。自分でセキュリティ対策やメンテナンスなどを行う必要がなく、Webサイトのセキュリティ対策に詳しくなくてもベンダーに任せられるので、不正アクセスやウイルス感染などのリスクを未然に防げます。

クラウド型CMSは、完成されたシステムに情報をアップロードするだけで簡単にWebサイトが作れるため、安全性が高いのはもちろん導入費用を抑えられるのも魅力です。
 

CMSの導入にあたり、サイバー攻撃を防ぐためのセキュリティ対策が必要になります。ここでは、CMSの導入時や運用時にやっておくべき対策を見ていきましょう。
 

CMSのバージョンを最新の状態に保つ

オープンソース型、独自開発型にかかわらず、開発が続く限りは最新版がリリースされます。

最新版には脆弱性に対する修正が含まれていることもあるため、CMSのバージョンは常に最新に保っておくことが重要です。
 

PHPの更新

PHPとはプログラミング言語の一種であり、例えばWordPressはPHPにて動いています。

プログラミング言語もセキュリティ対策を含む更新が行われるため、常に最新版へのアップデートが必要です。
 

SSLの導入

Webサイトと訪問ユーザーとの間に発生する通信を暗号化するSSLの導入は、セキュリティ対策において必須の項目です。SSLが導入されていないと、Google 検索で結果に表示されてもセキュリティ上の警告が出るなど、SEOにおいても大きな影響があります。

SSLが導入されていれば、URLの先頭に「s」がついて「https」になります。
 

セキュリティプラグインの導入

WordPressなどのオープンソース型CMSでは、セキュリティ対策を強化するプラグインも提供されています。

そういったプラグインを導入することで、セキュリティリスクを下げることにつながります。
 

プラグインの定期的なメンテナンス

前述のとおり、プラグイン経由でサイバー攻撃が行われることもあります。

そのため定期的にプラグインを見直し、更新の止まっているものは削除するなど整理を行いましょう。
 

セキュリティの高いパスワード設定

ログインなどに使用するパスワードを強固なものにすることも、セキュリティを高めることにつながります。

チームでパスワードを共有する際は、管理にも十分注意しましょう。
 

ベーシック認証をセット

ベーシック認証とは、httpの仕組み上で設定できる認証機能です。簡単に設定することができ、CMSへのログインをあわせて二重にパスワードを設けることができます。
 

WAFの利用

WAF（Web Application Firewall）とは、通信を監視し、Webアプリケーションの脆弱性を突いた通信があった場合にそれを遮断するシステムです。大まかにいえば、「通常とは違う通信」が行われたときに、「この動きは悪意あるふるまいかもしれない」と判断して保護します。

すでにインターネット上に公開されているWebサイトを保護するには、WAFが特に強力だといわれています。
 

海外IP遮断

海外からの不正アクセスが懸念される場合には、サーバーにて海外IPからのアクセスを遮断することができます。
 

VPNの導入

VPN（Virtual Private Network：仮想プライベートネットワーク）とは、インターネット回線内に自身しか使用できないネットワークを構築する技術・サービスです。VPNを介した通信は暗号化され、第三者から読み取れなくなります。

VPNを介したアクセスを徹底することで、セキュリティリスクを高められます。
 

CMSの脆弱性を狙ったサイバー攻撃には、さまざまな種類があります。ここでは、それぞれの手口と危険性を見ていきましょう。
 

ウイルス感染

ウイルス感染は、ウイルスが埋め込まれた Webサイトの閲覧や、電子メールに添付された、ウイルス感染ファイルの実行が代表的な手口です。

ウイルスに感染すると、Webサイト内の情報を抜き取られてしまいます。知らない間に感染してしまうケースも多いため、注意が必要です。
 

DDoS攻撃

DDoS攻撃は、従来から存在するサイバー攻撃の1つで、サーバーに対して大量のアクセスをすることで大きな負荷をかけるのが特徴です。

負荷のかかったサーバーはダウンしてしまい、その際の混乱に乗じて情報の抜き取りが行われます。
 

ランサムウェア

ランサムウェアは、ウイルス感染したパソコンのシステムを制御して乗っ取ったり、情報を抜き取ったりする手口です。

乗っ取られたパソコンの情報と引き換えに金銭を要求してくることがあります。
 

ゼロデイ攻撃

ゼロデイ攻撃は、システムに脆弱性が見つかった際、修正プログラムが提供される前に攻撃してくるサイバー攻撃です。

脆弱性が見つかってからすぐに攻撃を開始するため、ゼロデイ攻撃と呼ばれており、非常に対策がしづらいサイバー攻撃とされています。
 

フィッシング

フィッシングは、ユーザーを特定のWebサイトに誘導させて情報を漏えいさせる手口です。

よくあるのが大手通販サイトの偽サイトを用意し、クレジットカードなどの情報を入力させる方法です。一目見ただけでは偽物と分からず、騙されて被害に遭う方も多くなっています。
 

SQLインジェクション

SQLインジェクションは、サイバー攻撃の代表的な手口の1つです。

問い合わせフォームなどからSQL文を織り交ぜたメッセージを送り、情報の漏えいやサイトの改ざんなどを狙うやり方です。
 

CMSの脆弱性を攻撃された例は数多くあります。ここでは、実際の事例を参考に、CMSの脆弱性に対する攻撃による被害例を3つご紹介します。
 

事例1：不正アクセス

1つ目の事例は、企業のオウンドメディアへの不正アクセスです。

プラグインの脆弱性を突かれてしまったことが大きな原因とされており、最新版へのアップデートを怠っていたために不正アクセスが行われました。

その結果、顧客に対する大量のスパムメールが送信される被害が出ています。
 

事例2：情報の改ざん

2つ目は、Webサイトの情報が改ざんされた事例です。サイト内のコンテンツが改ざんされて偽の情報が掲載された結果、サイトを訪れたユーザーは悪意のあるサイトへ誘導されてしまいました。

こちらもプラグインの脆弱性を突かれたのが原因とされています。
 

事例3：情報の漏えい

3つ目は、企業のWebサイトがプログラムの脆弱性を突かれて改ざんされた事例です。該当のWebサイトへアクセスすると、悪意ある外部サイトへと誘導される状態になっていました。

この事例では、WordPressのセキュリティ更新を怠り長期にわたって脆弱性を放置していたことが原因とされています。
 

CMSツールは Webサイトを作る際には非常に便利ですが、サイバー攻撃を受けやすいのも事実です。そのため、セキュリティ状態を最新に保っておく、高機能なセキュリティプラグインを入れるなどのセキュリティ対策が必要になります。

脆弱性に対してきちんと対応しなければ、サイバー攻撃の標的となってしまうので注意が必要です。特に、企業にとって顧客情報は大切な資産です。不正アクセスが行われた結果、顧客情報の漏えいが生じれば、信頼低下を招きかねません。サイバー攻撃を未然に防ぐためのセキュリティ対策を講じていれば、安心、信頼できる企業として顧客からの評価にもつながります。

ウイルスや不正アクセスの検知機能を導入し、定期的なバックアップや安全性の高いパスワードの設定を行うなど、セキュリティ対策を万全にしましょう。

CMSの導入、運用時には、ぜひ本記事を参考にセキュリティ対策を行ってください。