CMSを用いたウェブサイト構築における情報セキュリティ対策 4つのポイント
~構築から運用後に至るまで、ウェブサイトの安全維持に必要な項目をチェックリストとして用意~
2016年10月11日
省庁・団体名
独立行政法人情報処理推進機構(IPA)
概要
IPA(独立行政法人情報処理推進機構、理事長:富田 達夫)セキュリティセンターは、ウェブサイトへの情報セキュリティインシデントが後を絶たないことを受け、ウェブサイトの構築・運用に用いられるCMS(コンテンツマネジメントシステム)(*1)に着目し、その脅威と対策、および構築・運用のポイントを解説した“IPAテクニカルウォッチ”「CMSを用いたウェブサイトにおける情報セキュリティ対策のポイント」を9月28日(水)に公開しました。
URL:https://www.ipa.go.jp/security/technicalwatch/20160928-1.html
内容
ウェブサイトは今や組織にとって事業(会社)案内や求人、製品・サービスの訴求など多岐にわたる役割を果たし、事業運営に不可欠な存在です。しかし、ウェブサイトを狙った改ざんや情報漏えい等の情報セキュリティインシデントは後を絶たず、組織はウェブサイトの役割を最大限に生かしつつ、安全に運用する難しさに直面しています。
実際、CMSを利用したウェブサイトが狙われた被害事例が確認されています(*2)。その原因には主に① CMSにある認証画面に対する不正アクセス、② CMS本体、およびCMSの拡張機能の脆弱性悪用、の2点が挙げられます。
図1は2014、2015年にJVN iPediaに登録されたCMS本体、およびCMSの拡張機能の脆弱性対策情報の四半期別件数で、そのほとんどが拡張機能の脆弱性で占められています。また、警察庁でもウェブサイト改ざん被害がCMSの拡張機能の脆弱性にあると指摘(*3)しています。
そこで、本“IPAテクニカルウォッチ”では主要なCMS4種類(WordPress、Movable Type、Drupal、Joomla!)を概説し、さらにCMSを使ったウェブサイト構築・運用のポイントとして、特に注意すべき以下の4点を解説しています。
(1)情報セキュリティ対策が実施されているCMSの選定
(2)適切なアクセス権の設定と確認
(3)CMSで利用している拡張機能の見直し
(4)アカウントの適切な管理
CMS本体、およびCMSの拡張機能への対策は他のソフトウェアと同様に、常に最新の状態を維持する(アップデート)ことです。しかし、対策の実施はウェブサーバー運用の契約形態の違いなどにより、容易でない場合があります。また、ウェブサイト開発者・運営者が拡張機能への対策の必要性や脅威に対する認識がいまだ十分でない結果、脆弱性が残存し、狙われてしまうとも考えられます。そこでテクニカルウォッチではCMSにおいて狙われてしまう可能性のある箇所を解説しています。
なお、テクニカルウォッチには付録として、ウェブサイト全体を通じて求められる情報セキュリティ対策の項目を解説しているほか、チェックリスト(別紙参照)を用意し、構築時から運用開始後に至るまでその時々で求められる確認項目を記載しています。
組織が安全なウェブサイトを効率的に運営するため、テクニカルウォッチが活用されることを期待しています。
脚注
(*1) CMS(Content Management System):ウェブサイトを構築し、コンテンツ(ウェブページ、テキストや画像など)を統合的に管理するシステム。
(*2) WordPressやMovable Typeの古いバージョンを利用しているウェブサイトへの注意喚起:
https://www.ipa.go.jp/security/topics/alert20130913.html
改ざんの標的となるCMS内のPHPファイル(2016-02-25):
https://www.jpcert.or.jp/magazine/acreport-cms.html
(*3) 「Islamic State(ISIS)」と称する者によるウェブサイト改ざんに係る注意喚起について:
http://www.npa.go.jp/cyberpolice/detect/pdf/20150312.pdf
プレスリリースのダウンロード
資料のダウンロード
お問い合わせ
IPA 技術本部 セキュリティセンター 篠原/板橋
Tel: 03-5978-7527 Fax: 03-5978-7518