ant2 CMSのメールマガジン【お使いのCMS、セキュリティ対策できていますか?今日からできるセキュリティ対策】

お使いのCMS、セキュリティ対策できていますか?今日からできるセキュリティ対策

こんにちは。
アントアントのメルマガ担当です。

いつもメールマガジン「ここだけは知っておきたい編」をご覧いただき、誠にありがとうございます。

Webサイトに潜むセキュリティリスク

近年、サイバー攻撃が増えてきていることをご存知ですか?

コロナに便乗したメールでのフィッシング詐欺や企業を狙ったランサムウェア(身代金ウイルス)、パソコンの乗っ取りなどが様々な場所でサイバー攻撃が行われています。

その中でもWebサイトへのサイバー攻撃は頻繁に起こっています!

今回のメルマガではWebサイトに潜むセキュリティリスクについて、オープンソース型CMSは何故セキュリティが弱いといわれているのか、今すぐできるセキュリティ対策についてご紹介します。

セキュリティ対策を行わない場合に起きる被害

サイバー攻撃は突然襲ってきます。対策していないと様々な被害が起きる可能性があります。

  • ページ・コンテンツの改ざん
    ページの改ざんをされてしまうと、データベースやファイルを勝手に置き換えられることもあり、
    Webサイトが意図しないページに書き換えられてしまいます。
    (例)
    ・サイト内容が改ざんされ怪しい画像やメッセージが表示される
    ・見た目の変化はないが、検索結果に表示・反映される
    ・ファイル自体が置き換えられ、怪しいファイルが置かれた
  • 情報漏洩
    会員登録が必要なWebサイトの場合は、ログイン情報・個人情報などが抜き取られる可能性があります。
    最悪の場合には、クレジットカード情報の流出もあり得ます。
  • スパムメールの送信
    メールの自動送信プログラムをWebサイト仕込まれ、勝手にスパムメールを送信される場合があります。
    自動送信プログラム以外にもお問い合わせフォームやブログなどのコメントフォームを利用して送信されてしまう
    可能性もあるためメールフォームがある場合は注意が必要です。
  • スパムサイトへのリダイレクト
    Webサイトに不正なスクリプトを組み込むことでスパムサイトへのリダイレクトが行われるケースもあります。
  • アクセスできない・サーバーダウン
    1秒間に数万回もの大量のアクセス・データを送信することで普段はすぐにアクセスできるサイトにアクセスしにくくなったり
    最悪の場合はサーバーダウンしてしまう場合もあります。

こういった被害を防ぐためにもWebサイトのセキュリティ対策は必須と言えるでしょう。

では、Webサイトのセキュリティ対策として何から始めればいいのでしょうか。
多くのWebサイトはオープンソース型CMSやクラウド型CMS、パッケージ型CMSなどのCMSで制作されています。
そのため、CMS自体のセキュリティ対策・CMS以外でのセキュリティ対策が必要となります。

まずはCMS自体のセキュリティ対策について確認してみましょう。

CMSのセキュリティ対策

以前のメルマガ『CMSの種類とメリット・デメリット』では、多くの利用者数がいるオープンソース型CMSにはデメリットとしてセキュリティ面が心配という点があるとご紹介しました。

今回はオープンソース型CMSが何故セキュリティ面が心配と言われているのかその理由をご紹介します。

何故オープンソース型CMSはセキュリティ面が心配と言われるのか

  • 利用者が多い
    WordPressなどのオープンソース型CMSは無償で利用でき、利用者が多いため攻撃する対象となりやすいと言われています。
  • 誰でも見れるオープンソース
    誰でもソースの中身を解析できるようになっているため、第三者が脆弱性を発見しやすい構造となっています。
  • プラグインなどの外部システムの利用
    プラグインなどの外部システムから、脆弱性が見つかる場合も多いとされています。
    セキュリティ用のプラグインもありますが、その他の外部システムを狙われる場合もあります。
    特にプラグインのアップデートなどが行われていない場合は要注意です。
  • 最新のバージョンにアップデートしていない
    CMS自体のプログラムをアップデートすることで今利用している拡張機能やプラグインなどの外部システムが利用できなくなるケースもあるためCMSのアップデートを後回しにしているユーザーも少なくありません。
    また、WordPressなどのオープンソース型CMSの多くは自動アップデートではないため、そもそもWebサイトを制作し終えてからアップデートをしていないといった場合もあります。
    CMSのアップデートは脆弱性に対する修正が含まれている場合もあるため優先的に対応する必要があります。
  • セキュリティ面に考慮せずにWebサイトを公開してしまう恐れがある
    オープンソース型CMSは、セキュリティ対策用のプラグインや設定を行わないままでもWebサイトを公開することが可能となっています。そのためにセキュリティ面に考慮せずにWebサイトを公開してしまうこともあります。
    オープンソース型CMSは手軽にWebサイトを制作できる分、セキュリティ面が手薄になってしまう危険性があると言えるでしょう。

以上のように、様々な観点からオープンソース型CMSはサイバー攻撃を受けやすいため、セキュリティ面で心配とされています。

セキュリティ対策はどの企業でもしないといけない?すぐに対策が必要?

ニュースなどではよく大手企業の情報漏洩が問題とされていますが、セキュリティリスクは大企業だけに当てはまる問題ではありません!

