CMSの脆弱性・セキュリティリスク|脆弱性に起因するリスク・被害や対策を紹介!

CMSの脆弱性・セキュリティリスク|脆弱性に起因するリスク・被害や対策を紹介!

マーケティングや集客にWebサイトを活用するためCMSを導入したい。

しかし、CMSには脆弱性 / セキュリティリスクがあると聞いたが本当なのか?そんな企業担当者の方に向け、CMSの脆弱性を原因としたリスク・被害や、具体的なセキュリティ対策を紹介していきます。

なお、CMSに強いWeb制作会社の探し方・選び方がわからない!という方はWeb幹事にお気軽にご相談ください。貴社の目的・予算にあった最適な会社を厳選してご紹介します。相談料・会社紹介料などは無料です。

【無料】CMSに強いWeb制作会社を紹介してもらう

目次
  1. 1. CMSに脆弱性・セキュリティリスクはつきものなのか
  2. 2. CMSとは?種類 / 導入タイプ
    1. 2-1. 動的CMS
    2. 2-2. 静的CMS
    3. 2-3. オープンソースCMS
    4. 2-4. パッケージCMS
    5. 2-5. クラウドCMS
  3. 3. CMSの脆弱性を狙うサイバー攻撃
    1. 3-1. セッションハイジャック
    2. 3-2. SQLインジェクション
    3. 3-3. DoS / DDoS
    4. 3-4. XSS(クロスサイトスクリプティング)
  4. 4. CMSの脆弱性で起こり得る被害
  5. 5. CMSの脆弱性を保護するセキュリティ対策
    1. 5-1. Webサイトの目的に応じたCMSを導入
    2. 5-2. ネットワークレベルのセキュリティ対策
    3. 5-3. アプリケーションレベルのセキュリティ対策
    4. 5-4. ソフトウェアを常に最新バージョンへ更新
  6. 6. 【まとめ】CMSの脆弱性・セキュリティリスクと対策を紹介しました

CMSに脆弱性・セキュリティリスクはつきものなのか

脆弱性とは、コンピュータープログラムの不具合や設計上のミスから生じる「セキュリティ上の欠陥」のこと。セキュリティホールとも呼ばれる脆弱性は、情報システムやデータに損害をもたらす可能性のあるセキュリティリスクの1つです。

完全なコンピュータープログラムが存在しないように、ソフトウェアから脆弱性を完全に排除することは不可能。特に、インターネットに接続されるシステム / アプリケーションは、脆弱性を突いた攻撃を含むセキュリティリスクを潜在的に抱えており、CMSも例外ではありません。

ただし、ひとことにCMSといっても多種多様。CMSの種類や導入タイプ、運用方法に応じて脆弱性・セキュリティリスクへの対応は異なります。適切なセキュリティ対策を講じるためにも、まずはCMSの基本を理解しておくことが重要です。

【無料】CMSに強いWeb制作会社を紹介してもらう

CMSとは?種類 / 導入タイプ

CMS(コンテンツマネジメントシステム)とは、テキスト / 画像などのWebコンテンツをデータベースで一元管理できるシステム / アプリケーションのこと。HTML / CSSなどでコーディングする必要のあった従来と異なり、CMSならWordを使う程度のITスキルでWebコンテンツを制作 / 管理できます。

だれでもコンテンツ制作 / 管理できる手軽さから、CMSはWebサイト / ECサイトを構築する主流のツールとして定着。そんなCMSは、大きく「動的CMS」「静的CMS」の2種類、導入タイプとして大きく「オープンソース」「パッケージ」「クラウド」「スクラッチ」の4つがあります。本記事では、ゼロから開発するスクラッチ以外を紹介します。

動的CMS

CMSは、コンテンツの生成方法によって「動的CMS」「静的CMS」に分類されます。そもそも、コーディングの知識がなくてもWebコンテンツを制作できるのは、データベースで管理されたテキスト / 画像をもとに、CMSがHTMLページを生成しているから。動的CMSの場合、ユーザーのリクエストにしたがって、都度CMSが動的にHTMLページを生成します。

動的CMS

画像出典:KINOTROPE

動的CMSの特徴は、ユーザーのリクエストに応じて適切なコンテンツを出し分けられること。ECサイトや会員サイトなどのほか、マーケティング目的のWebサイトに向いています。

