CMSには外部から改ざんされる「脆弱性」があることが知られています。このページでは「WordPress」「movable type」「joomla」「drupal」の脆弱性と、その対策についてご紹介しています。
CMSのセキュリティリスクは大きく分けて3種類あります。
CMSには、さまざまな顧客情報が登録されてます。最近は、顧客の個人情報を狙ったサイバー攻撃が頻繁に行われています。
顧客の氏名や連絡先、クレジットカード情報などの個人情報が流出した場合、会社の信用が落ち、賠償責任を取らなければならないケースもあります。
主要なウィルスは「ワーム型」「トロイの木馬型」「マクロ型」の3種類。感染すると、システムを停止させるタイプのウィルスや、顧客の情報を盗んで身代金を要求する「ランサムウイルス」が問題になっています。Webサイトのシステムが止まれば、会社の信用が落ちるので、対策が必要です。
CMSはブログ感覚で簡単にサイトを作成、更新することができます。しかし、第三者に脆弱性を悪用されて、せっかく作ったサイトが、まったく別の内容に書き換えられている被害が発生しています。
さまざまなプラグインがあって、カスタマイズの幅が広いことで知られるCMS「WordPress」。ここでは「WordPress」の脆弱性とプラグインとの関係、その対策をピックアップしました。
ブログと同じ感覚で気軽にWebサイトの作成・管理ができる「Movable Type」は、個人使用は無償のCMSです。ここでは、「Movable Type」の特徴や脆弱性、その対応策に関してご紹介しています。
Webサイトを作成・管理・運営するツールが一式揃った無償のCMS「joomla」。ここでは、データベースから、不正に情報を盗むことができる「SQLインジェクションの問題」を中心に、対策をまとめました。
「drupal」の脆弱性は「データのシリアル化解除処理の不備」。プログラムがCPUやメモリを動かす時に、第三者が任意のコードを実行できるセキュリティホールがあります。サーバー乗っ取り対策ついて解説しました。
WAF、脆弱性対応、データ暗号化、操作ログの取得とDL、鍵管理(暗号化の鍵管理を行えるかどうか)、
プログラムソースのバージョン管理対応のパッケージ型CMS(2022年3月調査時点)の中から、目的ごとのオススメCMSをご紹介します。
HeartCore CMS
引用元:HeartCore Webコンテンツ管理システム設定ガイド[PDF]
https://www.heartcore.co.jp/file.jsp?id=49551&version=ja
導入コストが安く、
DBから情報を自動更新したい
ECサイト・中規模サイト
分類 | 動的CMS |
---|---|
サイト 規模 |
数千~数万ページ程度 |
主な 機能 |
基幹システムとの連携、サイト内検索機能、マルチドメイン、多言語対応(170ヶ国)、SNS連携、ヘッドレス配信機能 |
導入先企業 | 日本航空、三菱UFJモルガン・スタンレー証券など |
Adobe Experience
Manager Sites
引用元:Adobe Experience Manager Sites公式HP
https://business.adobe.com/jp/products/experience-manager/sites/aem-sites.html
豊富なマーケティング機能を駆使して成果改善したい大規模サイト
分類 | 動的CMS |
---|---|
サイト 規模 |
数万ページ以上 |
主な 機能 |
コンテンツのパーソナライズ化、Adobe製品と連携、ヘッドレス配信機能、マルチサイト管理、翻訳 |
導入先企業 | mastercard、kaoなど |
NOREN
引用元:WDONLINE
https://book.mynavi.jp/wdonline/detail_summary/id=102645
更新頻度は少なめで、より強度なセキュリティを重視とする中規模サイト
分類 | 静的CMS |
---|---|
サイト 規模 |
数千~数万ページ程度 |
主な 機能 |
多段階承認フロー、多言語対応(日・英・中・韓)、タイマー自動公開、デザインテンプレート、共通部品 |
導入先企業 | 伊藤忠商事、神戸製鋼所など |
※1 動的CMSとは…閲覧者がアクセスするたびにHTMLを生成しユーザーごとに内容を出し分けたり変化させられるCMS
※2 静的CMSとは…閲覧者がアクセスするHTMLページを事前に準備しておくタイプのCMS
【選定条件】
HeartCore CMS…基幹システムとの連携ができ、サイト内検索がデフォルトで組み込まれているパッケージ型CMS
Adobe Experience Manager Sites…Adobe Creative Cloudとのネイティブ連携できる唯一のCMS
NOREN…パスワード変更の際、本人だけにパスワードを通知する機能があり、静的処理を行っているパッケージ型CMS