本文へ移動

中小企業のWeb活用ガイド
お役立ち資料ダウンロード

CMSのセキュリティ対策の必要性と脆弱性(リスク)、サイバー攻撃事例

更新日:2024.09.05
CMSのセキュリティ対策の必要性と脆弱性(リスク)、サイバー攻撃事例
現在の企業ホームページの運用にCMSは欠かせない存在になっています。

しかし、WordPressなどの無料のオープンソース型CMSは、脆弱性を突いたサイバー攻撃を受けることも多いので、きちんと運用しないとセキュリティ面でのリスクが大きいのも事実です。

今回はCMSのセキュリティ対策の必要性と、実際にCMSがサイバー攻撃を受けた事例、CMSのセキュリティを高めるにはどうすればよいのかを初心者向けに解説します。

目次

[非表示]
  3. CMSとは?
  4. CMSの種類
  5. CMSにセキュリティ対策が必要な理由
  6. 理由1.利用している企業が多いので目を付けられやすい
  7. 理由2.利用者数が多いので、攻撃者側に新たなサイバー攻撃の手法を開発するインセンティブが働きやすい
  8. 理由3.ソースコード(設計図)が公開されているので、脆弱性を発見しやすく攻撃手段を編み出しやすい
  9. 理由4.CMS本体に問題がなくても、プラグイン(拡張機能)の脆弱性を狙われるリスクがある
  10. CMSを狙うサイバー攻撃にはどんな手法があるのか?
  11. 1.SQLインジェクション
  12. 2.クロスサイトスクリプティング
  13. 3.DoS攻撃
  14. WordPressなどのオープンソース型CMSを狙ったサイバー攻撃の事例
  15. WordPressで構築された中小企業ホームページの66%が、容易に不正ログインされうる状態になっており、深刻なセキュリティリスクを抱えている
  16. CMSがサイバー攻撃を受けると、どんな被害が発生するのか?
  17. 1.個人情報の漏洩
  18. 2.Webサイトの改ざん
  19. 3.ランサムウェアによる被害・身代金請求
  20. 現在は中小企業がサイバー攻撃を受けるケースが増加している
  21. 多くの中小企業はセキュリティへの意識が低く、十分な対策も取れていない
  22. 中小企業だからといって「盗まれて困る情報なんてない」という思い込みは危険
  23. 中小企業を足がかりにして、取引先の大企業を狙うサプライチェーン攻撃
  24. CMSで実施すべきセキュリティ対策
  25. 1.CMSやプラグインのバージョンを最新に保つ
  26. 2.不要なプラグインを導入しない、あるいは削除する
  27. 3.SSL(暗号化通信)を導入する
  28. 4.WAFやIPSなどの多層防御を構築する
  29. 5.データのバックアップを常に取る
  30. 6.社内にセキュリティ対策専門のスタッフがいない場合、オープンソース型のCMSを利用しない
  31. CMSを導入するときはセキュリティ対策も忘れずに!
  34. あわせて読みたい記事
  38. 国産Webサイトサービス満足度No.1のおりこうブログで、自社サイトを開設・リニューアル!

CMSとは?

CMSとは?
CMSとはコンテンツ・マネジメント・システム(コンテンツ管理システム)の略称で、簡単にいえばHTMLなどのWeb専門知識がない方でも、簡単にホームページの作成・更新・運営ができるシステムのことです。
 
