システムは完璧!なのにセキュリテイ不十分?今日から見直そうCMS運用。
- CMS
- セキュリティー
こんにちは、Webディレクターの長谷川です。
今回はサイト運営とセキュリティについてのコラムです。
Flickr より
他人事ではない、セキュリティリスク
昨今のサイト被害は、特徴が2つあります。
まず一つが、クラッキング(ハッキング)の自動化です。人間の手から機械による無差別攻撃に変わっています。例えばあるサーバサービスのセキュリティが甘いと、それだけでサービスのユーザがみんなターゲットになるおそれがあります。
もう一つが、クラッキング目的の変化です。かつては「難攻不落サイトの攻略」といった個人的な動機もありましたが、現在は個人情報の入手や転売、競合サイトへの大量の迷惑メール送信でのサービスダウンや、サイト内文言の悪質な書き換えといった経済的なものに変わっています。つまり、ごく一般的なサイトでも被害にあうこともあるのです。
と、いきなり不安にさせてしまう話から始めてしまいましたが、今回はこうした危険に備え、最低限気をつけておきたいこと、今日からスタートできることを書かせて頂こうと思います。
CMS :オープンソースとクローズドソース
近年、コーポレイトサイトのほとんどは、CMS を使用して運用されています。弊社がWeb制作のご相談を頂く際、とりわけ多く寄せられるご質問の一つが「どういったCMSならセキュリティを高められるか」というものです。
CMSとは、コンテンツ管理システム(Contents Management System)のことで、HTMLといったプログラムを知らない方でも、ブログを使うようにサイト更新や運用がしやすくなるツールです。
CMSは様々な分類基準がありますが、開発ソースを一般に公開(オープン)しているか否か、を軸にオープンソース/クローズドソースに分けることが出来ます。おおまかに以下のような特徴と違いがあります。
| オープンソース | クローズドソース | |
|---|---|---|
| 費用 | 無料 | 有料 |
| セキュリティ更新 | 自前 | 開発会社またはベンダーが提供 |
| 情報量 | 多い | 少ない |
| 人気 | Wordpress など | RCMS、Web Release など |
つまりオープンソースの場合は無料のため広く普及していて情報が出回っていますが、セキュリティリスクを自社で管理することになります。他方、クローズドソースの場合は開発情報が機密であり、自動アップデート等などメーカー側のフォローが手厚い分、有料(月額制やパッケージ購入)となります。
セキュリティリスクは、サーバの環境やCMSのカスタマイズの程度に大きく左右されます。このため、一概にどちらのソースがより安全であると言うことはできません。
しかしながら、オープンソースの場合、無料であり社内導入等がしやすい反面、保守運用の予算計画が不十分になってしまわないよう気をつける必要があります。弊社でもWeb制作のご相談を頂く際には、ご運用の予算まで視野に入れて提案するよう心がけております。
運用のポイント:セキュリティ、今日からここを気をつけよう
では、実際どのようなポイントに気をつけていけばいいのでしょうか。 セキュリティを万全にするにはサーバの見直しにはじまり、様々な注意項目があります。しかし、やはり大事なことは『まず身近なところから始める』ということです。以下では、そうしたものを中心に弊社でもよくご提案させて頂くものをピックアップしてみました。いずれも経験上、非常にセキュリティ効果が高いものです。
管理画面のログインIDとパスワードを定期的に変更する
これは普段の生活でも心がけていらっしゃる方も多い方と思いますが、例えば1ヶ月に1度見直しなど、定期的な変更が重要です。特に、乱数生成などを使うと効果的です。
昨年は初期のadmin のままにしたために大規模な被害が発生したケースもありました。
WordPress初心者の皆さま、まさか「admin」アカウントは残してないよね?
管理画面のサイトURLを変更する
CMSは管理画面のURLが自動的に決まるものが多く、便利な反面、そのCMSに詳しい方ならだれでも管理画面までは行ける作りのものが多いです。そこで、知っている人だけしか管理画面まで行けないように、URLを変更します。パスワードの回数制限と組み合わせると効果が倍増します。
CMSは出来る限り最新の状態を保つ
これは導入しているプラグインや連携システムとの相性により、難しい場合もありますが、古いものほどセキュリティの穴の数も多いので、特にオープンソースは最新の状態を保つことが重要です。
管理画面にIP制限をかける
IPアドレスを制限することで、特定の場所(例えば社内オフィス)からしか管理画面へアクセス出来ないようになります。冒頭に上げた悪質な改ざんを目的とするオフィス外のアクセスの多くを防ぐことができますので、こちらも効果の高い防衛手段です。
最新情報のチェックを心がける
下でも紹介しているIPAでは、トップページに「重要なセキュリティ情報」のニュースRSSがあり、こうしたニュースを普段から目に止めることが重要です。
些細な事ではありますが、こうした社内導入しやすい習慣が、セキュリティ意識も上がり、最も効果的な対策です。
弊社でも日々こうしたご相談を承ってますので、もしご不安なところがあればお気軽にお問い合わせ頂けたらと思います。
国内のIT発展のために設立されたIPA(独立行政法人情報処理推進機構)では、Web 担当者の方に向けて次のような資料を配布しています。ご参考ください。
情報処理推進機構:情報セキュリティ:脆弱性関連情報の取扱い:知っていますか?脆弱性 (ぜいじゃくせい)
セキュリティ担当者のための脆弱性対応ガイド ~企業情報システムの脆弱性対策~