CMSのセキュリティ対策できていますか?
よくある6つのリスクと今すぐやるべきこと

HOME
CMSのセキュリティ対策、できていますか?よくある6つのリスクと今すぐやるべきこと

サイト制作や運用に関わっていると、クライアントからセキュリティについてご相談をいただくことがあります。ニュースで情報漏えいや改ざんの事例を見るたびに不安になるけれど、具体的に何をすればいいかわからない——そんな声が多いです。

実際のところ、CMSを使ったWebサイトは、運用の仕方によっては攻撃者に狙われやすい状態になっていることがあります。今回は、なぜCMSが狙われやすいのか、どんなリスクがあるのか、そして今すぐ取り組める対策を整理してみました。

なぜCMSは狙われやすいのか

CMS(Content Management System)は、専門知識がなくてもWebサイトを更新・管理できる便利なシステムです。多くの企業サイトに導入されているWordPressをはじめ、さまざまなCMSが広く普及しています。
ただ、この「広く普及している」という点が、セキュリティ上のリスクにもなっています。
攻撃者の立場で考えると、よく使われているCMSの脆弱性を一つ見つければ、同じシステムを使っている多数のサイトに対して一斉に攻撃を仕掛けられます。効率よく攻撃できるため、利用者の多いCMSほど標的になりやすいのです。

オープンソースの便利さとリスクは表裏一体

WordPressのようなオープンソース型のCMSは、プログラムのコードが公開されています。誰でも自由に使えて、カスタマイズもしやすい。この開放性が普及の理由ですが、同時に攻撃者もコードの中身を詳しく分析できることを意味します。
脆弱性が発見されると、その情報がインターネット上で共有されやすく、対策が取れていないサイトは早々に攻撃の対象になってしまいます。

アップデートを放置するとどうなるか

CMSの開発元は、脆弱性が見つかるたびに修正プログラムを配布しバージョンアップを重ねています。ところが、日々の業務に追われているとアップデートが後回しになりがちです。

古いバージョンを使い続けることは、対策済みの脆弱性をそのまま放置しているようなものです。攻撃者は「どのバージョンに脆弱性があるか」を把握したうえで狙ってくるため、更新が滞っているサイトは格好の的になります。

CMSへの攻撃で起こりうる3つのリスク

セキュリティ対策が不十分なまま攻撃を受けた場合、どんなことが起きるのでしょうか。「サイトの表示がちょっとおかしくなる」程度では済まないのが現実です。

① Webサイトの改ざん

最もわかりやすい被害が、サイトの改ざんです。トップページが無関係な内容に書き換えられたり、悪意あるリンクが埋め込まれたりします。

厄介なのは、一見すると変化がないように見えても、見えない部分に不正なプログラムが仕込まれるケースがあることです。サイトを普通に見ているだけで、訪問者のコンピューターにウイルスが侵入したり、詐欺サイトへ転送されたりする被害につながります。

また、改ざんされたサイトは検索エンジンから「危険なサイト」として判定され、検索結果に表示されなくなることもあります。集客への影響はもちろん、企業への信頼感が一気に損なわれます。

② 個人情報・機密情報の漏えい

問い合わせフォームや会員登録機能を持つサイトで特に怖いのが、情報の流出です。

データベースへ不正にアクセスされると、顧客の氏名・住所・メールアドレス・電話番号、場合によってはクレジットカード情報まで盗み出されることがあります。情報漏えいが起きた場合、お客様への通知や関係機関への報告が義務となり、損害賠償請求や社会的な信用の失墜に発展するリスクもあります。

「自社は大丈夫」という思い込みが、取り返しのつかない事態を招くことがあります。

③ 自社サーバーが攻撃の踏み台にされる

あまり知られていませんが、知らないうちに「被害者」ではなく「加害者」になってしまうリスクもあります。

サーバーへの侵入を許すと、他社へのサイバー攻撃や迷惑メールの大量送信に自社のサーバーが使われることがあります。攻撃を受けた側からは自社が攻撃元に見えるため、取引先からの信頼を失ったり、最悪の場合は法的な問題に発展したりすることもあります。

今すぐ取り組めるセキュリティ対策6つ

リスクの大きさはわかった。では具体的に何をすればいいのか。ここからは、特別な技術や大きなコストをかけずに取り組める6つの対策を紹介します。

① CMS本体とプラグインを常に最新の状態にする

セキュリティ対策の基本中の基本です。アップデートには新機能の追加だけでなく、発見された脆弱性への修正が含まれています。更新通知が届いたら、速やかに適用するフローを社内で決めておきましょう。