昔のホームページ作成・更新の現場では、HTMLやCSSなどの言語に習熟する必要があり、作業の難易度が高いうえに大変な労力がかかっていました。
 
しかし、CMSで制作されたホームページなら、Webの初心者でもブラウザ上で文章や画像を入力するだけで、簡単に短時間で情報の更新やページの追加がおこなえます。

CMSの種類

オープンソース型

オープンソース型のCMSは、CMSを形成するソースコード(プログラムを動作させる設計図のようなもの)が一般公開されていて、無料で使えるのが特徴です。

WordPressやDrupalがオープンソース型CMSの代表例です。

費用をかけずに導入できるうえ、カスタマイズが容易で多数のプラグイン(拡張機能)を使えるのがメリットです。

その反面、公式なサポートは存在しないので操作方法を自分たちで一から学ぶ必要があるほか、セキュリティ対策も自力で構築しなければなりません。

【オープンソース型CMSの例】
  • WordPress
  • Drupal
  • Joomla!
  • baserCMS

フルスクラッチ型

フルスクラッチ型のCMSとは、構築するWebサイトのためにゼロから独自に開発されたCMSのことです。

自社システムと高度に連携させたいなど、特定のニーズに対応させるために導入されるケースが多いです。

すべてオリジナルで作成するため、自社のニーズ・要件にマッチするCMSとなる可能性がもっとも高いです。

その一方、システムベンダーと連携して独自に設計・開発を進めないといけないので、費用は極めて高額になり、導入までの期間も長くなります。

商用パッケージ型

商用パッケージ型のCMSは、システムベンダーが提供する有料のWebサイト作成・管理ツールです。オープンソース型のCMSとちがって、企業や団体での利用に特化しているものが多いので、手間をかけずに企業・団体のホームページを運用できます。

また、ベンダーによるサポートやセキュリティ対策・バックアップを受けられるのも大きなメリットです。

その一方、フルスクラッチ型のCMSと比較すれば安価とはいえ、利用に料金がかかるデメリットもあります。

また、テンプレートをもとにサイトの大部分を構築することが多いので、デザインや構成の自由度では、オープンソース型・フルスクラッチ型のCMSには劣ります。

なお、弊社の国産CMS・おりこうブログは商用パッケージ型のCMSです。

【商用パッケージ型CMSの例】
  • Movable Type

CMSにセキュリティ対策が必要な理由

CMSは便利な反面、サイバー攻撃の標的にされやすいデメリットも存在します。

とりわけWordPressを筆頭にしたオープンソース型のCMSは、サイバー攻撃の標的にされやすいデメリットがあります。

【CMSにセキュリティ対策が必要な理由】
  1. 利用している企業が多いので目を付けられやすい
  2. 利用者数が多いので、攻撃者側に新たなサイバー攻撃の手法を開発するインセンティブが働きやすい
  3. ソースコード(設計図)が公開されているので、脆弱性を発見しやすく攻撃手段を編み出しやすい
  4. CMS本体に問題がなくても、プラグイン(拡張機能)の脆弱性を狙われるリスクがある

理由1.利用している企業が多いので目を付けられやすい

CMSにセキュリティ対策が必要な理由1.利用している企業が多いので目を付けられやすい
WordPressなどのオープンソース型のCMSは、その他のCMSと比較して圧倒的なシェア率を誇り、利用している企業も莫大な数にのぼります。

それゆえ攻撃者が「この会社もWordPressを使っているな。サイバー攻撃ができそうだぞ」などと判断し、目を付ける確率が高いのです。

理由2.利用者数が多いので、攻撃者側に新たなサイバー攻撃の手法を開発するインセンティブが働きやすい

またオープンソース型CMSは利用者数が多いので、攻撃者が新しいサイバー攻撃の手法を生み出すメリットが大きくなるのも懸念点のひとつです。

たとえば1000万社が利用しているCMSと、1万社が利用しているCMSが存在するとします。

この場合、攻撃者は断然1000万社が利用しているCMSのほうを優先して、新たな脆弱性や攻撃手段を見つけようとするでしょう。

なぜなら1万社しか使っていないCMSの1000倍もの企業を、サイバー攻撃のターゲットにできるからです。

とりわけWordPressはシェア率が圧倒的に高いため、攻撃者側が未知の脆弱性や新たな攻撃手段を発見するインセンティブが非常に大きくなっています。

※脆弱性…情報システム上のセキュリティ的な欠陥のことで、「セキュリティホール」とも呼ばれる。

理由3.ソースコード(設計図)が公開されているので、脆弱性を発見しやすく攻撃手段を編み出しやすい

CMSにセキュリティ対策が必要な理由3.ソースコード(設計図)が公開されているので、脆弱性を発見しやすく攻撃手段を編み出しやすい
またオープンソースという形式も、セキュリティ面では大きなデメリットになります。