一方、都度Webページを生成しなければならないため、表示速度はやや遅め。WebサーバがユーザーとCMSを仲介する構造のため、外部攻撃に対抗するセキュリティ対策も必須です。動的CMSの代表的なツールとしては、オープンソースの「Drupal」などが挙げられます。

Drupal

Drupal

画像出典:Drupal

静的CMS

静的CMSとは、CMSサーバで制作されたコンテンツからHTMLページを生成し、Webサーバに蓄積する仕組みのCMSのこと。ユーザーはCMSサーバから分離されたWebサーバのみにアクセスし、リクエストに応じたHTMLページを閲覧します。

静的CMS

画像出典:KINOTROPE

静的CMSの特徴は、Webページの表示速度が速く、動作が安定していること。これはWebサーバとCMSサーバが分離しているからであり、構造上、外部攻撃などのセキュリティリスクが低いことも意味します。

一方、あらかじめ生成されたHTMLページを蓄積しておく仕組みのため、ユーザーのリクエストに応じた動的な対応は困難。コンテンツ更新の少ないコーポレートサイト、サービスサイトなどに向いています。静的CMSの代表的なツールとしては「Movable Type」などが挙げられます。

Movable Type

Movable Type

画像出典:シックス・アパート株式会社

オープンソースCMS

大きく動的 / 静的に分類できるCMSは、それぞれ「オープンソース」「パッケージ」「クラウド」いずれかの導入タイプで提供されます。オープンソースCMSとは、ソースコードが公開されているCMSのこと。プログラムを管理する団体を中心に、世界中の開発者が参加するコミュニティが形成されており、プラグインで機能を拡張できることが特徴。

だれでも無料で利用 / カスタマイズできますが、原則としてサポートは受けられません。オープンソースCMSの代表的なツールとしては、動的CMSの「WordPress」などが挙げられます。

WordPress

WordPress(クラウド版)

画像出典:WordPress

WordPressを使ったホームページ作成方法ついては以下の記事もあわせてご覧ください。

関連記事:WordPressのホームページの作り方・手順|初心者にわかりやすく解説

オープンソースCMSの脆弱性

サポートを受けられないオープンソースの場合、CMSを稼働させるための動作環境は、原則として自社で用意しなければなりません。つまりオープンソースCMSの場合、CMS本体 / OS / ミドルウェア / プラグインの脆弱性対策、インフラのセキュリティ対策は自社で実施 / 管理する必要があります。

ホスティングサービスなどを利用する際は、ベンダーにインフラ管理を任せられるものの、ソフトウェアへの脆弱性対策は基本的に自社責任です。

パッケージCMS

パッケージCMSとは、パッケージソフトウェアとして販売されているCMSのことです。大規模Webサイト向け、ECサイト向けなど、多種多様な製品からニーズに応じて選択可能。動作環境を自社で用意する必要があるのはオープンソースと同じですが、サポートを得られるのは大きな違い。

パッケージCMSの代表的なツールとしては、動的CMSの「HeartCore CMS」、静的CMSの「NOREN」などが挙げられます。

HeartCore CMS

HeartCore CMS

画像出典:HeartCore

HeartCore CMSの料金については以下の記事もあわせてご覧ください。

関連記事:HeartCore CMSの料金は200万円以上?類似サービスとの比較・おすすめの企業も紹介

パッケージCMSの脆弱性

オープンソースと同様、パッケージCMSもアプリ本体 / OS / ミドルウェア / プラグインの脆弱性対策、インフラのセキュリティ対策は自社での実施 / 管理が必要です。

ただし、脆弱性 / セキュリティ対策はもちろん、導入 / カスタマイズ / 運用に関するサポートを得られるのはパッケージCMSの強み。導入 / カスタマイズ / 運用の各種代行サービスを提供するベンダーも少なくありません。

クラウドCMS

クラウドCMSとは、ベンダーがクラウド環境に構築したCMSのこと。ユーザーはWebブラウザを使い、インターネット経由でCMSを利用する仕組みです。オープンソースやパッケージに比べ、カスタマイズなどの自由度は劣りますが、素早く導入できることが特徴。クラウドCMSの代表的なツールとしては、動的CMSの「Shopify」などが挙げられます。

Shopify

Shopify

画像出典:Shopify

クラウドCMSの脆弱性

ベンダーのプラットフォームを利用するクラウドCMSの場合、ユーザーが管理するのは基本的に自社データのみです。そのため、CMS本体を含む脆弱性 / セキュリティリスクはあまり意識する必要はありません。逆にいえば、ユーザーが能動的にセキュリティ対策できないこともクラウドCMSの特徴です。

