Webセキュリティ情報メディア

Webセキュリティ

CMSのセキュリティリスクとその対策

2019.12.24

Webセキュリティ

CMSのセキュリティリスクとその対策

CMSとはコンテンツマネジメントシステムの略であり、オープンソースのものを利用すれば誰でも気軽に利用できます。CMSにはHTMLやCSS、PHPなどを理解しなくてもWebページやコミュニティサイトを作成することができます。利用する際は技術的知識やWebセキュリティを意識することが大切です。今回はCMSのセキュリティリスクとその対策についてご説明します。

目次

1.CMSのセキュリティリスクとは

1-1.ユーザーへ被害が出ないように注意する

CMSは個人がレンタルサーバなどを利用して、簡単にインストールすることが可能です。サーバにはセキュリティ対策が施されていても、CMSのセキュリティは別に対策する必要があります。CMSを利用する際は、自分自身がサービス提供者と自覚し、ユーザーへ被害が出ないように注意することが大切です。

1-2.セキュリティ対策の不備や知識の不足による被害

サーバにインストールされたCMSはプラグインや拡張機能などを利用することで、様々な表現が可能になったり、機能を増やすことができます。CMS本体のプログラムをバージョンアップすると、それに伴い拡張機能もアップデートしなくてはならないことがあります。しかし、CMSをバージョンアップしたら、今使っている拡張機能が利用できなくなるケースもあるため、CMS本体のアップデートを後回しにしているユーザーも少なくありません。バージョンアップには機能の追加や拡張だけでなく、脆弱性に対する修正を含まれていることが多々あります。つまり、バージョンアップは優先的に対応する必要があります。

1-3.サイバー攻撃の標的は

CMSのセキュリティ対策を疎かにしていると、悪意のある第三者によってサイバー攻撃を受ける可能性があります。
個人だから悪意のある第三者なんて関係ない、ということはありません。攻撃者は管理者権限を奪うために、企業と個人とに問わず脆弱性があるCMSを探しています。どんなWebページあったとしても区別なく攻撃され、悪用されてしまうということを意識しておくことが大切です。

2.CMSのセキュリティリスク対策をしない場合に起こる被害

2-1.サイト改ざんや誤った情報の発信

CMSのセキュリティ対策をしていない場合、Webサイトを改ざんされたり、誤った情報を発信されてしまう可能性があります。意図しない画像やテキストへの変更は、Webサイトの信用を大きく下げる可能性があります。

2-2.悪意のある第三者によるウイルスの埋め込み

ウイルスを埋め込まれてしまうことによって、閲覧したユーザーにウイルスを感染させてしまうこともあります。悪意のある第三者によるサイバー攻撃の多くは、ターゲットとなるページに対し、管理者が気付かないようにサイト改ざんをします。ウイルスに感染すると、間接的に加害者になってしまうことも考えられます。

3.CMSのセキュリティリスクと対策方法と考え方

CMSのセキュリティリスク対策を考える時に大切なのは、拡張機能などシステムを最新の状態にしておくことです。

3-1.システムをアップデートし、脆弱性を少なくする

CMSのシステムアップデートは非常に重要です。バックアップを取るのが面倒、拡張機能の互換性が失われたら困る、CMSに支障があると困るといった理由からアップデートを遅らせる場合がありますが、これは脆弱性を放置してしまう事となるため、アップデートは早いタイミングで実施しましょう。CMSを利用する時は、バックアップを取り、全くゼロの状態からでも再構築できるようにしておきます。

3-2.管理者権限だけでなくパーミッションなども学ぶ

CMSには管理者権限があります。ユーザーの設定や利用できる機能の決定、アップロードや編集、削除の権限を割り振ることができる権限です。悪意のある第三者は管理者権限を乗っ取ろうとします。管理者権限の取扱いに注意するとともに、一つの管理者権限を使いまわししないことや、デフォルトの管理者権限は利用しないこともセキュリティ対策になります。また、ユーザーを複数作成した時に与える権限についても注意しましょう。

3-3.外部アクセスの監視や分析に対する理解を深める

単純なアクセス数だけでなく、どの国からのアクセスなのか。不自然にアクセスが増えていないかを監視、分析できるようにすることも大切です。日本語のページであれば、海外からのアクセスは遮断する、同一ページに不自然なアクセスをするIPはアクセス不可にするなどの対策をしましょう。特にCMSにログインするページについては、特定のIPアドレスのみアクセス可能としたり、一定回数以上のログイン施行をしたIPを遮断する仕組みなどを導入することも必要です。

まとめ

CMSのセキュリティリスクと対策についてお話しました。個人であれ法人であれCMSを利用する際にセキュリティ対策を行うことが大切です。バージョンアップなどは必ず実施し、最低限のセキュリティ対策は行いましょう。ぜひこの機会に、CMSセキュリティについて見直してみてはいかがでしょうか。

おススメのWebセキュリティ対策

webセキュリティ対策としておススメなのが「WAF」の導入です。

WAFには色々なものがありますが、その中でもクラウド型WAFであれば、コストや手間も少なくセキュリティ対策することができます。

クラウド型のWAFは導入ハードルが極めて低いので、これからWebセキュリティ対策を行う企業様には有力な選択肢となります。WAFを選定する時には、サポート体制や導入実績なども重視して、自社に最適なものを選びましょう。

クラウド型WAF「攻撃遮断くん」は、最新の攻撃パターンにも自動的に対応していくため、セキュリティパッチをすぐに適用できない状況や、定期的に脆弱性診断が出来ない状況でも、セキュアな環境を保てます。

ぜひこの機会にWebセキュリティ対策を見直し、WAFの導入を検討してみてください。

「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。

 
CMSのセキュリティリスク クラウド型WAF 攻撃遮断くん Web Application Firewall
https://www.shadan-kun.com/
 
(2018/4/18 執筆、2019/12/24修正・加筆)

  • 国内商用Webサイトが受けやすいサイバー攻撃とは?|サイバー攻撃の統計データから傾向を読み解く|今すぐ無料で資料をダウンロード
  • 御社のセキュリティ対策は本当に大丈夫ですか?約80%の企業が対策不足と言われています。Webセキュリティをいますぐ確認!3つのチェックポイント。今すぐ無料で資料ダウンロード

Writer:CyberSecurityTIMES編集部

この記事と一緒に読まれています

攻撃遮断くん|クラウド型WAFでサイバー攻撃からWebサイトを保護 WafCharm|パブリッククラウドWAF自動運用サービス SIDfm|脆弱性情報収集・管理ツール

トレンド記事