ソースコードが公開されているので、攻撃者側は脆弱性や攻撃手段を編み出しやすくなります。

これは間取りがわかっている建物のほうが、泥棒にとっては侵入しやすいのと同じです。

オープンソース形式自体にはプラグインを新規追加しやすいなどのメリットも大きいのですが、オープンソースである以上、攻撃者からセキュリティの穴を突かれやすいデメリットは避けられません。

理由4.CMS本体に問題がなくても、プラグイン(拡張機能)の脆弱性を狙われるリスクがある

WordPressなどのオープンソース型CMSには豊富なプラグインが存在し、その多機能性が魅力のひとつです。
 
ですが、プラグインはCMS本体とは別に脆弱性を抱えているので、サイバー攻撃の突破口として利用されやすい側面を持っています。

たとえば、2024年にはWordPressの一部のプラグインにバックドアが仕掛けられていたことが問題になりました。


バックドアとは、攻撃者がシステム内に不正侵入するための裏口のようなものです。

バックドアから攻撃者がCMSに侵入すると、ホームページを改ざんされたりマルウェアを仕込まれたりするリスクがあります。

プラグインはCMS本体の開発者とは別の人間が作っているので、セキュリティが甘いことも多く、脆弱性が見つかってもなかなかパッチ(脆弱性を修正するプログラム)が配信されないケースもあります。

かといって、プラグインをまったく利用しないと、無料CMSは機能面で大幅に劣化するので、相当使いづらくなってしまうのが難しいところです。
 
便利なプラグインを多数導入するほどセキュリティの穴が多くなり、反対にセキュリティを高めようとすれば便利なプラグインが使えず操作性が悪くなる。
 
オープンソース型CMSのプラグインとセキュリティは、このようなジレンマに陥っています。

CMSを狙うサイバー攻撃にはどんな手法があるのか?

CMSを狙うサイバー攻撃の手法には、以下のようなものが挙げられます。

【CMSを狙うサイバー攻撃の例】
  1. SQLインジェクション
  2. クロスサイトスクリプティング
  3. DoS攻撃

それぞれ初心者向けに紹介していきます。

1.SQLインジェクション

ホームページを狙ったサイバー攻撃のなかでは代表的な手法です。

お問い合わせフォームなどにSQL文(データベースを操作する言語)を混ぜて送信することで、顧客情報の引き出しやサイトの改ざんをおこないます。

2.クロスサイトスクリプティング

お問い合わせフォームの入力欄などに不正なJavaScriptを埋めこみ、ホームページを改ざんする手法です。

訪問者のCookie情報の取得や、個人情報を盗むための偽物のメールフォームをサイト内に埋め込まれることもあります。

3.DoS攻撃

CMSを狙ったサイバー攻撃:DoS攻撃
1秒間に数万回もの大量のアクセスを企業ホームページに送りつけることで、サーバーをダウンさせる攻撃です。


DoS攻撃を受けると、ホームページが表示されない状況が長期間続き、会社のイメージダウンや機会損失につがなります。

現在は企業ホームページの脆弱性を突くサイバー攻撃が主流であり、これはファイアウォールでは防げない

以上で紹介した手法のうち、SQLインジェクションとクロスサイトスクリプティングの二つはいずれもホームページやCMSの脆弱性を突いた攻撃です。

人の手でプログラムを作成している以上、脆弱性を完全にゼロにすることは不可能であり、どんな優れたCMSでも脆弱性を突かれるリスクをはらんでいます。
  
そして、SQLインジェクションやクロスサイトスクリプティングのような、ホームページやCMS上の脆弱性を突いた攻撃はファイアウォールでは防げません。
 
ホームページやCMSのセキュリティ対策のお話をすると、「ウチはきちんとしたファイアウォールを構築しているから大丈夫だよ」とおっしゃる方も多いのですが、実はファイアウォールだけでは脆弱性を突いた攻撃には無防備な状態となっているのです。