また、カスタマイズの自由度に欠ける傾向にあったクラウドCMSですが、上述したShopifyのように高機能かつ自由度の高いツールも登場。プラグイン形式で機能を追加できるクラウドCMSもあります。

【無料】CMSに強いWeb制作会社を紹介してもらう

CMSの脆弱性を狙うサイバー攻撃

CMSの脆弱性を狙うサイバー攻撃

ここまでで、CMSの種類 / 導入タイプを解説するとともに、それぞれの脆弱性 / セキュリティリスクの違いも紹介してきました。

自社管理する領域が増えるほど、CMSの脆弱性 / セキュリティリスクは高まりますが、そのまま放置するとサイバー攻撃の標的になりかねません。実際に、どのようなサイバー攻撃が想定されるのか?代表的なものを紹介しておきます。

セッションハイジャック

セッションハイジャックとは、ログインからログアウトまでを管理するセッションIDを、なんらかの方法で奪取し、システムへの侵入を試みるサイバー攻撃のこと。

システムのCMSサーバにアクセスし、本人になりすまして不正なリクエストを送信する、主に動的CMSを対象とした攻撃です。セッションIDを推察してログインを試みる、ユーザーとCMSサーバの間に進入してIDを盗むなどの手法があります。

SQLインジェクション

SQLインジェクションとは、データベース言語であるSQLを利用して、CMSのデータベースを不正操作するサイバー攻撃のこと。CMSの検索ボックスや入力フォームに「悪意あるSQLコード」を注入し、データベースの書き換え / 消去 / 乗っ取りなどを試みる、主に動的CMSを狙った攻撃です。

DoS / DDoS

DoS(Denial of Service attack)とは、CMSサーバに大量のリクエストを送信するサイバー攻撃のこと。DDoS(Distributed Denial of Service attack)は、DoSをさらに巧妙化させたサイバー攻撃です。

ハッカーが1台のPCを使って攻撃を試みるDoSに対し、なんらかの方法でハッカーに乗っ取られた複数のPCで攻撃を試みるのがDDoSの特徴。急激なトラフィックの増加によって、CMSの表示速度が遅くなるだけでなく、システムがダウンしてしまう可能性もあります。

XSS(クロスサイトスクリプティング)

XSS(クロスサイトスクリプティング)とは、CMSのフロントエンドに悪意あるスクリプトを埋め込み、サイト訪問者にスクリプトを実行させるサイバー攻撃のこと。偽サイトに誘導する、個人情報を抜き取ることを目的としており、脆弱性のある静的CMSも標的になり得る攻撃です。

CMSの脆弱性で起こり得る被害

本記事で紹介したもの以外にも、サイバー攻撃の手法は日々増え続けており、日々巧妙化しています。それでは、CMSの脆弱性を突くサイバー攻撃によって、実際、どのような被害が生じるのか?直接的な被害としては、以下のようなものが挙げられます。

  • 個人情報 / 機密情報の漏洩
  • CMSのデータ改ざん / システム乗っ取り
  • ユーザーアカウントの悪用
  • マルウェア感染による金銭要求

直接的な被害だけではなく、情報漏洩やシステムダウンなどによる社会的信用失墜など、間接的な被害も無視できません。むしろ、一度失った社会的信用は、取り返すのに膨大な労力を必要とする甚大な被害です。

また、CMSの脆弱性を狙った攻撃は、大企業だけをターゲットにしているわけではないことにも注意が必要。近年は、大企業を攻撃するために、踏み台となる中小企業をターゲットにする「サプライチェーン攻撃」が頻発しているからです。

CMSの脆弱性を保護するセキュリティ対策

それでは、CMSの脆弱性を保護し、セキュリティリスクを最小化するにはどのような対策を講じればいいのか?代表的なセキュリティ対策をいくつか紹介していきます。

Webサイトの目的に応じたCMSを導入

Webサイトの目的に応じて、適切なCMSを選定 / 導入しましょう。たとえば、更新頻度の少ないコーポレートサイト / サービスサイトなら、セキュリティリスクの低い静的CMSの導入がおすすめ。パッケージCMS「Movable Type」なら10万円程度の初期費用、年額3万円程度のサポート費用で導入できます。

マーケティング戦略の中核としてCMSを活用したい、ECサイトを開設したいなら、自社リソースを念頭に置いた上で、適切な動的CMSを選定 / 導入します。ここでいう自社リソースとは、サイト構築だけでなく、CMSの脆弱性への対策、動作環境(インフラ)の確保、運用 / 保守へ対応できる人材を確保できるかということです。

