CMSはContents Management Systemの略。Webサイトの更新と管理を助けてくれるシステムのことです。代表的な例としてWordPressをご存知の方も多いのではないでしょうか。
基本的にインターネットを通じて利用するシステムなので、サイバー攻撃や内部の情報漏えいなどのセキュリティリスクにさらされることもあります。CMSでも種類によって生じやすいリスクや対策が若干変わってきますので、しっかり把握しておくことが大切です。
この記事ではCMSのセキュリティリスクについて、種類ごとに分かりやすく解説します。
1.CMSは種類によってセキュリティリスクが異なる?
CMSは日本語で言うと「コンテンツ管理システム」の略称です。
CSSやHTMLへの専門知識が必要なサイト制作を管理システム内で簡単に行えることから、現在ではサイト作りのために多くの人が導入しています。しかし、運用者の中にはセキュリティリスクに無知な人もおり、サイバー攻撃の被害に遭うケースも少なくありません。
企業のサイト運用でありがちなのは、担当者が売上アップを狙えるコンテンツ(記事など)の制作にリソースを割きすぎて保守に手が回っていないパターン。特にWordPressなどのオープンソース型CMSでは自主的なセキュリティ管理が肝要です。
>>>WordPressのセキュリティリスクについてはこちらから<<<
CMSの種類・メリットとデメリット
| 種類 | メリット | デメリット |
|---|---|---|
| オープンソース型 | カスタマイズ性が高い | 自主的なセキュリティ対策が必要 |
| パッケージ型 | ベンダーによる安全対策が整っている | 自主サーバーの整備が必要 |
| クラウド型 | サーバーがなくても安価or無料 | カスタマイズ性が低い |
CMSは大きく分けてこの3種類。それぞれの特徴について詳しくは後述しますが、最もシェアが大きいのは無料で誰でも使えてカスタマイズもしやすいオープンソース型のCMSです。
2.オープンソース型CMSのセキュリティリスク
オープンソース型CMSにもさまざまな種類がありますが、その中でも一番多くの人に使われているのはWordPressです。W3Techsのデータ※によれば、CMSで制作したサイトのうち62.8%はWordPressを使っているそうです。
シェアが大きい上、以下のような問題点があるためセキュリティリスクは比較的高いと言えます。もちろん安全に利用しているユーザーもたくさんいますし、必ずしも危険というわけではありません。WordPress向けの保守サービスを提供している会社としては、セキュリティ対策を認識せず脆弱性を突かれて攻撃を受けるWebサイトが多いことは非常にもったいなく思います。
「サイトを作ったら終わり」ではなく、以下のようなセキュリティリスクを踏まえたうえで一定の対策を講じる必要があることは認識しておきましょう。
コードが公開されている
オープンソース型CMSの特徴はカスタマイズ性の高さです。
Webサイトを構築するためのコード(具の中身)は基本的にどのサイトも同じで誰にでも見られる状態になっています。攻撃者から見ると脆弱性を突きやすい状況だと言えるでしょう。
プラグイン・モジュールなどから侵入されやすい
オープンソース型CMSはあらかじめサイトを作るための基本的な機能を搭載した状態で誰でもダウンロードできるよう公開されていますが、便利に使うためにはカスタマイズが必要になります。
オープンソース型では、追加で機能が必要になった時のために拡張機能が使えるようになっていることがほとんどです。ツールによってプラグイン・モジュールなどさまざまな言い方はありますが、「誰でも作れる」「他の人とも共有できる」拡張機能であることは共通しています。
拡張機能はCMSの開発者でなくとも自由に作ることができますし、中には作るだけ作って更新を放置してしまう人もいます。オープンソース型の場合、こういったプラグインやモジュールの脆弱性から攻撃を受けるリスクがあるのです。
対策を十分にしていない人が多い
オープンソース型CMSのサイトで被害を受ける人が多い一番の理由は、シェアの大きさと参入のハードルの低さゆえに対策のやり方を分かっていない初心者でも簡単に導入できてしまうためです。
特にWordPressは対策の浅さが原因でセキュリティが甘い状態になっているサイトが多く見られるので、「狙われやすい」と言われがちです。実際、バージョンの管理をしていないようなサイトがどんどん標的になっています。
3.パッケージ型・クラウド型(SaaS型)CMSのセキュリティリスク
パッケージ型、クラウド型のCMSはオープンソース型CMSと違い、制作と管理を担う企業(ベンダー)が存在します。そのため、基本的には自社でセキュリティ対策に割くリソースは少なくなるでしょう。その分カスタマイズ性が下がり、高度な拡張機能の搭載には比較的高額なオプション代が必要になります。
パッケージ型CMSの特徴
ベンダーが独自に開発したCMSライセンスを購入し、自社サーバーにインストールするタイプのCMSです。
オープンソース型はフォーム機能やデザインのカスタマイズなどの基本要素を拡張機能によって補う必要がありますが、パッケージ型の場合はあらかじめ必要な機能が搭載されています。
