CMSの脆弱性と対策

ウェブサイトを効率よく管理でき、積極的な情報発信にも利用できるCMS。利便性は高く評価できますが、脆弱性などのリスクについてはどのように考えるべきなのでしょうか。このページではCMSの脆弱性や被害、そしてその対策についてご紹介していきます。

CMSの利用状況と脆弱性の被害

まず、CMSが実際にどれくらい利用されており、その中で発生している脆弱性被害について見ていきましょう。

CMSの利用状況

W3Techsが公開している市場調査データ(Distribution of Content Management Systems among websites that use Japanese)を見ると、日本のCMSシェアはWordpressが83.1%。次いでAdobe Dreamweverが2.5%、EC-Cubeが2.1%。その他のCMSで12.3%(2022年2月18日調査時点)を占めるという分布になっています。 圧倒的にWordpressが多いことがわかります。無料で利用でき、世界的にユーザーが多いことからも人気を集めているCMSです。

Wordpressの脆弱性被害は多い

しかしこのWordpress、2017年2月にコンテンツ改ざん被害を受けたREST APIの脆弱性にはじまり、Wordpress本体やプラグインの脆弱性は多数報告されています。2020年だけ見ても、「FileManagerのリモートコード実行の脆弱性(CVE-2020-25213)」や、「CMSを標的とするボットネット『KashmirBlack』による、RCE(リモートコード実行)の脆弱性」について、企業に被害が発生しているようです。

CMS利用者の対策状況

Wordpressやそのプラグインの脆弱性対策は、パッチ適用やバージョンアップによって行われます。しかし、実際にはそれが十分に行われていないことが多いようです。攻撃されたサイトのCMSの対策状況を見ると、CMSのバージョンが古いケースが56%、またプラグインの大半がパッチ未適用になっていました(Sucuri社「Hacked Website Threat Report - 2019)(2019年調査時点)。

Wordpressを攻撃するコードが流布され、実行されると、半数以上のCMSが被害を受ける可能性がある、ということになります。

CMS運用の問題

オープンソース

オープンソースで利用できるWordpressは、誰もがその設計内容について触れることができ、またプラグインを開発することもできます。それ故に攻撃対象になりやすいというリスクがあります。

インストールの簡易性

オープンソースのCMSは、簡単に導入できてしまうために、十分な対策がとれない担当者がインストールしてしまうというリスクがあります。

Wordpressは、公式サイトに5分でインストールできると書かれているほど簡単に導入できます。システムエンジニア、あるいはインフラエンジニアでなくてもインストールは可能です。

セキュリティ対策の管理対象外にされやすい

CMSで構築されているサイトは、企業のポータルとして情報発信に使われたり、コンテンツマーケティング、あるいはECサイトの静的コンテンツ部分に使われることが多く、個人情報を扱わずに運用されているケースがほとんど。そのため、個人情報保護規定に基づいたセキュリティ対策の対象外とみなされるケースが多いのです。

プラグインがバックドアになる可能性

CMSは利便性が高い反面、多数のプラグインを導入することでメンテナンスがしきれない面もあります。多数のプラグインを導入した結果、バックドアとなるプラグインが紛れ込んでいる可能性もあります。

またプラグインが多すぎて、脆弱性情報が公表されても自社サイトにそれが使われていることに気づかないケースも。

CMSの脆弱性への対策

では、これらの問題に対して、どんな対策をとることができるでしょうか。

オープンソースのものを使わない

脆弱性を突かれやすい、オープンソースのCMSの利用を避けることが第一の対策として挙げられます。企業サイトにCMSを導入するなら、セキュリティ対策を十分に行っている有料パッケージのCMSを利用することは最低条件と言ってもいいでしょう。

サーバレスなサイトホスティング

コンテンツ管理機能とコンテンツ自体を分離して運用することも対策となります。公開しているサイト自体には静的コンテンツだけを置くことで、比較的堅牢な運用が可能です。

動的生成コンテンツの静的化技術を利用する

JAMstackのサーバレスアーキテクチャを利用することで、サーバやデータベースがないシステムでもコンテンツを公開することができます。そもそも脆弱性が発生しにくくなり、システム運用の分離が可能です。

セキュリティに強いパッケージ型CMS

それでは、最後にセキュリティ対策がしっかりしているパッケージ型のCMSをご紹介します。

Heartcore

Heartcore 公式HPキャプチャー

引用元:Heartcore 公式HP
https://www.heartcore.co.jp/cms/heartcore/index.html

主な機能

コンテンツ管理、コミュニティ機能、ソーシャルメディア連携機能、アクセスログ統計機能、会員管理システム連携

特徴

WEBサイトの一括移行が簡単にできる

動的CMSなので大量のコンテンツの管理が簡単

さまざまな機能を搭載したオールインワン仕様

Heartcoreについてもっと詳しく

SiteCore

SiteCore 公式HPキャプチャー

引用元:SiteCore 公式HP
https://www.securityready-cms.com/wp/wp-content/uploads/sitecore.jpg