ネットワークレベルのセキュリティ対策

オープンソース / パッケージCMSを導入し、自社でインフラも管理するなら、ネットワークレベルのセキュリティ対策が必須です。具体的には、ファイアウォール / IDS / IPSなどのセキュリティソリューションを導入すること。

ソリューション

概要

ファイアウォール

許可されたポート以外の着信をブロック

IDS

ファイアウォールでは防げない不正なパケットを検知して管理者に通知

IPS

ファイアウォールでは防げない不正パケットを検知してブロック

動作環境にホスティングサービスやパブリッククラウドを利用する場合はあまり意識する必要はありませんが、対策が施されているかどうか?念のため確認しておきましょう。

アプリケーションレベルのセキュリティ対策

ネットワークレベルのセキュリティ対策を講じただけでは、CMSの脆弱性を保護するには不充分。Webアプリケーションの脆弱性を狙った攻撃をブロックする「WAF」を併用することで、CMSの脆弱性保護を強化できます。

WAFとは、Web Application Firewallの略称のこと。ファイアウォール / IDS / IPSの後段、CMSサーバの前段にWAFを設置することで、外部からの攻撃を段階的にブロックできます。ホスティング / パブリッククラウドを利用する場合でも、WAFはオプション扱いの場合があるため、確認して必ず設置しましょう。

ソフトウェアを常に最新バージョンへ更新

オープンソース / パッケージCMSは、OS / ミドルウェアを含め、常に最新バージョンへ更新するよう気を配りましょう。CMSを含むソフトウェアは常に脆弱性を内包しているため、ベンダーは対策としてのセキュリティパッチ、アップデータを不定期に配布しているからです。

脆弱性を修正するアップデータが配布されるまでの隙を狙う「ゼロデイ」というサイバー攻撃もあるため、アップデート情報をこまめにチェックしておくこともポイント。ただし、常に最新バージョンを利用できるクラウドCMSは、ソフトウェアの状態を意識する必要はありません。

SSL化 / 二段階認証 / アクセス権限

CMSで構築したWebサイトを保護する、基本的なセキュリティ対策も施しておきましょう。代表的なものはサイトのSSL化 / 二段階認証 / アクセス権限設定です。

セキュリティ対策

概要

サイトのSSL化

インターネット通信を暗号化し、盗聴やデータ改ざんを防止する仕組み

二段階認証

ID / パスワード以外に、セキュリティコードなどの

追加認証を要求する仕組み

アクセス権限

サイト運営に携わるメンバーそれぞれの役割に応じ、

CMSへアクセスできる領域を制限する

【まとめ】CMSの脆弱性・セキュリティリスクと対策を紹介しました

マーケティングや集客にWebサイトを活用するためCMSを導入したい。しかし、CMSには脆弱性 / セキュリティリスクがあると聞いたが本当なのか?そんな企業担当者の方に向け、CMSの脆弱性を原因としたリスク・被害や、具体的なセキュリティ対策を紹介しました。

なお、CMSに強いWeb制作会社の探し方・選び方がわからない!という方はWeb幹事にお気軽にご相談ください。貴社の目的・予算にあった最適な会社を厳選してご紹介します。相談料・会社紹介料などは無料です。

【無料】CMSに強いWeb制作会社を紹介してもらう

ホームページ制作の相場ガイドブックを
無料でプレゼントします!!

ホームページの相場に関するガイドブックを
無料でプレゼントいたします!

・コーポレートサイト
・ランディングページ
・ECサイト
・オウンドメディア
・採用サイト
の相場の情報を徹底解説。

さらに相場を理解するためのポイントや
ホームページを業者に依頼する前の準備方法も
合わせて解説。

ホームページを依頼したいが、相場が分からず心配
という方はぜひダウンロードしてください。

ホームページ制作のガイドブック
無料でダウンロードする

この記事を書いた人

梓澤 昌敏

梓澤 昌敏

専門分野: 音楽・映像制作、オウンドメディア、ビジネス

音楽・映像制作の現場を経て、スタジオ構築側の業界へ。マネージャー・コンサルタントとして制作現場の構築に携わる一方、自社オウンドメディアの立ち上げを含むマーケティングも担当してきました。現在アメリカ在住。作曲を含む音楽制作も提供しています。

このライターの記事一覧