近年、CMSを利用して自社コンテンツを運用する企業が増えました。特に、初期コストが抑えられるという理由で、無料で利用できるWordPressを使い続けている企業も多いのではないでしょうか。しかし、実際にCMSを運用してみると、データの改ざんや情報漏えいなどセキュリティリスクへの対策に想定外の費用や負担が発生することがわかり、商用CMSへ乗り換えるケースも増えています。
企業で新たに有料のCMSを選択するにあたっては、現状のセキュリティリスクの大きさや、新CMSの導入意義などを明確にしておく必要があります。本記事では、CMSのセキュリティリスクがもたらす具体的な被害を挙げ、なぜWordPressがサイバー攻撃の標的になるのかなどを交えながら、どのようなCMSを選定するべきなのかを解説します。
この記事のポイント
- サイバー攻撃は増加傾向で、いつ標的になってもおかしくない
- WordPressは多くの企業が採用しているが、セキュリティに脆弱性がある
- セキュリティ対策には手間とコストがかかり、対策には限界がある
- 商用CMSなら手軽にセキュリティの問題を解決できる
企業利用でのCMSでは、多くのWeb制作会社がWordPressを提案していることが多く、多くの企業が採用しています。そのため、CMSとしてのシェアは企業利用においても群を抜いています。オープンソースのCMSで、無料で利用でき、カスタマイズするエンジニアの確保が容易であることが主な理由と考えられます。
一方、国内でのサイバー攻撃は2021年比で85%増という発表※1や、経済産業省からは注意喚起が度々出されており、2022年1~7月の間に4回の注意喚起※2が行われています。
こういった状況でも、自社がサイバー攻撃による実害が出ておらず、バージョンアップの保守も行えていれば、特に運用上の問題がないと判断することがあるかもしれません。しかし保守の観点でみると、最新のWordPressへのバージョンアップは、導入プラグインが不具合を起こすこともあり、「セキュリティ対策をしたくてもできない」というジレンマが発生する場合もあります。
一度CMSがサイバー攻撃を受ければ、企業の信用を傷つける大きな問題になり得ます。たとえば、自社のコンテンツが改ざんされ、誤った情報を拡散したり、意図せず犯罪へ関わったりする可能性も否定できません。企業におけるセキュリティ対策は、自社の身を守るだけではない、「集団免疫」とも言えるでしょう。
そのため、近年ではCMSに対するセキュリティの重要性が注目されているのです。特に、WordPressのセキュリティリスクや保守の問題を根本から解決するなら、セキュリティレベルの高いCMSへ乗り換えることが重要だといえるでしょう。
※1 参照元:チェック・ポイント、2022セキュリティ レポートの日本語版を公開 グローバルで対前年比50%、国内で85%増のサイバー攻撃を観測|PR TIMES
ここでは、CMSのセキュリティリスクがもたらす主な被害例を具体的に確認していきましょう。
セキュリティに脆弱性があるCMSは、不正アクセスによって内容を改ざんされることがあります。不正アクセスの手段はさまざまですが、「WordPressに利用できるプラグイン経由でマルウェアなどを仕込まれる」「FTPで不正なプログラムファイルに上書きされる」「管理画面のパスワードを解読されて不正ログインされる」などの原因が考えられます。
特定の企業を標的にしたサイバー攻撃の目的が、企業の社会的信用の失墜だった場合、自社のサイトが意図せぬ内容に書き換えられてしまう可能性があります。たとえば、WordPressがコンテンツを表示するプログラムにアダルトサイトへリダイレクトするように書き換えられ、サイトにアクセスすると自動的にアダルトサイトが表示されてしまった事例もあるのです。一度問題が起きると、取引先はもちろん、自社を検索したすべてのユーザーからの信頼を失いかねません。
CMSでのコンテンツ制作には膨大な時間とコストがかかります。SEO効果で多くの集客を実現する自社のコンテンツは、企業の重要な資産といえるでしょう。
万一CMS上のデータが破壊されれば、企業の資産が消失するという大きな損害になります。
ランサムウェアとは、身代金を要求してくるマルウェアのことです。近年のサイバー攻撃は、システムにウイルスを感染させて破壊するだけではなく、「破壊したシステムを元に戻すことを条件にした金銭の要求」も増えています。
WordPressでは、攻撃者がWordPressの管理者権限を取得し、プラグインを書き換えて「ランサムウェアに感染した」旨を表示する手口などがみられます。ランサムウェアは身代金を払うことでシステムを元に戻すなどの取引を持ちかけてきますが、実際に金銭を支払ってもシステムは改善されません。
CMSへの不正アクセスは、管理画面からデータベースへもアクセス可能になります。
たとえば、SQLインジェクションが行われた場合、ログイン画面や検索フォームにSQL文を打ち込むことでサーバーがSQLを処理してデータベースへのアクセスや操作を許してしまいます。社内の情報共有にCMSを利用している場合、CMS内の社外秘情報が攻撃者に盗用される可能性があるのです。また、CMSでECサイトを運営していれば、膨大な顧客情報などの情報漏えいが起こる可能性も考えられます。
オープンソースで提供されているWordPressはサイバー攻撃の標的となりやすい傾向にあります。ここでは、その主な理由をみていきましょう。
WordPressの市場占有率は64.3%(2022年7月31日時点)※と広く利用されているCMSですが、これは、同じセキュリティの脆弱性を持っている可能性があるユーザーが多い、ということでもあります。つまり、攻撃者の立場から言えば、一つの攻撃方法で多くのターゲットを一斉に攻撃できるCMSとえいます。