CMSをインストールするサーバーを運用側で調達・管理することが前提になっているので、サーバーを自社で用意できる中~大規模サイトに利用されることが多いのが特徴です。
クラウド型(SaaS型)CMSの特徴
ベンダーが制作したCMSをインターネット(ブラウザ)経由で利用できるのが特徴です。パッケージ型と違って自前でサーバーを用意する必要がないので、小規模なサイトや個人ブログ運用にも手軽に利用できます。
ただし、カスタマイズの自由度はかなり下がることには注意が必要です。
代表的なクラウド型CMSといえば、「WordPress.com」。初心者には混同されがちですが、「.com」の方はWordPressと同じ開発者がオープンソース型のWordPressをクラウドで使える形にしたサービスです。
オープンソース型CMSとの違い、セキュリティリスク
パッケージ型CMSもクラウド型CMSもベンダーが提供するシステムを利用するという点が共通しています。オープンソースと比較すると自由度が低くなる分、比較的セキュリティリスクは低いと言えるでしょう。
ただし、セキュリティリスクがゼロになるわけではありません。パッケージ型はサーバー等への不正アクセスの対策やアップデートなどのメンテナンスは自社で行う必要があります。
クラウド型は自社サーバーがなくても利用できますが、サービスを提供しているベンダーのセキュリティ対策や有事のサポート制度によるところが大きいのがセキュリティ的なデメリットになりうるでしょう。
サイト制作が終わった後にCMSを乗り換えるのは至難の業なので、これからサイトを作る方は熟慮して利用するCMSを決めるべきでしょう。
4.CMSのセキュリティリスクを回避する対策
CMSはインターネットを通じてサイト制作を管理するシステムなので、利用するうえではどうしてもセキュリティリスクが生じてしまいます。
では、どんな方法を取ればリスクを回避できるのでしょうか。
自社に合ったタイプのCMSを取り入れる
どのタイプのCMSも一長一短。「これを選んだら安全」ということもないので、作りたいサイトの形式や制作環境に応じて使い分けるのが大切です。
それぞれのCMSの特徴を把握して、自社の求めるコンテンツに沿ったものを取り入れましょう。
セキュリティ対策ソフトを導入する
特に自分で環境を整えなければならないオープンソース型では、WAFやファイアウォールを設置して自分の身を守ることが重要です。
例えばWordPressにはWAFをサイトのシステムに組み込めるプラグインなどもあるので、利用する場合は導入しておいた方がいいでしょう。(セキュリティ対策のプラグインについては「WordPressの安全を守る!セキュリティ対策プラグイン7選」で詳しく解説しています。)
脆弱性情報を収集する
脆弱性情報の収集も非常に重要です。特にオープンソースCMSの運用者は誰かが定期的にチェックしておくことをおすすめします。
システム内の脆弱性は時間が経ってから見つかることもあるので、更新される情報についていかなければどんどん穴のあるサイトになっていってしまいます。セキュリティ対策をして終わりではなく、日々移り変わる情報を集めて対策することが大切です。
アップデートを管理する
アップデート(バージョンアップ)は新しい機能の追加のほか、セキュリティの脆弱性を修正する目的で実施されることも多々あります。そのため、アップデート情報が出たら可能な限り早く実装するようにしましょう。
特にオープンソース型ではアップデート後に拡張機能との互換性の問題で表示崩れなどが発生するケースがかなりの確率(弊社エンジニアの体感だとメジャーアップデート時は40%くらい)で起こります。「サイトの表示を保ちたいから」という理由でバージョンをそのままにしてしまう事例が散見されますが、しっかり管理されていないサイトはサイバー攻撃を受けるリスクを増大させてしまいます。
表示崩れ等が起こるのはある程度仕方のない現象ですので、放置せずしっかり対応するのが重要です。自社のリソースでアップデートの管理が難しいようなら、保守サービスの利用も検討してみましょう。
定期的にサイトのセキュリティ診断を行う
どんな形式のサイトでも、脆弱性診断を行うことでセキュリティの課題点を洗い出して改善することができます。
また検索流入を増やしてコンバージョンを上げるには、表示スピードの改善などの対策も必要です。セキュリティ保守と並行してSEOの内部対策を行うのもおすすめです。
5.まとめ
CMSには
- オープンソース型
- パッケージ型
- クラウド型(SaaS型)
の3種類があります。特にシェアの大きいオープンソース型はカスタマイズ性が高い分、対策を怠るとセキュリティリスクが高まります。
しかし、どんなCMSであっても基本的なセキュリティ対策は非常に大切です。もし自社サイトのセキュリティへの対策が十分でないとお考えでしたら、保守サービスの利用をおすすめします。
当社のサービスでは、WordPressはもちろんご相談次第で他のCMSの保守も代行できます。「自社のCMSに対応してくれるか知りたい」という方はまずお問い合わせください。当社の専門家が丁寧にヒアリングいたします。
※W3Techs+「Usage statistics of content management systems」