WordPressなどのオープンソース型CMSを狙ったサイバー攻撃の事例

事例1.過去にはWordPressで構築されたWebサイト150万件が改ざんの被害に

WordPressなどのオープンソース型CMSの脆弱性やセキュリティの不備を突いたサイバー攻撃は、昔から何度も繰り返されています。

2016年には無料CMSであるWordPressで作られたサイトが150万件も改ざんの被害にあいました。
 

その後もWordPressの脆弱性を狙ったサイバー攻撃は現在に至るまで続いています。

事例2.自社のホームページに「破産手続きを開始し、各店舗を閉店した」などの事実無根の情報を掲載された

たとえば2023年には、地方の飲食店チェーンのホームページ(WordPressで構築)が第三者によって改ざんされ、「破産手続きを開始し、各店舗を閉店した」などと事実無根の情報を掲載されてしまいました。

被害への対応に追われて一時的に通常業務ができなくなったほか、ホームページのデータをすべて消されてしまったため、100%の復旧はできませんでした。

事例3.ホームページが乗っ取られて、詐欺サイトとして運用された

また、同じく2023年には大阪府内の小売業のホームページ(WordPressで構築)が乗っ取られてしまい、詐欺サイトとみられる通販サイトが表示された事件が起こっています。


以上のように、セキュリティ対策が甘いままCMSを利用すると、「自社が破産している」との虚偽情報を流されたり、詐欺サイトとして利用されたりするリスクがあるのです。

WordPressで構築された中小企業ホームページの66%が、容易に不正ログインされうる状態になっており、深刻なセキュリティリスクを抱えている

WordPressで構築された中小企業ホームページの66%が、容易に不正ログインされうる状態になっており、深刻なセキュリティリスクを抱えている
WordPressで構築された多くの中小企業ホームページが、SQLインジェクションやクロスサイトスクリプティングなどの手段を用いずとも、簡単に侵入されうる状態になっているのも大きな問題です。

2023年、大阪商工会議所と立命館大学は、WordPressで構築された中小企業のホームページ192件を調査しました。

その結果、ユーザーリスト(WordPress サイトの管理や編集などが可能なユーザー情報)とログインページの双方が露呈しているサイトが66 %も存在しました。


つまり大多数の中小企業がセキュリティ対策に問題を抱えたまま、WordPressなどのオープンソース型CMSを利用しているのが実情なのです。

CMSがサイバー攻撃を受けると、どんな被害が発生するのか?

それでは実際にCMSがサイバー攻撃を受けると、会社・組織にとってどんな被害が発生するのでしょうか? 以下から具体的に見ていきます。

【CMSがサイバー攻撃を受けたときの被害】
  1. 個人情報の漏洩
  2. Webサイトの改ざん
  3. ランサムウェアによる被害・身代金請求

1.個人情報の漏洩

CMSへのサイバー攻撃被害1.個人情報の漏洩
CMSへのサイバー攻撃でまず懸念されるのが、個人情報の漏洩です。

各CMSにはホームページのWebフォーム(メールフォーム)に投稿した方の個人情報や、会員情報などが蓄積されているため、サイバー攻撃を受けるとそれらが漏洩する危険性があります。

2022年には、日本の国立大学の研究室が運用しているCMSが攻撃者によって侵入され、1000名を超える個人情報が漏洩する事件が発生しました。


個人情報を漏洩させてしまった企業の平均損害賠償金額は約7,500万円とされており、会社のイメージが毀損されることも考慮すると、全体的な被害総額は計り知れません。
 

2.Webサイトの改ざん

CMSへのサイバー攻撃被害2.Webサイトの改ざん
SQLインジェクションやクロスサイトスクリプティングなどの攻撃、あるいは不正ログインなどによってCMSに侵入されると、Webサイトが改ざんされてしまう危険性があります。

