CMSのセキュリティは大丈夫？種類ごとの脆弱性や選び方、対策方法を解説｜Webサイト制作 / CMS・MAツール

CMS/MA/CRMツール

CMSのセキュリティは大丈夫？種類ごとの脆弱性や選び方、対策方法を解説

# CMS

2025.01.28

自社に最適なCMSがわかる比較表、無料配布中！

CMS導入をご検討中の担当者に向けて、60以上のCMSから32のサービスを厳選し、それらを表で比較した人気の資料をご用意しました。ぜひ社内の比較検討にご活用ください。

無料でダウンロードする

CMSを利用するなら脆弱性対策は欠かせません。

脆弱性とはセキュリティ上の欠陥を意味し、脆弱性対策を怠ると個人情報漏えいやWebサイト改ざんなどの被害に遭う危険性も。

上場企業の個人情報漏えい・紛失事故は2021年に最多を記録していることから、今後もセキュリティ対策は重要性を増してくると考えられます。

参考：上場企業の個人情報漏えい・紛失事故は、調査開始以来最多の137件 574万人分（2021年）｜株式会社東京商工リサーチ

そこで本記事ではCMSの脆弱性を狙ったサイバー攻撃事例を解説します。

実施するべきセキュリティ対策についても紹介しているので、CMSのセキュリティ対策を検討している方はぜひ最後までご覧ください。

CMSがサイバー攻撃に狙われやすい理由3つ

CMSがサイバー攻撃に狙われやすい理由は下記の3点です。

導入が簡単なため利用者（ターゲット）が多い
プラグインからの脆弱性を突かれやすい
セキュリティ対策を講じている企業が少ない

1. 導入が簡単なため利用者（ターゲット）が多い

CMSがサイバー攻撃に狙われやすい最大の理由は、導入が簡単なうえ利用者も多い（＝ターゲットが多い）点にあります。単独のWebサイトを狙うよりも効率が良く、攻撃に成功すれば多くのユーザーにダメージを与えられるためです。

ユーザーが多いCMSほどサイバー攻撃に狙われやすいため、厳重なセキュリティ対策を講じる必要があります。

2. プラグインからの脆弱性を突かれやすい

CMSではプラグインなど外部の機能からの脆弱性を突かれやすいといわれています。

プラグインとはCMSに機能を追加するためのプログラムです。SEOやフォーム作成、画像圧縮など、運営に必要な機能をプラグインで追加することで、Webサイトの利便性を向上できます。

プラグインは外部機能のため、CMSの脆弱性だけをカバーしていても攻撃は避けられません。プラグインは増えれば増えるほど脆弱性のリスクが高まることから、追加は必要最低限に抑えることが対策として考えられます。

3. セキュリティ対策を講じている企業が少ない

CMSが悪意ある攻撃に狙われる理由として、セキュリティ対策を講じている企業が少ないことも関係しています。

Webサイト運営はタスクが多く、セキュリティ対策が後回しになりがち。日本損害保険協会が2021年に調査した「中小企業のリスク意識・対策実態」によると、3割以上の企業が対策を行っていないことがわかっています。

近年では中小企業も大企業への足がかりとして狙われるケースも増加しています。「サイバー攻撃は大企業が狙われるもの」と思わず、中小企業でもしっかりと対策を講じましょう。

参考：「中小企業のリスク意識・対策実態調査2021」を発表｜日本損害保険協会

CMSの脆弱性によるセキュリティリスク3つ

CMSの脆弱性によるセキュリティリスクは下記の3点が挙げられます。

個人情報の流出
ウイルスへの感染
サイト情報の改ざん

1. 個人情報の流出

とくにECサイトでは顧客の氏名や住所、連絡先に加えてクレジットカード情報がCMSに保存されており、これらの情報が漏えいすることで顧客が犯罪に巻き込まれてしまいます。仮に犯罪を防げたとしても、個人情報を漏えいさせてしまった事実から企業の信頼低下は免れないでしょう。

そのため個人情報を取得するサイト、とくに決済機能を搭載するサイトでは厳重なセキュリティが必要となります。

2. ウイルスへの感染

Webサイトがウイルスに感染するとユーザーが正しいページにアクセスできなくなるうえに、アクセスしたユーザーにウイルスが感染するといった二次被害が発生します。

例えば、ランサムウェアに感染すると、Webサイト上の重要なデータが暗号化され、復旧のために身代金を要求されることがあります。

このような事態が発生すると、サービス提供の中断によってビジネス機会を損失してしまうだけでなく、顧客からの信頼低下にもつながり、長期的な企業価値の毀損にもつながりかねません。

