CMSのセキュリティはなぜ重要？セキュリティリスクや対策、CMS選定のポイントを解説

企業でCMSを利用する際に意識しておかなければならないのがセキュリティリスクです。CMSは企業の資産ともいえるコンテンツ管理や、場合によっては機密情報を保管する役割も果たすため、サイバー攻撃を受けることは、さまざまな損失につながります。そういった被害に遭わないためにも、データの改ざんや情報漏えいなどのセキュリティリスクが低いCMSを選択することが重要です。ただし、企業では複雑・大規模なCMSが利用されていたり、複数のWebサイトを運営していたりすることもあり、CMSの乗り換えやデータ移行は容易なことではありません。本記事では、CMSセキュリティの重要性やセキュリティリスクがもたらす具体的な被害、CMS選定のポイントについて解説します。

CMSとは「Contents Management System（コンテンツ マネジメント システム）」の略称で、Webコンテンツを管理するためのシステムです。CMSには、テキストや画像、動画などのさまざまなコンテンツを見やすく整理して表示する、あるいは作成・更新する機能があります。

CMSについて詳しく知りたい方は、「今さら聞けない。ホームページで使う「CMS」ってそもそも何？」の記事もご覧ください。

CMSには、大きく分けて「オープンソース型」「パッケージ型」「クラウド型」の3つの種類があります。以下より各種別のセキュリティリスクについて見ていきましょう。

オープンソース型のCMSは、だれもがプログラムを見ることができます。代表的なCMSとしては、WordPressが有名です。

ソースコードが公開されているのでプログラムの改変ができるうえ、独自に改変したCMSを商用として再配布したり、CMSを拡張するアプリケーション（プラグイン）を自由に作成したりすることも可能です。

オープンソース型のCMSは、カスタマイズの自由度が高いため、さまざまな用途に合わせて改変できます。ただし、プログラムの脆弱性を見つけることも容易なため攻撃手法が把握されやすくなり、セキュリティリスクはその分高いといえます。

このような背景もあり、セキュリティレベルの高いCMSへ乗り換える企業が増えています。

パッケージ型のCMSは、ベンダーが独自に開発したCMSのライセンスを購入し、別途調達したサーバーにインストールするタイプのCMSです。

CMS自体のセキュリティ対策は開発元のベンダーが行うため、セキュリティアップデートを行いやすく、オープンソース型よりもセキュリティを担保しやすいといえるでしょう。

ただし、CMSをインストールするサーバーは自社で調達・管理することが前提です。そのため、サーバーなどのインフラに対する不正アクセスの対策やアップデートなどのメンテナンスは自社で行わなければなりません。

クラウドCMSは、CMSを動作させるサーバーやセキュリティを一体で、クラウドサービスとして提供されます。このようなサービスはSaaSとも呼ばれ、さまざまなベンダーから提供されています。

ユーザーは、インターネットを介してクラウド上にあるCMSにアクセスし、Webブラウザ上で手軽に利用できます。Webサーバーやストレージサーバーなどのインフラも、予めベンダーがCMSに最適な形で設計し、提供・管理するため、自社で調達する必要がなく、セキュリティ対策や保守に対する人的リソースの負担がないこともメリットです。

その分、オープンソース型と比べて、独自のカスタマイズ性は低いといえますので、自社のCMS利用目的を明確にし、条件に合ったCMSを選択する必要があります。

クラウド型CMSについては「クラウドCMSって何？その特徴や選定ポイントなどを詳しく解説」で詳しく解説していますので、あわせてご覧ください。

CMSのセキュリティは、年々その重要性を増しています。その理由は、サイバー攻撃が増えているためです。

たとえば、国内における2023年上半期の1組織あたりの週平均サイバー攻撃数は、2022年の同期比で6%増加したことが発表※されています。内閣サイバーセキュリティセンターからは注意喚起が度々出されており、2023年4～9月の間に3回の注意喚起が行われています。

特に、企業利用としても高いシェアとなっているWordPressが、多くの被害を受けている傾向にあります。しかし、実際にサイバー攻撃の標的にならない限りはなかなか危機感を持てないかもしれませんが、自社のCMSやサーバーなどのインフラに対して、定期的なセキュリティ対策やバージョンアップなどの保守を行っていなければ、セキュリティリスクが高まっていると認識しておく必要があります。