先述の地方の飲食店チェーンのホームページ(WordPressで構築)が改ざんされてしまった事例では、「破産手続きを開始し、各店舗を閉店した」との虚偽情報を掲載されたため、顧客や取引先に多大な不安を与える結果となりました。

さらに、こちらも先述しましたが自社のホームページ(WordPressで構築)が攻撃者に乗っ取られてしまい、詐欺サイトとして運用されていたケースも存在します。

また、Webサイトにマルウェアや後述するランサムウェアを仕込まれた場合、サイトを閲覧した人が次々と感染してしまいます。この場合、自社はサイバー攻撃を受けた被害者であるにもかかわらず、「マルウェア、ランサムウェア被害を拡大させた加害者」と扱われかねません。

3.ランサムウェアによる被害・身代金請求

CMSへのサイバー攻撃被害3.ランサムウェアによる被害・身代金請求
近年、日本企業でランサムウェアの被害が急速に広がっています。

ランサムウェアとは、感染したコンピューターを操作不能、あるいはデータをロック状態にして、「解除してほしければ入金をしろ」と指示を出すマルウェアのことです。

ランサム(Ransom)とは身代金の意味で、コンピューターやデータを人質に取るさまから、この名前が付きました。

2024年には大手出版社グループがランサムウェアの被害を受け、グループ全体で利用していたシステムが長期間利用不可能になり、25万人分もの個人情報が流出する事態になりました。


ランサムウェアの被害を受けると、このように事業がストップし多大な損害が発生してしまいます。

さらにWebサイトの改ざんを受けると、自社がランサムウェアの被害者になるだけでなく、ランサムウェアを閲覧者へばらまく加害者になってしまう危険があります。

実際、過去にはWordPressで構築したサイトが改ざんされた結果、閲覧しただけでランサムウェアに感染する事件も発生しました。この事件ではWordPressだけでなく、同じくオープンソース型CMSであるJoomlaにも同様の問題が発生しています。


オープンソース型CMSでは、ソースコード(設計図)が公開されているので、他のCMSで成功した攻撃手段を別のCMSにも応用しやすいのです。

現在CMSを運用するうえで、ランサムウェアは決して見過ごせない脅威になっています。

現在は中小企業がサイバー攻撃を受けるケースが増加している

現在は中小企業がサイバー攻撃を受けるケースが増加している
新聞・テレビなどにおけるサイバー攻撃被害の報道は、大企業がターゲットになった事件がほとんどなので、「サイバー攻撃を受けるのは大きな会社だけで、ウチみたいな中小企業は狙われないよ」と錯覚しがちです。

しかし実際には中小企業がターゲットにされるケースのほうが現在は多くなっているのです。

たとえば警察庁の資料によれば、2023年上半期にランサムウェア被害があった企業・団体の約6割は中小企業でした。


また、2018年に大阪府内の30社の中小企業に対し、大阪商工会議所が神戸大学、東京海上日動と共同研究調査をしたところ30社全て(100%)で何らかのサイバー攻撃が観測されました。


現在のサイバー攻撃は特定の企業を標的にして攻撃にしてくるよりも、絨毯爆撃のように手当たり次第サイバー攻撃を仕掛けてくるケースが多いので、大企業だろうと中小企業だろうと関係なく被害にあってしまうのです。

多くの中小企業はセキュリティへの意識が低く、十分な対策も取れていない

多くの中小企業はセキュリティへの意識が低く、十分な対策も取れていない
多くの中小企業はセキュリティ対策への意識が低く、体制も不十分です。

一般社団法人日本損害保険協会が2019年に実施したアンケート調査によれば、中小企業の経営者・役員のうち24.1%が「サイバー攻撃への対策をしていない」と回答しています。