ただし、大きなバージョンアップの際はサイトの表示崩れや機能不全が起きることもあります。本番環境にいきなり適用するのではなく、テスト環境で動作確認してから反映するのが安全です。制作会社に保守を依頼している場合は、定期的なアップデート作業が契約に含まれているか確認しておくとよいでしょう。

② プラグインを最小限に絞る

便利だからといってプラグインを次々と追加していくと、管理すべきプログラムが増え、脆弱性が生まれる隙間が広がります。開発が止まって何年も更新されていないプラグインが残っていることも少なくありません。

定期的にインストール済みの一覧を見直し、使っていないものは「無効化」だけでなく完全に削除しましょう。新たに導入する際は、最終更新日・有効インストール数・評価などを確認し、信頼できる開発元のものを選ぶことが大切です。

③ WAF(Webアプリケーションファイアウォール)を導入する

WAF(ワフ)は、CMS特有の攻撃パターンを検知してブロックするセキュリティシステムです。通常のファイアウォールでは防ぎきれない、不正なSQLコードの埋め込みや、スクリプトを実行させる攻撃などへの防御に効果があります。

最近はサーバー会社が標準機能として無料提供しているケースや、クラウド型で安価に導入できるサービスも増えています。万が一CMSに脆弱性が見つかっても、修正パッチが当たるまでの間の攻撃を防ぐ「保険」のような役割を果たしてくれます。

④ ログインIDとパスワードを強化する

管理画面への不正アクセスを防ぐために、IDとパスワードの設定を見直しましょう。「admin」や「password」「123456」といった推測しやすいものは論外です。英数字と記号を組み合わせた長く複雑なパスワードを設定し、他のサービスとの使い回しも避けましょう。

可能であれば、二段階認証(2FA)を導入するとより安全です。IDとパスワードの他に、スマートフォンへ送られる認証コードも必要になるため、万が一パスワードが漏れても不正ログインを防げます。個人の意識だけで実現できる対策なので、社内でルール化して徹底しましょう。

⑤ 管理画面へのアクセスを制限する

管理画面は、サイト全体をコントロールできる心臓部です。不特定多数がアクセスできる状態にしておく必要はありません。

社内ネットワークや特定の拠点のみにアクセスを限定する「IP制限」は非常に有効です。さらに、管理画面のURLをデフォルトのもの(例:wp-adminなど)から変更して見つけにくくする、もう一段階パスワード入力を求めるBasic認証を追加するといった対策も効果的です。物理的にアクセスできる人を絞り込むことが、強固な防御壁になります。

⑥ 定期的にバックアップを取る

どんなに対策を講じていても、被害をゼロにする保証はありません。万が一のときにすぐ元の状態に戻せるよう、定期的なバックアップが欠かせません。

バックアップはWebサーバー内だけでなく、外部ストレージやローカル環境など、物理的に異なる場所に保管しましょう。データだけでなく、CMSの設定ファイルやデータベースもセットで保存することが重要です。いざというときに確実に使えるか、復旧手順まで含めて事前に確認しておくと安心です。

万が一攻撃を受けたときの対応フロー

セキュリティ対策をしっかり行っていても、新たな脅威により被害に遭う可能性はゼロではありません。大切なのは、被害が発生したときに慌てず対処できる体制を事前に整えておくことです。

まずやること:サイトを止める

「サイトがおかしい」という報告を受けたり、改ざんを確認したりした場合は、直ちにサイトをメンテナンスモードにするか、サーバーをネットワークから切り離してWebサイトを停止します。

このとき、慌ててデータを削除したりバックアップで上書きしたりしてはいけません。何が起きたのかを示す証拠(ログなど)が消えてしまい、原因究明が難しくなります。まず「止める」ことを優先し、どのページが被害を受けたか、個人情報の流出はないかを確認します。

次にやること:原因の特定と復旧

サーバーのアクセスログやCMSの操作ログを分析し、どこから侵入されどの脆弱性が悪用されたかを調査します。自社での特定が難しい場合は、セキュリティ専門会社や制作会社に調査を依頼しましょう。

原因が特定できたら、脆弱性を修正したうえで、安全が確認された状態でバックアップから復旧します。個人情報の流出が疑われる場合は、お客様への通知と関係機関への報告も必要です。

まとめ:セキュリティ対策は「やったことがあるか」ではなく「続けているか」

セキュリティ対策は「一度やれば終わり」ではありません。CMSのバージョンアップへの対応、プラグインの見直し、バックアップの確認——これらを継続的に行える体制を作ることが、安全なサイト運用の基本です。

Facebook
Twitter
CONTACT

ご不明点・ご質問がある方、施策にご興味がある方、自社の施策でご相談がある方など、お気軽にお問い合わせください