企業の大きさに関わらず、セキュリティ対策が不十分な企業を入り口として各サイバー攻撃は行われます。今やサイバー攻撃は他人事ではなく、身近な問題となってきているのです。

また、サイバー攻撃を受けた企業は自社の損害だけでなく、さらに被害を拡散させてしまう加害者となる場合もあります
Webサイトのセキュリティ対策は自社を護るだけでなく大事な取引先のためにも対策すべきだと言えるでしょう。

そこで、すぐにできるセキュリティ対策についてご紹介します。

すぐにできるセキュリティ対策

まずはパスワードを強化!

兎にも角にもまずはパスワードを見直しましょう!!
簡単なパスワードに設定していませんか?
パスワードの設定には以下の点に気を付けて設定をしましょう。

  1. 名前などの個人情報からは推測できないようにする
  2.  英単語などをそのまま使用しないこと
  3. 適切な長さの文字列であること
  4. 類推しやすい並び方やその安易な組合せにしないこと

参考:総務省『設定と管理のあり方』

推奨されているパスワードの組み合わせ

内閣サイバーセキュリティセンター『インターネットの安全・安心ハンドブック』によると

英大文字小文字+数字+記号の10桁のパスワードの作成が推奨されています。

そのため、もし簡単な英単語や短いパスワードに設定している場合は、パスワードを10桁以上の複雑なパスワードに変更するようにしましょう。

使いまわしに注意!

しかし、たとえ複雑なパスワードにしたからといって、パスワードを使いまわしていては一度見破られたら他のWebサイトにも被害が及ぶ可能性があります。

そのため、定期的にパスワードの変更が必要とされています。

ID・パスワード運用にも注意!

ログイン情報(ID/パスワードなど)はブラウザに保存しないことをお勧めします。

もしパソコンを紛失してしまったなどの場合、パスワードがブラウザ保存されていたらすべてのWebサイトに被害が起こるかもしれません。
また、ブラウザ保存に頼りきりになっていざという時にパスワードが思い出せず利用できなくなるケースもあります。

そのため、パスワードはブラウザ保存ではなく毎回入力していれることを推奨しています。

常に最新のバージョンへアップデートする

CMS自体は勿論、プラグインなどの外部システム・テーマなどは定期的にアップデートしていますか?

アップデートを放置したままにしていると脆弱性は勿論、バグなど放っておくと第三者に攻撃される可能性があります。

常に最新のシステムを使用するように心がけましょう。
また、アップデートの際はデータがなくなってしまったりする不具合なども考えられます。
一から制作し直し、なんてことにならないようにバックアップファイルを事前に取得しておくことも大切です。

SSL化の設定をしておく

インターネット上の通信を暗号化することをSSLといい、WebサイトにSSLを導入することを「SSL対応」「SSL化」といいます。

例えばオンラインショッピングをするときなどにSSL化の設定をしていない場合はショッピング内容や個人情報を第三者に盗み見される恐れがあります。

しかし、SSL化されていれば情報を盗み見されたとしても暗号化されているため盗み見した人はどんな情報か判断することができません。

現在多くのSSL未対応だったWEBサイトがSSLを導入し、上記のリスクを回避しています。

SSL化を行っていない場合は導入することをお勧めします。
SSLについて詳しくはこちらSSLについてSSLについて(2)

セキュリティ対策が組み込まれているCMSを利用する

前述したようにオープンソース型CMSはセキュリティ面で安心とは言い切れません。

どのCMSでも絶対に安心安全とは断言できませんが、クローズドソース型のCMS(ソースが解析できないクラウド型CMS)は、自動アップデートなどのメーカー側でフォローしているところが多いため、オープンソース型CMSよりはクローズドソース型のCMSを利用した場合のほうが被害は少ないと考えられます

また、クローズドソース型のCMSでさらにセキュリティ対策が独自で行われているCMSであればなお良いとされています。

ant2 CMSのセキュリティ対策

1.常時SSL化の設定が可能

ant2 OEMサービスでは、1ライセンスにつき、独自ドメイン・ WEBサーバー /メールサーバー ・独自SSL(ドメイン認証)がセットとなっています。

そのため、SSL化対応だけに費用が発生せずにご利用いただくことが可能です。

2.ログイン時の2段階認証機能

ログイン時のID/パスワードに加えて、スマートフォンの認証アプリで取得するセキュリティコードの入力による2段階認証を設定することが可能となっています。

 

3.メールフォームの連続送信制限

不正な投稿の防止のために一定の時間に同じユーザーから連続送信があった場合には制限がかかっています。

4.reCAPTCHA(リキャプチャ)によるスパム対策

メールフォーム・ブログのコメントにはGoogle reCAPTCHA v3を導入可能となっています。
フォームにおいてbot(プログラム)による入力か、人の手による入力かを判断することができるシステムのため、スパム対策としてご利用いただくことができます。

5.定期的な脆弱性チェック

年に1回脆弱性チェックを行っており、脆弱性チェックを行った上でサイバー攻撃などをされないソースコードでCMSを構成しています。

6.毎月の自動アップデート

ant2 CMSは毎月自動でアップデートをかけています。
そのため、販売代理店様・ユーザーによる面倒なアップデート作業がなく、安全にお使いいただくことが可能となります。

まとめ

今回はCMSに潜むセキュリティリスクとオープンソース型CMSは何故セキュリティが弱いといわれているのか、今すぐできるセキュリティ対策についてご紹介しました。

何度もお伝えしましたが、サイバー攻撃はとても身近なものになってきています。
対策を行っていない場合には様々な被害が起きる可能性があります。

是非、今からでも遅くないのでセキュリティ対策を行い、安全なサイト運用を行いましょう。