企業を経営している方であれば、“CMS”というシステムの存在はご存知かと思います。
導入されている企業も多いでしょう。
ただ、CMSは、非常に便利なシステムではありますが、実はサイバー攻撃の被害に遭いやすいと言われています。
今回は、そんなCMSの概要と、サイバー攻撃を受けたときに考えられる被害について解説します。
“CMS”の概要
CMSは、Contents Management Systemの略であり、日本語では“コンテンツ管理システム”と訳されます。
わかりやすく言うと、管理画面からテキスト、画像を登録することで、高度な技術がなくても、ウェブサイトの更新が可能になるシステムを指します。
CMSは、古くから企業によって導入されていましたが、従来のCMS製品は非常にイニシャルコストが高く、とても中小企業が導入できるものではありませんでした。
また、機能性が高いがゆえに、膨大な情報量のマニュアルなしでは、なかなか使いこなせる企業もいなかったのです。
この状況を打破したのが、CMSの一種とも言える“ブログ”です。
デザインのカスタマイズにより、通常のウェブサイトでもブログのプログラムを用いて更新することが可能になり、現在は中小企業向けにも、そのようなサービスが多数提供されています。
CMSはサイバー攻撃の被害に遭いやすい
冒頭でも触れたように、CMSは、非常に便利なシステムではあるものの、サイバー攻撃の被害に遭いやすいとされています。
現在、ウェブサイトのおよそ半数ではCMSが用いられており、脅威による被害の数はどんどん増加しています。
もちろん、これにはCMSを活用する企業だけでなく、個人に被害が及ぶケースも含まれています。
なぜCMSはサイバー攻撃の被害に遭いやすいのか?
CMSがサイバー攻撃の被害に遭いやすい理由としては、全体的に管理体制が堅固ではないということが挙げられます。
世界規模で利用されているCMSの多くはオープンソースであり、セキュリティ対策は利用する方が各々行わなければいけません。
先ほども触れたように、CMSの利用者には個人も多く存在するため、当然セキュリティを重視していないことも多く、必然的に全体的な管理体制が甘くなってしまうのです。
また、オープンソースのCMSは、拡張機能が豊富な反面、機能ごとにセキュリティ上の脆弱性を持っているため、それぞれの機能に対してセキュリティ対策を取らなければいけません。
これも、全体的な管理体制が甘い理由でしょう。
CMSがサイバー攻撃を受けたときに考えられる被害
CMSがサイバー攻撃を受けたときに考えられる被害は、主に以下の通りです。
① 個人情報の漏えい
もっとも代表的な被害は、やはり個人情報の漏えいでしょう。
ECサイトなどの場合、個人情報がサーバに記録されていることも多く、CMSがサイバー攻撃を受けると、その情報は瞬く間に窃取されてしまいます。
② ウイルス感染
個人情報の漏えいは、基本的に不正アクセスが原因で発生するものです。
ただ、CMSへのサイバー攻撃には、ウイルスを侵入させるという手口もあります。
もちろん、ウェブサイトがウイルスの被害に遭っている状態だと、顧客は通常のページへのアクセスができなくなります。
また、そのままサービスを継続してしまうと、アクセスした顧客までウイルスの毒牙にかかってしまう可能性があります。
そのため、ウイルスに感染した場合は、一時ウェブサイトの運営を中止するしかありません。
③ 信頼性低下
CMSがサイバー攻撃を受け、個人情報が漏えいしたり、誤った情報が発信されたりすると、企業はたちまち信頼性を低下させてしまいます。
1度サイバー攻撃を受けたことによって低下した信頼性は、その後何年にも渡って安全な体制で経営を続けていかない限り、なかなか取り戻すことができません。
CMSへのサイバー攻撃を防ぐための方法は?
CMSへのサイバー攻撃を防ぐには、基本的な対策と、CMSをカバーするための対策を取らなければいけません。
具体的には以下の通りです。
① こまめなバージョンアップ
システムをこまめにバージョンアップし、常に最新の状態を維持することは、CMSへのサイバー攻撃対策における、基本中の基本です。
クラウドCMSの場合は、アップデートが自動的に行われますが、オープンソースの場合は、利用者が自らの手で行う必要があります。
もちろん、プラグインをいくつも使用している企業は、各機能単位でのバージョンアップが求められます。
② WAFの導入
CMSを用いたウェブサイトには、専用のWAF(Web Application Firewall)を導入しましょう。
WAFとは、ウェブアプリケーションの保護に特化したセキュリティ対策のことであり、導入することで、SQLインジェクションやクロスサイトスクリプティングなどのサイバー攻撃を検知し、ウェブサイトを防衛できます。
まとめ
企業にとって欠かせないシステムであるCMSを守るために、企業はぜひ“SiteLock”を導入しましょう。
SiteLockは、ウェブサイトの安全性を保つためのサービスであり、毎日このサービスによって、2億を超える大量のページの監視、診断が行われています。
サービスとしての実績も十分ですし、イニシャルコストも手頃なため、1度詳しくチェックしてみてください。