サイト情報の改ざん

CMSに脆弱性があると、不正アクセスやウイルス感染によってサイト情報が改ざんされる危険性があります。

実際、CMSの脆弱性をついたサイト情報の改ざんは、大企業などで起きています。

その一例が、アミューズメント施設大手のラウンドワンで発生したWebサイト改ざん事件です。この事件では、同社サイトの料金表のリンクが提供サービスとは関係のない別のWebページへと誘導されるよう改ざんされ、その状態が約12時間も継続。ユーザーがSNSで被害の注意喚起を行う事態にまで発展しました。

参考：ラウンドワンのWebサイトに対する注意喚起が続々、改ざん被害で別サイトに誘導｜日経クロステック

サイト情報が改ざんされて誤情報が発信されると、自社に非がなくてもユーザビリティの低下や社会的信用の低下に繋がりかねないため、十分なセキュリティ対策を実施するようにしましょう。

【種類別】CMSのセキュリティ課題3つ

CMSのセキュリティ課題を以下の種類別で紹介します。

オープンソース型
クラウド型
パッケージ型

オープンソース型

オープンソース型CMSは、ソースコードが公開されており誰でも無料で利用・改変できることから、セキュリティ上の課題が存在します。主な課題は以下の4点です。

ソースコードが公開されているため、脆弱性を発見されやすい
利用者が多いため攻撃対象として狙われやすい
セキュリティ対策は利用者側で実施する必要がある
公開されているプラグインに脆弱性が含まれている可能性がある

プラグインの選定や更新管理を適切に行わないと、不正アクセスや改ざん、情報漏えいなどの被害を受ける可能性が高まるでしょう。

無料配布資料「WordPressの得意vs不得意」では、世界シェア1位のWordPressを例に、オープンソース型CMSの特徴について解説しております。主要CMSにも弱みがあることを把握した上で導入やセキュリティ対策を検討しましょう。

クラウド型

クラウド型CMSは、ベンダーによって管理・運用されているため、比較的セキュリティ面での安全性が高いとされています。しかし、以下のような課題も存在します。

カスタマイズ性に制限があるため、独自のセキュリティ対策を実装しづらい
他社と共有のサーバーを利用するため、他社の影響を受ける可能性がある
ベンダーに依存するため、セキュリティ対策の詳細が把握しづらい

このようなセキュリティ上の課題がある一方で、クラウド型CMSには大きなメリットも存在します。専門チームによる24時間365日の監視体制や、定期的なセキュリティアップデート、WAF（Web Application Firewall）などのセキュリティ機能が標準装備されているため、高度なセキュリティ対策を実現できます。また、自社でセキュリティ対策を実施する必要がないため、運用負荷を抑えられるのも特徴的です。

パッケージ型

パッケージ型CMSは、企業や組織が自社のサーバーにインストールして使用する商用CMSです。一般的なパッケージ型CMSは、カスタマイズ性が高く、自社の要件に合わせた柔軟な機能実装が可能である一方、セキュリティ面では以下のような課題があります。

サーバーのセキュリティ管理が自社責任となるため、適切な管理が行われないと脆弱性のリスクが高まる
過度なカスタマイズによってセキュリティの脆弱性が新たに生まれる可能性がある
CMSと関連ソフトウェアのバージョン管理が複雑で、アップデート漏れによる脆弱性が発生しやすい

これらの課題に対処するためには、セキュリティ管理の専門チームを設置するか、外部の専門家に委託することが推奨されます。また、定期的なセキュリティ診断や侵入テストを実施し、脆弱性の早期発見と対策を行うことも重要です。

セキュリティ観点でのCMSの選び方4選

セキュリティの観点でのCMSの選び方は以下の4つです。

セキュリティ対策が充実しているか
定期的なアップデートを実施しているか
障害対応を確認する
セキュリティチェックシートに回答してもらう

セキュリティ対策が充実しているか

CMSを選定する際は、以下のようなセキュリティ機能が標準で搭載されているかを確認しましょう。

不正アクセスを検知・遮断するWAF
SSL/TLS暗号化による通信の保護
アクセス制限やIPアドレス制限機能
データの自動バックアップ機能
ログ監視や不正検知の機能

また、CMSベンダーのセキュリティ体制についても確認が必要です。24時間365日の監視体制、セキュリティ専門チームの有無、インシデント発生時の対応フローの有無などをチェックしましょう。

とくに、クラウド型のCMSでは、ベンダー側でセキュリティ対策を実施するため、これらの機能や体制が整っているかが重要な選定ポイントとなります。セキュリティ機能が不十分な場合、追加で対策を講じる必要があり、コストと工数が増大する可能性があります。

定期的なアップデートを実施しているか

CMSを選定する際は、定期的なアップデートが実施されているかを確認しましょう。アップデートには新機能の追加だけでなく、脆弱性の修正も含まれているため、セキュリティ対策の観点で重要です。