一方で、WordPressを使っている場合、バージョンアップをするとプラグインなどが不具合を起こすこともあるため、セキュリティ対策をしたくてもできない、というジレンマもあるかもしれません。企業では複数のWebサイトが運営されることもあり、管理者もばらばらで、すべてのサイトに管理が行き届かないこともあるでしょう。

しかし、サイバー攻撃を一度でも受けてしまえば、コンテンツの改ざんや情報漏えいなどの甚大な被害を受けます。また、サイバー攻撃を受けて損害が出たという事実そのものが、企業の信頼性や信用を傷つけるような大きな問題に発展することもあります。一度失墜した信用を取り返すことは容易なことではありません。

このように、CMSのセキュリティ対策は、企業にとっては不可欠なものだといえます。CMSを選択する場合、機能性だけでなく、セキュリティ対策や保守も意識することが重要です。
WordPressのセキュリティリスクに関して、詳しくは「WordPressのセキュリティリスクとは？リスクが高い理由や被害事例を解説」をご覧ください。

では、CMSに対するサイバー攻撃はどのような被害をもたらすのでしょうか。ここでは、具体的な被害についてみていきましょう。

不正アクセスによってコンテンツ内容を改ざんされるケースです。

たとえば、サイバー攻撃の目的が企業の社会的信用の失墜だった場合、自社サイトが意図せぬ内容に書き換えられてしまうなどの被害が考えられます。自社の公式サイトにアクセスすると、別サイトにリダイレクト（転送）するように書き換えられ、不適切なサイトが表示されてしまうという事例がありました。

不正アクセスの手段はさまざまですが、主に以下のようなものが考えられます。

• マルウェアが仕込まれたプラグインのインストール
•  FTPで不正なプログラムファイルに上書きされる
• 管理画面のパスワードを解読されて不正ログインされる

コンテンツ内容の改ざんは、訪問者に不快感を与えたり企業イメージを損なわせることが目的であり、一度被害に遭えば、取引先をはじめ、自社サイトを訪れたすべてのユーザーからの信頼を失いかねません。

CMSやデータベースなどのサイバー攻撃により、格納されているデータが破壊されるケースもあります。

例えば、コンテンツのデータをデータベースに格納しているWordPressでデータの書き換えや消去、あるいはデータベース自体にアクセスできなくなるなどの被害を受ければ、コンテンツを表示することができなくなります。

コンテンツ制作には膨大な時間とコストがかかります。SEOで高い成果を上げているコンテンツならば、企業の重要な資産といえるでしょう。データが破壊されるということは、企業の資産が消失するということでもあります。

不正アクセスされると、CMSの管理画面からデータベースへもアクセス可能になります。

たとえば、社内の情報共有にCMSを利用している場合には、CMS内の社外秘情報が攻撃者に盗用される可能性があります。また、CMSでECサイトを運営していれば、膨大な顧客情報などの情報漏えいが起き、お客様への直接的な被害に直結するため、自社の信頼低下だけでは済まされません。

ランサムウェアとは、感染したコンピュータ内のファイルを暗号化したり、コンピュータ自体をロックしたのちに、元に戻すことと引き換えに「身代金要求」のメッセージを表示するマルウェアです。

たとえば、WordPressでは、攻撃者がWordPressの管理者権限を取得し、プラグインを書き換えて「ランサムウェアに感染した」旨を表示する手口などが見られます。

CMSに施すべきセキュリティ対策は、主に以下のようなものが挙げられます。

• CMSやプラグインを最新バージョンにアップデートしておく
• サイトにSSLを導入する
• WAFを導入する
• プラグインは必要最小限にする
• 障害が起きたときの復旧対策を用意しておく

CMSのセキュリティ対策として必ず行うべきことは、システムを常に最新バージョンにアップデートしておくことです。

CMS自体やプラグイン、サーバーなどのシステムは日々、セキュリティの脆弱性などを改修したものが配布され続けているため、最新バーションに保っておくことがセキュリティ対策につながります。