また、サイバー攻撃の予防や被害にあった際の対応で主軸になる情報システム担当者も、中小企業においてはごく少数か、もしくはゼロ人ということも少なくありません。

2019年・2020に大阪商工会議所が実施した調査だと、「情報システムの専任担当者がいる」と回答した中小企業はわずか6%でした。


昨今、「ひとり情シス」という言葉がネット上でたびたび話題になっています。ひとり情シスとは、会社内にIT担当の専任者が1人しかおらず、業務負担が過大になっている状態のことです。

ですが、専任担当者がある会社がわずか6%ということは、多くの中小企業ではひとり情シスですらない「ゼロ情シス」であることになります。

以上の理由から多くの中小企業は、大企業と比較してセキュリティ対策が弱いのが現状です。

中小企業だからといって「盗まれて困る情報なんてない」という思い込みは危険

なかには「自分の会社に盗まれて困るような情報なんてないよ」と考えている方もいるかもしれません。

ですが、多くの中小企業や団体は以下のようなデータを保持しており、それらが流出・暗号化されてしまうと多大な被害が発生しかねません。

【重要なデータの例】
  • 従業員のマイナンバー、住所、給与明細
  • お客様や取引先の連絡先一覧
  • 新製品の設計図などの開発情報
  • 取引先から「取扱注意」として預かった情報
  • 取引先ごとの仕切り額や取引実績


中小企業であっても、サイバー攻撃を受けてデータが流出すると、その被害は甚大なものになるのです。

中小企業を足がかりにして、取引先の大企業を狙うサプライチェーン攻撃

大企業・中堅企業の25%が、「取引先の中小企業が原因で、自社もサイバー攻撃の被害を受けたことがある」と回答

また、セキュリティ対策が不十分だと、自社のみならず取引先の大企業にも多大な損害を与えてしまうリスクがあります。

昨今、中小企業を踏み台にすることで、取引先の大企業にまで侵入したり被害を拡大させたりする、サプライチェーン攻撃が増加しているからです。

たとえ大企業のセキュリティ対策が万全であっても、そこと取引をしている中小企業のセキュリティ対策が脆弱だと、容易に侵入を許してしまう危険性があります。

実際、大阪商工会議所が全国の大企業・中堅企業向けに実施した調査では「取引先の中小企業が受けたサイバー攻撃による被害が自社に及んだことがある」と回答した会社が全体の25%に達しました。


CMSを含めたセキュリティ対策をおろそかするのは、自社のみならず取引先も危険にさらす行為なのです。

取引先の中小企業が原因でサイバー攻撃を受けた場合、47%が損害賠償請求に踏み切り、29%が取引を停止すると回答

取引先の中小企業が原因でサイバー攻撃を受けた場合、47%が損害賠償請求に踏み切り、29%が取引を停止すると回答
サイバー攻撃の踏み台にされた中小企業は主観的には侵入を受けた被害者かもしれませんが、取引先の大企業からすれば、攻撃者をみすみす招いた加害者も同然として見られてしまいます。

それまで長年かけて築いてきた信頼関係も一瞬で崩壊してしまい、損害賠償請求や取引の打ち切りもありえるでしょう。

先程の大阪商工会議所の調査によれば、「取引先の中小企業が受けたサイバー攻撃被害が自社に及んだ」と回答した会社のうち、今後同様の被害を受けた場合に47%が損害賠償請求、29%が取引停止をすると回答しています。


損害賠償請求だけでも中小企業にとっては極めて重い負担になりますし、取引が打ち切られた場合は深刻な売上げの低下を引き起こし、最悪の場合は倒産することも考えられます。

CMSで実施すべきセキュリティ対策

それではCMSへのサイバー攻撃を防止するために、どんな対策を進めるべきでしょうか?

