CMSは、更新の手軽さからオープンソースを中心に世界中に愛用者が多く、それゆえに攻撃者から狙われる対象になりやすい傾向があります。
常に最新バージョンに保ったり個別にセキュリティ対策をしたりしても、安全性を100%にすることは困難です。
そのため、企業として運用しているCMSのWebサイトでは、万が一のことを考えて攻撃を受けてしまったときの対策も用意しておく必要があります。
 
もし、攻撃者からホームページを改ざんされたことに気づかずに、ユーザーが改ざん内容に騙されてしまった場合、企業の信頼度はどうなるでしょうか?
昨今では、企業の対応が迅速でないと炎上問題につながったり、信頼を大幅に損なうようなケースが見受けられます。
未然に防ぐセキュリティ対策と、万が一、攻撃されたときの検知対策、どちらの体制も整えておくことが大事です。
 
本コラムでは、CMSに必要なセキュリティ対策についてご紹介いたします。
 
【セキュリティに強いCMSならBlueMonkey】
セキュリティにも強みを持ち、誰でも簡単に更新できる国産CMSBlueMonkeyの概要はこちら▼
 
 
冒頭でもお伝えしたように、CMSはユーザーが多いことからサイバー攻撃の対象とされやすいシステムでもあります。
最近の被害事例から、CMSを対象とされたものを取り上げて、ご紹介します。
■関連記事:CMSの脆弱性を狙った改ざん被害事例-企業サイトにいま必要なセキュリティ対策とは
「Easy WP SMTP」「Yuzo Related Posts」といった人気プラグインの脆弱性を悪用した改ざん被害が2019年3月頃から相次ぎました。
プラグインを改ざんされたWebサイトを閲覧したユーザーは、詐欺サイトへ誘導されるという被害が報告されています。
2019年2月頃から、WordPressで構築されたWebサイトが改ざんされ、トロイの木馬系のマルウェア「Trojan.JS.Redirector」が埋め込まれる被害が相次ぎました。
2019年1月には、大塚商会のホスティングサーバがWordPressのIDを踏み台にした不正アクセスを受け、同サーバ上のWebサイトが不正なファイルが設置されるなどの改ざん被害に遭いました。
被害件数は、約5,000件にものぼるといいます。
個人が運営するブログサイトなどが改ざん被害に遭っても賠償責任が問われる可能性は低いですが、企業が運営するWebサイト経由でマルウェアが拡散されるようなことがあれば、信頼が損なわれるだけでなく、訴訟に発展する恐れもあります。
また、復旧までの閉鎖期間中に見込まれたWebサイト経由での利益が0になるということでもあり、改ざん対策には注力すべきでしょう。
 
改ざんを未然に防ぐ「セキュリティ対策」、万が一、改ざんを受けてしまった際に速やかに事態を把握するための「検知対策」、改ざん前の状態に戻す「復旧対策」が必要となります。
Webサイトのセキュリティ対策は「多層防御」により全体を保護する必要があります。
多層防御とは、「ネットワークでの対策」「Webサーバでの対策」「アプリケーションでの対策」のように、複数の段階においてセキュリティ対策を設ける概念です。
 
しかし、オープンソースなどのCMSでWebサイトを構築し、自社でセキュリティ対策を講じなければならない場合、手が回らずに単一施策になってしまっていることもよくあります。
改ざんは、自社では気付きにくいケースが多く、不正な状態が長引きやすいのが特徴です。
また、企業のWebサイトから被害を受けたユーザーや、そのことを知ったユーザーからの信頼が大きく揺らぐリスクもあります。
 
このため、万が一、自社サイトが改ざんされたときには、すばやく検知できるような対策も必要です。
Webサイト改ざん被害の報告が速やかに管理者へエスカレーションされれば、企業として迅速に対応でき、さらなる被害拡大や二次被害へつながるのを軽減できます。
 
■関連記事:Webサイトの「改ざん検知」の仕組みとは?導入するメリットと注意点昨今は、企業の対応が迅速ではないと炎上問題につながったり、信頼を大幅に損なうことになるケースが見受けられます。
バックアップファイルを確実に保存し、改ざんを把握したら速やかに元の状態に復旧できる体制を整えておきましょう。
企業として自社の「情報セキュリティ基本方針」を制定し、対応フローを構築しておくことが重要です。
 
たとえば、GDPRでは、個人データが侵害されるインシデントが起きた際、72時間以内に監督機関へ報告することを義務づけており、ヨーロッパに商圏を持つ企業様のWebサイトでは対応フローの構築は必須です。
 
上記に該当しない以外企業様の場合でも、Webサイトの改ざんを含め、サイバー攻撃に遭った場合や、データやPC・スマホの紛失などによる情報漏えいなど、情報セキュリティインシデントが起きる可能性は身近にあり、速やかな対応状況の公表が求められるため、対応フローがあった方が良いでしょう。
 
情報セキュリティインシデントの把握
↓
公式コメント(第一報)…情報セキュリティインシデントが起きた事実の報告とお詫びなど
↓
情報セキュリティインシデントの詳細状況の把握・対応方針の決定
↓
公式コメント(第二報)…対応方針の開示
↓
情報セキュリティインシデントへの対応
↓
(対応が完了した段階で)解決の報告、お詫びと今後の改善案の開示
改ざん被害は、Webサイトを運営していれば他人事ではありません。特に、CMSで構築している場合はターゲットにされやすいため、WebサイトをCMSで構築している企業様の場合、検知や復旧のためのフロー整備は重要です。
 
オープンソースのCMSを採用しているなら、こうしたすべての対策を自社で依頼・構築する必要があります。
一方、独自CMSなら、こうした対策がなされているサービスを選ぶ必要があるでしょう。
 
クラウドサーカス株式会社が提供しているクラウド型の国産CMS「Blue Monkey(ブルーモンキー)」
では、(2019年5月よりWebサイト改ざん検知サービスを追加しています。多層防御によるセキュリティ対策、デイリーでWebサイトをチェックし、異常を検知したらアラートメールで通知する改ざん検知、HA機能(自動ファイルオーバ-)やバックアップ体制による復旧対策を用意しております。
ご興味のあるWeb担当者様は、お気軽にお問い合わせください。
【BlueMonkeyの最新事例】
「CMS BlueMonkey」を導入いただいた最新の事例を紹介しています!ぜひご検討の材料としてお役立てください。
>CMSの必要性から導入メリット・種類・選び方までを簡潔にまとめました!