アップデートが滞っているCMSは、既知の脆弱性を放置している可能性が高く、セキュリティリスクが増大します。定期的なアップデートの実施は、CMSの信頼性を測る重要な指標の一つといえるため、検討時にチェックするようにしましょう。

障害対応を確認する

CMSを選定する際は、セキュリティインシデントや障害が発生した場合の対応体制を確認することが重要です。具体的には以下の項目をチェックしましょう。

24時間365日の監視体制があるか
障害発生時の連絡体制や対応フローが整備されているか
復旧までの目標時間（SLA）が設定されているか
過去の障害対応実績やインシデント履歴を開示できるか
セキュリティ専門チームが常駐しているか

また、障害発生時の補償内容についても確認が必要です。サービス停止による損害賠償や、情報漏えいが発生した場合の補償範囲などを、契約前に必ず確認しておきましょう。

とくに、クラウド型CMSの場合、ベンダーの障害対応能力がサービスの信頼性を大きく左右します。複数のベンダーを比較検討する際は、障害対応体制の違いも重要な判断材料となります。

セキュリティチェックシートに回答してもらう

CMSを選定する際は、セキュリティ対策の実施状況を客観的に評価するため、ベンダーにセキュリティチェックシートの回答を依頼しましょう。このチェックシートは経済産業省や情報処理推進機構などの公的機関が公開しており、標準的な評価基準として活用できます。なお、金融や医療など特定の業界では、より厳格なセキュリティガイドラインが定められているため、業種に応じた基準への準拠することも必要です。

チェックシートでは、セキュリティインシデントへの対応体制や、第三者機関による監査・認証の取得状況、バックアップ体制など多岐にわたる項目を確認します。選定の際は、自社の業界に求められるセキュリティ要件を把握したうえで、適切なチェックシートを選択・作成することが重要です。

CMSで実施するべきセキュリティ対策4つ

CMSで実施するべき基本のセキュリティ対策を解説します。

CMSを常に最新のバージョンに保つ
定期的にパスワードを変更する
不要なプラグインは削除する
WAFを導入する

技術的対策が知りたい方は下記のページもご確認ください。

関連記事：Webサイト制作のセキュリティ対策一覧｜基本の対策から技術的対策まで

1. CMSを常に最新のバージョンに保つ

CMSの脆弱性を狙ったサイバー攻撃を防ぐためには、CMSを常に最新のバージョンに保つことが重要です。

CMSの脆弱性を完全に防ぐことは難しく「脆弱性が発見される→修正プログラムが配布される」という一連の流れに終わりはありません。配布された修正プログラムに新たな脆弱性が見つかることもあり、その度に新たなバージョンに更新することになります。

攻撃者にサイバー攻撃の隙を見せないよう、更新情報は常に収集してアップデートに備えましょう。

2. 長く複雑なパスワードを設定する

CMSのパスワードは長く複雑なものに設定しましょう。具体的には下記のようなパスワードが推奨されています。

パスワードは英数字記号含めて10桁以上にする
名前、電話番号、誕生日、簡単な英単語などは使用しない
同じID・パスワードを複数のサービスで使い回さない

名前や誕生日など、推測される数字や英単語だけでなく、「123456」「password」「000000」などの単純な文字列も避けるようにしてください。

3. 不要なプラグインは削除する

外部機能であるプラグインは多ければ多いほど更新の手間がかかります。不要なプラグインは放置してしまう人が多いため、運用に使わないプラグインは停止ではなく削除するようにしましょう。

またプラグインは必要以上に追加せず、必要になったら都度追加していくこともセキュリティ対策として有効です。

4. WAFを導入する

CMSを利用してWebサイトを運用するなら、セキュリティツールのWAF（Web Application Firewall）の導入も欠かせません。

WAFとはWebサイトを含めたWebアプリケーションを攻撃から守るセキュリティシステムです。アクセスの解析と遮断をする働きがあり、Webアプリケーションへの通信をチェックすることで不正アクセスを防ぎます。

大手レンタルサーバーやクラウド型・パッケージ型のCMSなら標準機能として装備されていることも多いため、導入予定のサーバーやCMSを事前に確認しましょう。

CMSの脆弱性を突く攻撃を防ぐにはセキュリティ対策が必須

CMSには脆弱性が確認されており、悪質なサイバー攻撃を防ぐにはセキュリティ対策が必須です。とくにオープンソース型CMSはセキュリティ対策を自社で行う必要があるため、どのような対策をしなければならないかや、対策の担当者を必ず確認しておきましょう。

「自社での管理が不安」「セキュリティ対策はプロに任せたい」とお考えなら、クラウド型CMSやパッケージ型CMSといった商用CMSの導入がおすすめです。商用CMSならベンダー側でセキュリティ対策を実施してくれるうえにサポート体制も万全。企業サイトを運営するうえで安心してセキュリティ対策を任せられるでしょう。