CMSのセキュリティ対策は大丈夫？顧客と自社を守るためにやっておく最低限のポイント

CMSのセキュリティ対策を怠ると起こりうるリスク

まずは、CMSのセキュリティ対策を怠ると、不正アクセスが起こったり、ウイルスや悪意のあるソフトウェアであるマルウェアに感染したりする可能性が高まります。こうした事態に陥ってしまうと、次のようなリスクが生じる恐れが出てきます。

• 個人情報の流出

最も重大なリスクと言えるのが「個人情報の流出」です。会員登録や商品購入、問い合わせなどの際に個人情報を入力するWebサイトは少なくありませんが、こうした個人情報はサイト内に保管されています。不正アクセスによって個人情報が漏洩すると、ユーザーの個人情報が不正に使われて身に覚えのないメッセージが届いたり、他のWebサイトでも不正アクセスが起こったりしてしまいます。さらに、クレジットカード情報までもが流出してしまうと、直接金銭的な被害が生じてしまう可能性すらあります。

個人情報を漏洩させてしまった企業は、対策や原因究明にリソースを割かなければなりませんし、場合によっては損害賠償責任を問われることになります。
リアルタイムでの社会的信用の失墜はもちろんのこと、Web上に恒久的に情報が残り続ける現代においては、後々まで「個人情報を漏洩させてしまった企業」というレッテルが貼られ続けてしまうかもしれません。したがって、ECサイトや会員制サイトでは特に厳重なセキュリティ対策が求められると言えます。

• Webサイトの情報改ざん

CMSの脆弱性を突かれたり、マルウェアに感染してCMSのアカウントを乗っ取られたりして、Webサイトの情報が改ざんされるというリスクもあります。いたずら目的でデザインに手を加えられる程度であれば被害は少なくて済みますが、閲覧者にも影響を及ぼすマルウェアを仕込まれたり、ファイルを暗号化して利用不可能な状態にするランサムウェアを仕込まれ、元に戻すことを引き換えに金銭を要求されたりするケースもあります。
また、CMSがコンピューターウイルスに感染した場合にもWebサイトの情報が改ざんされるリスクがあります。

リスク回避のためにやっておきたい5つのCMSセキュリティ対策

上記のような事態を引き起こさないために、最低限やっておくべきCMSのセキュリティ対策があります。それは次の5つです。

①CMSを常に最新バージョンにアップデートする

最も基本的かつ重要な対策と言えるのが、CMSのバージョンを常に最新のものにアップデートしておくことです。どのCMSであれ、利便性向上や機能改善のため、あるいはサイバー攻撃からシステムを守るために定期的にバージョンアップを行います。その情報をキャッチしてすぐにバージョンアップすることが、CMSのセキュリティ対策における大前提と言えます。
もし、バージョンアップを怠って古いバージョンのものを使用し続けてしまうと、脆弱性を突かれるリスクが格段に上がってしまうことを知っておきましょう。
なお、CMSだけでなく、サーバ、アプリ、プラグインなど、Webサイトの運用に関わるその他のソフトウェアも常に最新バージョンに保つようにしておきましょう。

②パスワードの定期的な変更

こちらも基本的な対策と言えますが、CMSにログインするためのパスワードを定期的に変更することも効果的です。ただし、短いパスワードや、日付や社名に紐付けたパスワードは推測されやすいため、できるだけ複雑で推測されにくいものを設定しましょう。内閣サイバーセキュリティセンターが発行する「インターネットの安全・安心ハンドブック」では、英大文字と小文字＋数字＋記号を使った10桁以上の文字列が安全圏のパスワードとして推奨していますので、参考にするといいでしょう。

③脆弱性をカバーするアプリケーションの導入

CMSの脆弱性をカバーするアプリケーションとして「WAF（Web Application Firewall）」というものがあります。WAFは悪意を持つ可能性のあるアクセスを察知すると自動的に通信を遮断してくれるため、第三者からの攻撃を未然に防ぐことができるアプリケーションです。WAFを導入しておくと、セキュリティリスクを減らすことができるでしょう。

④不必要な外部ツール連携を避ける

CMSには、その機能を拡張するプラグインや外部連携ツールなどがあります。これらと連携することで運用効率が上がったり、マーケティング効果を向上させることが期待できますが、外部ツールとの連携を行うということは、外部ツール経由でウイルスに感染するリスクを高めることも意味します。
そのため、連携するツールはしっかりと厳選し、不必要な外部ツール連携は避けましょう。 

⑤オープンソース型CMSとパッケージ型やクラウド型CMSの違いを理解する。

5つ目の対策を紹介する前提としてお伝えしたいのが、「オープンソース型のCMSは絶対に避けるべき」というわけではありません。ただし、WordPressをはじめとしたオープンソース型のCMSはプログラムのソースコードが無償で公開されているため、脆弱性が見つけられやすいという特徴があります。一方で、企業が商用で提供しているパッケージ型やクラウド型のCMSの場合、ソースコードは秘匿性が保たれているため、オープンソース型と比較して脆弱性は発見されにくいと言えます。脆弱性が発見された場合にも運用元企業が対策方法を教えてくれるため、スムーズな対応ができるでしょう。

CMSの選び方は、Webサイトの種類や予算によって異なりますが、セキュリティを重視するプロジェクトや、個人情報やクレジットカード情報を取り扱うWebサイトの場合、極力オープンソース型は避けるのも考え方の１つです。

セキュリティ対策はCMS選定の段階から始まっている

CMSのセキュリティ対策は複数ありますが、その中でも今回ご紹介したポイントをできる限り対応しておくと、セキュリティリスクを減らすことができます。

ただ、ひとつ覚えておいていただきたいのは、セキュリティ対策は「後から対策を講じる」のではなく、「サイト構築の段階から予めセキュリティ対策を考慮した状態でCMSを選定する」方が、より効果的でスムーズに対応できるということです。したがって、CMS選定の段階からセキュリティ対策を念頭に入れておきましょう。 

アリウープでは、CMSの選定時にメリットとデメリットをしっかりと説明し、構築後の保守も合わせて提案しています。
また、新しくWeb担当になり”前任者から引き継いだまま、CMSをあまり理解せず使用している”…という状態も危険です。アップデート時の対応の流れ、注意点など、依頼している制作会社に確認しておくのが安心ですね。
そのほか、セキュリティレベルの高いCMSをご提案することも可能ですので、セキュリティ対策が重要なWebサイトを構築したいという方、CMS関連でお悩みがある方はぜひアリウープにご相談ください。

▼CMSを用いた会員制Webサイトの構築事例

課題を洗い出してCMSを再構築、保守運用の効率化を実現「会員制サイトエネBIZ.com　リニューアル」 電力会社

会員管理システムやCMSも一新したサイトリニューアル「シスメックス サポートインフォメーション」 シスメックス株式会社

【CMS自社にはどれが合う？サイト種類別オススメCMS【チェックシート付き】