【CMSのセキュリティ対策】
  1. CMSやプラグインのバージョンを最新に保つ
  2. 不要なプラグインを導入しない、あるいは削除する
  3. SSL(暗号化通信)を導入する
  4. WAFやIPSなどの多層防御を構築する
  5. データのバックアップを常に取る
  6. 社内にセキュリティ対策専門のスタッフがいない場合、オープンソース型のCMSを利用しない

それぞれ初心者向けに紹介していきます。

1.CMSやプラグインのバージョンを最新に保つ

古いCMSやプラグインをそのまま放置していると、脆弱性を突いたサイバー攻撃を受ける確率が格段に上昇してしまいます。

かならずCMSやプラグインのバージョンは最新を保つようにしましょう。

2.不要なプラグインを導入しない、あるいは削除する

CMS自体のバージョンは最新でも、古いプラグインが導入されていたことが原因でサイバー攻撃を許してしまう事例は枚挙に暇がありません。


プラグインはCMSの開発者以外でも自由に作ることができるので、なかには更新が止まって放置されているものも少なくありません。

多くのプラグインが追加されているほどサイバー攻撃を受けやすくなりますので、不要なプラグインは導入しないようにしてください。

また、すでに更新が止まっている古いプラグインが導入されている場合は削除しましょう。

3.SSL(暗号化通信)を導入する

CMSのセキュリティ対策:SSL(暗号化通信)を導入する
SSL(Secure Sockets Layer)とは、インターネット上の通信を暗号化して保護する技術です。

インターネット上のデータ通信は、第三者によって傍受・改ざんされる危険性がありますが、ホームページへSSLを導入すると、訪問者のブラウザとサーバー間のデータ通信を暗号化することで情報を保護します。

SSLを導入すると、サイトのURLがhttpからhttpsに変更されます。

現在はSSLが導入されていないホームページでは、ブラウザ上で「保護されていない通信」などの警告が出るほか、検索順位も低下させてしまいます。

今からCMSを利用してホームページを開設・リニューアルする場合は、かならずSSLを導入するようにしましょう。

4.WAFやIPSなどの多層防御を構築する

CMSの脆弱性を突いた攻撃には、WAFの導入が有効

CMSの脆弱性を突いた攻撃には、WAFの導入が有効
先述したように、CMSの脆弱性を放置していると、SQLインジェクションもクロスサイトスクリプティングなどのサイバー攻撃を受けるリスクがあります。

しかしCMSは人の手で作られている以上、脆弱性を完全に排除することはできません。

また、発見された脆弱性をCMSの開発者側が改善しようとしても、修正には多大な時間がかかるのでその間に被害を受けつづけてしまいます。
 
ちなみに、このような脆弱性が修正されるまでのタイムラグを利用して攻撃をかける手法のことを、ゼロデイ攻撃と呼びます。

以上のようなサイバー攻撃への有効な対策として、WAFが注目されています。

WAFとはWeb Application Firewall(ウェブ・アプリケーション・ファイアウォール)の略で、CMSなどのWebアプリケーションの保護に特化したセキュリティ対策のことです。
 
「ワフ」とも呼ばれます。

WAFはホームページへのアクセスを常にリアルタイムで監視します。
 
そこで、SQLインジェクションやクロスサイトスクリプティングを仕掛けるような動きを攻撃者が試みると「これはサイバー攻撃の可能性が高い」とWAFが自動的に判断し、通信を遮断してくれます。
 
ちなみに、これまでのサイバー攻撃の手法から分析した攻撃パターンの情報をシグネチャ(signature)と呼びます。
 
シグネチャをもとに攻撃を検知して、自動的に防御するのがWAFの仕組みです。

WAFの大きなメリットは、CMSに予期していない脆弱性が潜んでいたとしても、攻撃パターンを読み取ってアタックを未然に防いでくれる点です。
 
また、脆弱性を修正されるまでのタイムラグにゼロデイ攻撃を受けつづけるリスクも減少します。
 
WAFによって、CMSのセキュリティが格段に向上しますので、ぜひ導入を検討してください。

DoS攻撃への対策では、IPS(侵入防止システム)の導入が有効

DoS攻撃への対策では、IPS(侵入防止システム)の導入が有効
WAFと併せたセキュリティ対策として、IPS(Instruction Prevention System、侵入防止システム)の導入もオススメです。