主な機能

EC連携、コンテンツ管理、アクセス解析、メール配信、デジタルマーケティングなど

特徴

  • 個人に最適化されたWEBサイト
  • ページを見たまま編集ができる「エクスペリエンスエディター」
  • 充実したセキュリティ機能

SiteCoreについてもっと詳しく

SITE PUBLIS

SITE PUBLIS公式HPキャプチャー

引用元:SITE PUBLIS 公式HP
https://www.sitepublis.net/service/publis.html

主な機能

コンテンツを複数のデバイスに表示、会員管理、承認ワークフロー、ニュース一覧自動更新など

特徴

  • 誰でもできる簡単操作の「見たまま編集」
  • かんたんにコンテンツの追加ができる「コンポーネント」機能
  • 標準搭載されていない機能はプラグインで追加が可能

SITE PUBLISについてもっと詳しく

WebRelease 2

WebRelease 2公式HPキャプチャー

引用元:WebRelease 2 公式HP
https://www.frameworks.co.jp/

主な機能

サイトの生成、ユーザ管理、テンプレート管理、公開承認管理、マルチデバイス配信、コンテンツ配信管理、操作履歴、外部リンクチェック機能など

特徴

  • これまでの実績により、10,000ページを超える大規模サイトでも確実に運営管理できることが実証されている
  • AWSをはじめ多くのクラウドで動作可能
  • 静的CMSならではのセキュアな環境

WebRelease 2についてもっと詳しく

セキュリティが高いおすすめパッケージ型CMS比較

WAF、脆弱性対応、データ暗号化、操作ログの取得とDL、鍵管理(暗号化の鍵管理を行えるかどうか)、
プログラムソースのバージョン管理対応のパッケージ型CMS(2022年3月調査時点)の中から、目的ごとのオススメCMSをご紹介します。

基幹システムと連携できサイト内検索をデフォルト搭載

HeartCore CMS

引用元:HeartCore Webコンテンツ管理システム設定ガイド[PDF]
https://www.heartcore.co.jp/file.jsp?id=49551&version=ja

こんなサイトにおすすめ

導入コストが安く、
DBから情報を自動更新したい
ECサイト・中規模サイト

  • ECサイト
  • 基幹システム
    連携
  • 顧客・SEO解析したい
  • 数千~数万
    ページ
分類 動的CMS
サイト
規模
数千~数万ページ程度
主な
機能
基幹システムとの連携、サイト内検索機能、マルチドメイン、多言語対応(170ヶ国)、SNS連携、ヘッドレス配信機能
導入先企業 日本航空、三菱UFJモルガン・スタンレー証券など

公式サイトから
操作感がわかるデモを
依頼してみる

HeartCore CMSの詳しい機能や
導入事例を見てみる

Adobe Creative Cloudとのネイティブ連携できる唯一のCMS

Adobe Experience
Manager Sites

引用元:Adobe Experience Manager Sites公式HP
https://business.adobe.com/jp/products/experience-manager/sites/aem-sites.html

こんなサイトにおすすめ

豊富なマーケティング機能を駆使して成果改善したい大規模サイト

  • Adobe製品
    と連携
  • 動画や音声を
    利用
  • 大規模な企業
    サイト
  • 数万ページ以上
分類 動的CMS
サイト
規模
数万ページ以上
主な
機能
コンテンツのパーソナライズ化、Adobe製品と連携、ヘッドレス配信機能、マルチサイト管理、翻訳
導入先企業 mastercard、kaoなど

公式サイトから
導入の相談をしてみる

詳しい機能や
導入事例を見てみる

変更したパスワードを本人だけに通知できる

NOREN

引用元:WDONLINE
https://book.mynavi.jp/wdonline/detail_summary/id=102645

こんなサイトにおすすめ

更新頻度は少なめで、より強度なセキュリティを重視とする中規模サイト

  • イントラサイト
  • 多段階承認
    したい
  • 中規模サイト
  • 数千~数万
    ページ
分類 静的CMS
サイト
規模
数千~数万ページ程度
主な
機能
多段階承認フロー、多言語対応(日・英・中・韓)、タイマー自動公開、デザインテンプレート、共通部品
導入先企業 伊藤忠商事、神戸製鋼所など

公式サイトから
操作感がわかる
デモを依頼してみる

詳しい機能や
導入事例を見てみる

※1 動的CMSとは…閲覧者がアクセスするたびにHTMLを生成しユーザーごとに内容を出し分けたり変化させられるCMS
※2 静的CMSとは…閲覧者がアクセスするHTMLページを事前に準備しておくタイプのCMS

【選定条件】
HeartCore CMS…基幹システムとの連携ができ、サイト内検索がデフォルトで組み込まれているパッケージ型CMS
Adobe Experience Manager Sites…Adobe Creative Cloudとのネイティブ連携できる唯一のCMS
NOREN…パスワード変更の際、本人だけにパスワードを通知する機能があり、静的処理を行っているパッケージ型CMS