※参照元:W3Techs
WordPressは、基本的にインストールから環境構築、設定や管理をすべて、利用者側である自社や委託先が自前で行うケースがほとんどでしょう。運用に入れば、定期的なメンテナンスも必要になり、バージョンアップはもちろん、そこに付随するセキュリティの脆弱性を修正するプログラムのチェックや適用などを継続して行わなければなりません。
しかし、WordPressは、アップデートを行わないまま放置されてしまうことも多いCMSです。これは、最新バージョンにアップデートすることで、プラグインなどが思わぬ不具合を起こす可能性があるため。安全にアップデートするための動作検証やプログラムの修正などの手間とコストを敬遠して、アップデートを見送ってしまう、というケースが多いようです。
オープンソースで提供されているWordPressは、公開されている技術情報が多く、利用者にとってはカスタマイズ性が高いメリットがありますが、同時にそれは攻撃者にとっても「弱点を見つける」ことに対するハードルが低いことを意味しています。
一方、オープンソースではない商用CMSなどは、ベンダーが常にセキュリティを含めて管理しているうえ、プログラムなどの仕組みを公開していない場合が多いため、攻撃者が脆弱性を見つけることは比較的難しいといえるでしょう。
このように、運用中のCMSのセキュリティについては、特にWord Pressを使い続ける場合、セキュリティ周りのチェックにかかる工数と人件費は大きな負担になります。無料のWordPressを使い続けてコストを抑えていても、管理に対するコストや人的リソース負担が大きくなっているのです。
ここまでみてきたように、利用者が多くカスタマイズ性に富んだCMSは、攻撃者からの標的になりやすい一面があり、対策に大きな負担がかかるデメリットがあります。そしてセキュリティの脆弱性を対策しきれず、一度サイバー攻撃を受ければ、積み上げきたコンテンツ資産や、社会的信用を失う可能性があることを述べてきました。企業利用においては、限られた人的リソースの中で、自前でセキュリティを維持・管理することは、極めて難しい状況にあるといえるでしょう。そこで検討したいのが商用CMSの導入です。
商用のCMSを選択すると、まずセキュリティ対策を含めた保守業務をベンダーに任せることが可能で、手厚いサポートが期待できます。また、多くの商用CMSは用途や目的に合わせて開発されているため、カスタマイズが不要、もしくは最小限で済み、導入時の手間が少ないことも大きなメリットです。
「無料だから」といって導入したCMSでも、結果的に突発的なアップデートなど、リスクの大きさやコストの見通しが立ちにくい運営になりがちですが、商用CMSを利用すると、保守業務のアウトソースを実現しながら、結果的に確かなセキュリティ確保につながるといえます。
セキュリティを含めた運用管理を任せるベンダーはどのように選べばよいのでしょうか。ここでは、そのポイントをみていきましょう。
CMSにどのようなセキュリティ対策が施されているのかといった資料が整っているサービスを選定しましょう。たとえば、どのような頻度でセキュリティチェックが行われているのか、そもそもCMSが稼働しているサーバーのインフラセキュリティはどのようになっているのかなどがポイントです。また、最新のサイバー攻撃に対しても素早い対応ができるのかなども確認しましょう。
CMSに限らず、セキュリティ対策とサイバー攻撃はイタチごっこのようなものです。完全に対処することが大前提ではありますが、万が一サイバー攻撃を受けたときにどのようなサポートがなされるのかも重視しましょう。CMSを提供するベンダーが、どのようなサポート体制でサービスを提供しているのかを確認してください。たとえば、日本語で電話やチャットでの問い合わせができるのか、復旧までにどのような対策が施され、どのようなサポートをしてくれるのかなどのポイントをチェックしましょう。
セキュリティレベルやコスト面の条件をクリアするだけでなく、そのCMSが使いやすく社内に浸透しやすいかも極めて重要です。導入したCMSが使いにくければ社内へ浸透せず、特定の人だけが管理可能な属人化したシステムになってしまいます。CMSを導入する際は、ベンダーが社内メンバーへの操作研修制度を提供しているかどうかなども重要な選定ポイントになります。
導入実績も商用CMSを選定する重要なポイントです。導入件数はもちろん、さまざまな業種に対応しているようであれば、幅広い社内のニーズに応えられる機能を持ったCMSで、自社にフィットする可能性も高いでしょう。
以上のような点を商用CMSごとに比較し、自社にあったサービスを選定してみてください。
CMSは、無料で使えるWordPressが大きなシェアを持っています。しかし、企業で運用するCMSはセキュリティにも着目しましょう。セキュリティの脆弱性を放置すればサイバー攻撃の標的になりますし、特に企業において、被害を受けた場合の損失は計り知れません。商用のCMSを利用すれば、セキュリティ面をベンダーに頼ることができ、万が一の場合のサポートがあるため安心です。
コンテンツは企業の資産です。ShareWithは、クラウドサービスとして提供されている商用CMSのひとつで、サイバー攻撃に対する最高レベルのセキュリティが「標準」で提供されます。CMS乗り換えにあたっては担当ディレクターによる丁寧なヒアリングも行われますので、自社サイトの状況に合った適切な乗り換えをお考えなら、ぜひ一度ご相談ください。