CMSなどを提供するサーバー側はSSLを導入して、データ通信を暗号化しておくことが大切です。

「自社のサイトがSSLを導入しているかどうかがわからない」という場合には、サイトのアドレスが「https:」から始まるURLになっていることを確認しましょう。

WAF（ウェブ アプリケーション ファイアウォール）を導入すれば、CMSの脆弱性を狙ったサイバー攻撃の多くを防げる可能性が高まります。

WAFがインターネット（外側）とWebサイト（内側）の間に、データ通信を監視して許可・不許可を決定する壁を作り、サイバー攻撃がCMSに到達する前に、脅威を取り除いてくれます。

CMSによっては、さまざまなプラグインで機能拡張が行えますが、セキュリティの観点から見ると、導入するプラグインは最小限にすることが望ましいといえます。なぜなら、プラグインの脆弱性をついたサイバー攻撃も多いためです。CMS本体が適切にアップデートされていても、プラグインの脆弱性からCMS全体に被害が及ぶことがあります。

セキュリティ対策を行っても、サイバー攻撃を100％防げるわけではありません。

そのため、万が一サイバー攻撃を受けてしまった際の、CMSの復旧対策を用意しておくことが大切です。最悪の事態を想定して、サイバー攻撃を受けた場合の初動や、復旧手順などをあらかじめ用意しておくこともセキュリティ対策の一環だといえます。

ここで紹介したようなセキュリティ対策を、自社だけで続けていくことは困難だといっても過言ではないでしょう。したがって、セキュリティの観点からもCMSを選定することが重要です。

CMSは、自社のWebサイトに適したセキュリティレベルで、無理なく保守・運用ができることを念頭において選定しましょう。

セキュリティ対策は、コストや人的リソースを割く必要があり、選定したCMSに対して継続的な保守ができるかどうか慎重な判断が必要です。加えて、現在利用しているCMSからのデータ移行や、移行後の社内運用（Webガバナンス）も考慮しなくてはなりません。

そのため、企業利用においては、高いセキュリティを担保してくれる商用CMSの利用を検討すると良いでしょう。商用CMSもさまざまなベンダーが提供しているため、自社に合ったサービスを選定できるように、次のポイントをおさえておきましょう。

サービスのセキュリティに対する意識や、実際に行われているセキュリティ対策を確認しましょう。たとえば、利用前に確認できる「セキュリティ対策に関する資料」が整っていれば、そのサービスがどのようなセキュリティレベルなのかを判断できます。

サービスのサポート体制も重要です。セキュリティ対策とサイバー攻撃はイタチごっこのようなものなので、完全に対処することは難しいでしょう。そのため、仮にサイバー攻撃を受けてしまったときに、どのようなサポートがなされるのかが重要となります。

また、サポート体制に関しては、CMSやインフラ周りの運用・管理などの体制が整っているなど、CMSを含むシステム全般に対するサポートなども重要です。

仮に障害が起きたとき、まず何が起きているのかを把握し、社内で情報共有する必要があるでしょう。このため、障害の原因や復旧状況などの報告が速やかに行われるかどうかや、復旧の準備は常に万全なのか、電話やメールなど、ユーザーからの問い合わせ手段が整っているのかも重要なポイントです。被害を受けてから復旧までの見込み時間がどのくらいかを想定されているかも確認しておきましょう。

自社やグループ会社でさまざまなサイトを運営していれば、CMSも複数利用されていることがほとんどです。新しいCMSに移行することができれば、グループ会社のセキュリティレベルも揃えられます。しかし、サイトごとに運営体制やシステム要件は異なり、ひとつのCMSに移行することは簡単ではありません。

このように多数のサイトを管理している場合は、サイト群を一つにまとめて統合できるプラットフォームを活用することで課題解決につながります。
たとえば、「ShareWith群」を利用すれば、分散運用されているサイトを一つのプラットフォームに移行・統合して、一括で管理できます。

サイト群を統合できるということは、Webサイト管理はもちろん、サイトを支えるインフラも統一できるため、全体の運用工数削減ができ、すべてのコンテンツのセキュリティレベルも揃えることができます。

「ShareWith群」については、こちらをご覧ください。