お問合

CMSのセキュリティ

IPAテクニカルウォッチの2016/9/28プレスリリースによると情報改ざんおよび漏洩につながったセキュリティインシデント(事件)の主な原因として

  • CMS 認証画面に対する不正アクセス
  • CMS 本体、および CMS の拡張機能の脆弱性悪用

の2点を挙げ、そのほとんどが機能拡張プラグイン等の脆弱性を悪用したものに原因があると指摘しています。
それらのインシデントに効果的なCMS を使ったウェブサイト構築・運用の以下4つの注意ポイントを解説しています。

  1. 情報セキュリティ対策が実施されている CMS の選定
  2. 適切なアクセス権の設定と確認
  3. CMS で利用している拡張機能の見直し
  4. アカウントの適切な管理

1.情報セキュリティ対策が実施されている CMS の選定とは?

IPAテクニカルウォッチ(2016/9/28公開)では、選定の基準として、「運営者は開設したウェブサイトが利用者に不用意なリスクを与えないよう、事前に組織内で定めた情報セキュリティ要件を CMS が満たすか確認すること」とあるが、これまでセキュリティ要件について発注者から具体的に書面が出てくることは少なく、セキュリティ要件示す方法を知らない企業も多いのでこの要件を決めることができない問題は大きいかもしれない。
もう一つの選定基準としては、CMSリリース以降のアップデート情報もチェックすることを推奨している。

技術知識がない方が、CMSの選定を行う矛盾

IPAが示す4つのポイントの内、アカウントの適切な管理以外は、技術的知識が多少なりとも必要です。そもそも、CMSは、WEB運営者・担当者が技術的知識がなくてもWEB運営できるシステムです。従って、結果的にCMSのセキュリティ機能の依存します。
多くのCMS選定の場面で担当者は、「無料である」、「多くの人が使っている」などの理由で導入を決定しているのではないでしょうか?
しかし、多くの人が使っているから安全であるというわけではありません。
オープンソースのCMSの場合は、どのような技術者が実装してくれたのか?ということが重要になると思います。

開発者と実装者が別という根本的問題

導入しやすい無料のオープンソース型CMSなどは、当然、開発者と実装者が別です。
つまり開発元がかかわっているわけではなく、マニュアルを読んで実装者が実装します。
このインプリメンテーション(実装)で問題があると、CMSがセキュリティ対策されていても全く意味を成さなくなります。1ヶ月学んだ未経験者でも、こんなサイトを作りましたと実績を見せて受注できてしまうことも根本的問題だと思います。

オープンソースは、善意と有志によるプロジェクトの産物であると理解し、それを適切に設定できる実装者を選ぶことも重要です。

つまり、多少の知識を持ち、安全に適切に設定されていることを点検できなければ、選定したCMSがいかに対策を講じられていても、全く意味を成さなくなります。

参考:IPA(独立行政法人情報処理推進機構)セキュリティセンター
2016/9/28
“IPA テクニカルウォッチ”「CMS を用いたウェブサイトにおける情報セキュリティ対策のポイント」(https://www.ipa.go.jp/security/technicalwatch/20160928-1.html)
プレスリリース全文 (452KB)、プレスリリース別紙※1 (125KB)、レポート※2 (1.3MB)、付録※3 (659KB)
※2:主要な CMS4種類(WordPress、Movable Type、Drupal、 Joomla!)について概説されています。https://www.ipa.go.jp/files/000054743.pdf P4
2016/9/29
“IPAテクニカルウォッチ” 「ウェブサイトにおける脆弱性検査手法(ウェブアプリケーション検査編)」(https://www.ipa.go.jp/security/technicalwatch/20160928-2.html)

CMSのシェア

2016年9月28日のIPAテクニカルウォッチでは、「WordPress」、「Movable Type」、「Drupal」、「Joomla! 」を代表CMSとして取り上げた理由は、 W3Techsのシェアを参考にしたものである。弊社は、これに2022年のデータを作図して変化を比較した。

イメージ画像

2.適切なアクセス権の設定と確認


ウェブサイトに関わるファイルやアクセスへの権限を適切に設定しておくこと、それを確認する必要があることを認識すること。
シンプルであるが、不正アクセス、改ざん、漏洩の原因でもある。

無料だからこそ背負うリスクと秤にかけること

普及しているオープンCMSほど、容易に構築を解説するサイトや書籍が多く、安全性の配慮が薄いサイト構築を主眼とした内容も多い。

独自開発したCMSを提供している立場からみると、

・有志が作った開発物であること
・アップデートは、有志の都合による
・全世界開発者に向けソースコードが公開(人が作るものだからバグもあるはず)

それだけで不安だというのが本音といえます。

また、技術に詳しくない企業のWEB担当者でCMSを選定する場合

・実績を見て構築できることだけを重視しがち
・本やWEBをみて見様見真似で設定する実装者の見極め

など難題があります。

発注者は、慎重に選定をする必要がありますので、以下のチェックリストを受注業者に渡し、どのような回答が来るかを確認すると良いでしょう。

3.CMS で利用している拡張機能の見直し

利用しているCMSに機能拡張がある場合、定期的な見直しが必要です。
機能拡張の利用有・無、要・不要、アップデートの有・無、場合によっては、利用していても、最新版かどうか?、アップデートが歩かないか?など、数年ない場合は、別の機能拡張に置き換え、必要な再設定開発を依頼する必要があります。

4.アカウントの適切な管理

組織内において、組織の変更・異動・退職に応じ、適切なアカウントの管理を適宜行う必要があります。

システム利用の玄関であるログイン画面についても以下の様な策が講じられていることが望ましいとされています。

  1. 認証画面をインターネット上に公開しない
  2. 強固なパスワードを使用する
  3. パスワードの使いまわし
  4. ログイン試行回数を制限する
  5. 2段階認証など