Webサイトの改ざん以外のホームページへのメジャーな攻撃手段として、DoS攻撃があります。

先述しましたが、これは企業ホームページやサーバーに大量のアクセス(トラフィック)を送りつけて負荷をかけ、サーバーをダウンに追い込むという攻撃手法です。
 
サーバーが停止し、企業ホームページに訪問者がアクセスできない状況が長く続けば大きな機会損失になりかねません。

そこで、有効な対策となるのがIPSです。
 
IPSはリアルタイムで通信を監視し、DoS攻撃などの不正なアクセスを検出すると通信を遮断できます。
 
IPSの導入でWAF単体よりも、より幅広いセキュリティ対策が可能になります。

CMSのセキュリティ対策では、複数の手段を組み合わせて多層防御の体制を整備するのが重要です。

5.データのバックアップを常に取る

CMSのセキュリティ対策5.データのバックアップを常に取る
Webサイトの改ざんを受けた場合、既存のホームページのデータがすべて使用不能になってしまうこともあります。

飲食店チェーンがWordPressで構築したサイトを改ざんされた事例では、ホームページのデータがすべて消されてしまいました。


企業ホームページを活用して集客するには、多くの良質なコンテンツを用意してGoogleやYahoo!からアクセスを呼びこむ必要があるので、コンテンツがゼロになると集客力も激減してしまいます。


ホームページやCMSのデータをあらかじめバックアップしておけば、万一サイバー攻撃を受けた場合も復旧できます。

バックアップは常に怠らないようにしましょう。

6.社内にセキュリティ対策専門のスタッフがいない場合、オープンソース型のCMSを利用しない

6.社内にセキュリティ対策専門のスタッフがいない場合、オープンソース型のCMSを利用しない
先述したように、WordPressなどのオープンソース型CMSは、これまで何度もサイバー攻撃の標的にされてきました。

そこで社内にセキュリティ対策に詳しい人材がいない場合は、いっそのことオープンソース型CMSではなく、商用パッケージ型CMSを導入するのも有効です。

オープンソース型CMSでは、バージョンアップやセキュリティ対策をすべて自分で実施する必要がありますが、商用パッケージ型CMSでは提供側のベンダーがセキュリティ対策を代行してくれるからです。

また、ホームページやCMSのデータバックアップも代行してもらえるので、万一サイバー攻撃を受けてしまった際も安心です。

SSL・WAF・IPSなどのセキュリティ対策がセットになった、商用パッケージ型CMSを選択するとよいでしょう。

CMSを導入するときはセキュリティ対策も忘れずに!

CMSを導入するときはセキュリティ対策も忘れずに!
ここまで解説してきたように、CMSのセキュリティ対策をおろそかにしていると、個人情報流出やWebサイト改ざんなどの深刻な被害を受けかねません。

さらに自社のみならず、ホームページを閲覧する顧客や取引先にも多大な迷惑をかけてしまいます。


CMSを導入する際には、セキュリティ面も忘れずに検討するようにしましょう。

なお、弊社の国産CMS・おりこうブログはSSL・WAF・IPSなどのセキュリティ対策を完備しており、データの定期的なバックアップも弊社が代行いたします。

「ITやセキュリティ対策に詳しい人材がいないけど、CMSを導入したい」という方は、ぜひ以下から詳細をご覧ください。

 この記事を書いた人
岡山 幸太郎
岡山 幸太郎
株式会社ディーエスブランド Webマーケター
ディーエスブランド入社後、営業を経験したのち自社サイトやお客様サイトのWebディレクションに携わる。現在はSEO(検索エンジン最適化)やコンテンツマーケティングなど、Webにおける集客分野を担当。また、Webセミナー講師としても活動中。

あわせて読みたい記事