CMSは危ない?導入するうえで知っておきたいセキュリティのこと

HTMLやCSSなどの専門知識を持たなくても、感覚的にWebサイトを構築できる便利な「CMS」。さらに管理も楽で、SEO対策も可能などメリットの多いCMSですが、注意しておくべきポイントもあります。それが、セキュリティの問題です。事実、CMSが原因でサイバー攻撃の被害に遭い、大きな損害を被ることになった企業も存在します。今回はCMSを導入するうえで知っておきたいセキュリティについて解説します。

CMSはセキュリティに不安がある?

「CMSはセキュリティに不安がある」という情報を目にしたことがある方もいらっしゃるかもしれません。これは間違いではありませんが、正確には「CMSのなかにはセキュリティ面でリスクの高いものがある」と言えます。どういうことなのか詳しく見ていきましょう。

シェアの高い無料CMSは狙われやすい

ひと口にCMSといっても、いくつか種類があります。詳しくは「CMS比較記事(仮)」をご覧ください。なかでも高いシェアを誇る無料のCMSは、それだけ多くの人が利用しているということです。実のところ、CMSだからといってセキュリティに問題があるわけではありません。ただ、利用者が多いということは、犯罪者にとっても狙えるターゲットが多いということです。また、無料CMSはコードが公開されている「オープンソース」という形式が多いので、仕組みを解析しやすいという特性もあります。以上のことから、「シェアの高い無料CMS」は狙われやすいのです。

CMSを狙ったサイバー犯罪の事例

次は、CMSのセキュリティーについてより詳しく知るために、「どのような犯罪に巻き込まれるリスクがあるのか」をご紹介しましょう。CMSを狙ったサイバー犯罪の事例には以下のようなものがあります。

不正アクセス

代表的な事例のひとつが「不正アクセス」です。不正アクセスとは、「本来アクセスする権限を持たない者」が、不正な手段を用いてアクセスすること。例えば、企業のWebサイトの管理を考えてみてください。一般的には、企業の中の管理担当者しか管理画面へのアクセスはできないようになっています。なぜなら、誰でもWebサイトを編集できてしまうと、勝手に書き換えられたり、削除されたりするかもしれないからです。また、管理者しか見ることのできない重要な情報が見られてしまう可能性もあります。つまり、不正アクセスをされると、このような被害を受けるということです。実際に不正アクセスにより、社員の個人情報や顧客情報などの漏えいや、Webサイトの改ざんといった被害があとを絶ちません。

不正なプログラム

また、知らず知らずのうちに不正プログラム(いわゆるコンピュータウイルス)が仕込まれることにより、被害が拡大する可能性もあるので注意してください。例えば、Webサイトに貼られたリンクを改ざんし、コンピュータウイルスに感染するページにつながるようにすればどうなるでしょうか。はじめの何人かは、改ざんされていることに気付かず、クリックしてしまうでしょう。そうなれば簡単にウイルスに感染させることができます。

ウイルスによる被害は計り知れない

コンピュータウイルスにもいろいろあります。例えば、近年流行している「ランサムウェア」と呼ばれるものは、パソコン内に保存されているデータがロックされ、「解除してほしければお金を払え」と脅されるもの。大事なデータを取り戻すために支払いをしてしまう企業も多く、悪質なサイバー犯罪として認知されています。もちろんこれは単なる一例に過ぎません。最悪の場合、企業が持つ取引先のデータから、ほかの企業まで被害が拡大することも十分あり得ます。実際に、中小企業へのサイバー攻撃を足掛かりに、大企業への侵入を試みるケースも珍しくありません。

さまざまな企業リスク

このようにサイバー攻撃による被害は、自社だけの問題ではないということがお分かりいただけたと思います。個人情報流出のような被害が出た場合、多額の損害賠償が発生する可能性もあり、そうなれば企業イメージが悪化するばかりか、業績低下や倒産につながる危険もあるでしょう。

CMSのセキュリティー対策

CMSの脅威について理解できたところで、次はその防止策について解説します。CMSのセキュリティー対策として考えられるのは、以下のようなことです。

プラグインを含め、ソフトを常に最新バージョンにしておく

無料CMSでは、さまざまなプラグインが使われています。実はこのプラグインが、サイバー犯罪の被害を受ける原因になることも多いのです。従って、プラグインを含めてCMSに使用しているソフトは常に最新バージョンにしておくことが大切だと言えます。ただし、これはあくまで「やらないよりはまし」という程度で、根本的に被害を防ぐ対策にはならないということも覚えておいてください。

静的CMSを活用

CMSは、HTMLの生成方法の違いから、「動的CMS」と「静的CMS」に分けることができます。詳しい仕組みの違いは割愛しますが、静的CMSの場合、公開サーバー側に複雑なシステムを置く必要がないことから、動的CMSに比べると外部からの攻撃に強いと言われています。

サポートのしっかりしたパッケージCMSを使う

自力での対策が必要なオープンソースCMSと比べると、有料のパッケージCMSはセキュリティパッチなど開発ベンダーのサポートを受けられることが特長です。また、システム設計や動作環境といった面から、もともとのセキュリティが高く作られているものも多いと言えるでしょう。
無料CMSよりもシステム自体にかかるコストは増えますが、トラブルが起こった際の影響を考えると、有料のパッケージCMSが最適解になる場合もあります。

常に情報収集をしておこう

今や、企業が自社のHPやブログといったWebサイトを持つのが当たり前の時代です。そのため、CMSのようなものを活用して気軽にWebサイトを作る企業も増えています。しかし、同時に大きなリスクを抱えているということを忘れてはなりません。また、サイバー攻撃は年々巧妙化しており、対策方法も日々更新されています。万全の対策をしていたとしても気を抜かず、常に最新の情報を仕入れておくことが大切です。同時に、セキュリティーに強いCMSの導入も検討する必要があるでしょう。