CMSとはコンテンツマネジメントシステムの略であり、オープンソースのものを利用すれば誰でも気軽に利用できます。CMSにはHTMLやCSS、PHPなどを理解しなくてもWebページやコミュニティサイトを作成することができます。利用する際は技術的知識やWebセキュリティを意識することが大切です。今回はCMSのセキュリティリスクとその対策についてご説明します。
CMSは個人がレンタルサーバなどを利用して、簡単にインストールすることが可能です。サーバにはセキュリティ対策が施されていても、CMSのセキュリティは別に対策する必要があります。CMSを利用する際は、自分自身がサービス提供者と自覚し、ユーザーへ被害が出ないように注意することが大切です。
サーバにインストールされたCMSはプラグインや拡張機能などを利用することで、様々な表現が可能になったり、機能を増やすことができます。CMS本体のプログラムをバージョンアップすると、それに伴い拡張機能もアップデートしなくてはならないことがあります。しかし、CMSをバージョンアップしたら、今使っている拡張機能が利用できなくなるケースもあるため、CMS本体のアップデートを後回しにしているユーザーも少なくありません。バージョンアップには機能の追加や拡張だけでなく、脆弱性に対する修正を含まれていることが多々あります。つまり、バージョンアップは優先的に対応する必要があります。
CMSのセキュリティ対策を疎かにしていると、悪意のある第三者によってサイバー攻撃を受ける可能性があります。
個人だから悪意のある第三者なんて関係ない、ということはありません。攻撃者は管理者権限を奪うために、企業と個人とに問わず脆弱性があるCMSを探しています。どんなWebページあったとしても区別なく攻撃され、悪用されてしまうということを意識しておくことが大切です。
CMSのセキュリティ対策をしていない場合、Webサイトを改ざんされたり、誤った情報を発信されてしまう可能性があります。意図しない画像やテキストへの変更は、Webサイトの信用を大きく下げる可能性があります。
ウイルスを埋め込まれてしまうことによって、閲覧したユーザーにウイルスを感染させてしまうこともあります。悪意のある第三者によるサイバー攻撃の多くは、ターゲットとなるページに対し、管理者が気付かないようにサイト改ざんをします。ウイルスに感染すると、間接的に加害者になってしまうことも考えられます。
CMSのセキュリティリスク対策を考える時に大切なのは、拡張機能などシステムを最新の状態にしておくことです。
CMSのシステムアップデートは非常に重要です。バックアップを取るのが面倒、拡張機能の互換性が失われたら困る、CMSに支障があると困るといった理由からアップデートを遅らせる場合がありますが、これは脆弱性を放置してしまう事となるため、アップデートは早いタイミングで実施しましょう。CMSを利用する時は、バックアップを取り、全くゼロの状態からでも再構築できるようにしておきます。
CMSには管理者権限があります。ユーザーの設定や利用できる機能の決定、アップロードや編集、削除の権限を割り振ることができる権限です。悪意のある第三者は管理者権限を乗っ取ろうとします。管理者権限の取扱いに注意するとともに、一つの管理者権限を使いまわししないことや、デフォルトの管理者権限は利用しないこともセキュリティ対策になります。また、ユーザーを複数作成した時に与える権限についても注意しましょう。
単純なアクセス数だけでなく、どの国からのアクセスなのか。不自然にアクセスが増えていないかを監視、分析できるようにすることも大切です。日本語のページであれば、海外からのアクセスは遮断する、同一ページに不自然なアクセスをするIPはアクセス不可にするなどの対策をしましょう。特にCMSにログインするページについては、特定のIPアドレスのみアクセス可能としたり、一定回数以上のログイン施行をしたIPを遮断する仕組みなどを導入することも必要です。
CMSのセキュリティリスクと対策についてお話しました。個人であれ法人であれCMSを利用する際にセキュリティ対策を行うことが大切です。バージョンアップなどは必ず実施し、最低限のセキュリティ対策は行いましょう。ぜひこの機会に、CMSセキュリティについて見直してみてはいかがでしょうか。
webセキュリティ対策としておススメなのが「WAF」の導入です。
WAFには色々なものがありますが、その中でもクラウド型WAFであれば、コストや手間も少なくセキュリティ対策することができます。
クラウド型のWAFは導入ハードルが極めて低いので、これからWebセキュリティ対策を行う企業様には有力な選択肢となります。WAFを選定する時には、サポート体制や導入実績なども重視して、自社に最適なものを選びましょう。
クラウド型WAF「攻撃遮断くん」は、最新の攻撃パターンにも自動的に対応していくため、セキュリティパッチをすぐに適用できない状況や、定期的に脆弱性診断が出来ない状況でも、セキュアな環境を保てます。
ぜひこの機会にWebセキュリティ対策を見直し、WAFの導入を検討してみてください。
「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。
https://www.shadan-kun.com/
(2018/4/18 執筆、2019/12/24修正・加筆)
この記事と一緒に読まれています
2020.02.19
セキュリティ対策
【WordPressとDrupal】WAFでオープンソースCMSの脆弱性を防ぐ
2020.02.28
セキュリティ対策
2020.05.11
セキュリティ対策
2020.05.07
セキュリティ対策
WordPressの脆弱性による被害事例と今すぐできる対策とは?
2019.06.03
セキュリティ対策
wordpressのセキュリティ対策とは?必要な理由と対策方法を知ろう!
2020.05.13
セキュリティ対策