「セキュアな企業サイト運営を実現するためのCMS活用セミナー」のご案内

来る9月11日（金）、当社セミナールームにて「セキュアな企業サイト運営を実現するためのCMS活用セミナー」を開催いたします。本コラムでは、予告編としてセミナー開催の背景や内容の要点をお伝えします。

Webサイト改ざんの傾向

近年、Webサイトの脆弱性や運用管理の不備を突かれたWebページの改ざん被害が多発しています。

2013年から2014年にかけては多くの改ざん被害が発生し、警察庁や情報処理推進機構（IPA）といった専門機関からもWebサイト改ざんへの注意喚起が出されました。本年はというと、先ごろ公表されたJPCERT/CCの「インシデント報告対応レポート（2015年4月1日～2015年6月30日）」によると、Web改ざん被害は減少傾向がみられるものの、649件のインシデント報告（インシデントカテゴリの中では2番目に多い件数）があり、依然として多数の被害が発生していることがわかります。なお、一般に改ざん被害があっても報告がなされるケースは極めて少数と言われていますので、実際の件数はもっと多いと推測されます。

さて、インシデント報告対応レポートでは、本四半期の「Webサイト改ざんの傾向」として、次の2点が指摘されています。

第一に、閲覧者にウィルスを感染させるドライブ・バイ・ダウンロード攻撃、です。

本四半期は、改ざんされたWebサイトにアクセスして不正なサイトに誘導され、いわゆるランサムウエアに感染したという報告が多く寄せられました。改ざんされたWebサイトを確認したところ、埋め込まれる不正なコードには、bodyタグの直後にcookieを送信するJavaScriptと、攻撃サイトに誘導するiframeが埋め込まれているという特徴がありました。また、誘導先の攻撃サイトでは、マルウエアに感染させるために、Internet ExplorerやAdobe Flash Playerの脆弱性が使用されていました。

Webサイトの改ざんというと、攻撃者の思想の掲載やいたずら目的でページの見た目を大きく変えられてしまうような事態を想像されるかもしれません。しかし実際は、閲覧者にウイルスを感染させることを目的にWebページのソースコードの一部を書きえるもので、閲覧者は見た目で改ざんの有無を判別することができません。

また、自社のWebサイトがこのような改ざん被害にあってしまった場合、Webサイトを運営している企業は、改ざんされたという被害者の立場だけでなく、閲覧者のウィルス感染に加担する加害者になる可能性があります。実際にサイトに訪問したお客様に被害が及んだ場合は、原因究明からはじまり顧客への補償等、リアルなビジネスに直接的な影響を与えかねません。

第二に、オープンソース系CMS製品の不備を悪用した改ざん、です。

上記のような改ざんが行われたWebサイトでは、WordPressを使用しているという共通点が見られました。WordPressのようなCMSを使用しているWebサイトは、CMSやそのプラグインのバージョンが古い場合、脆弱性をつかれて改ざんされてしまう恐れがあります。Webサイトの管理者は、CMSを常に最新のバージョンに維持し、不要なプラグインを削除するなどの対策を取ることが重要です。

WordPressは、世界的に人気のあるオープンソース・ソフトウェア（OSS）のCMS製品です。ライセンスフィーがかからず無償で利用できることもあり、国内の企業・組織でも広く使われている製品です。しかし、世界的に有名かつソースコードが公開されているため、常に世界中の攻撃者から攻撃対象として狙われてもいます。

また、WordPressのようなOSS製品は、無償で利用できたり、ソースコードが公開されていることでカスタマイズがしやすいといったメリットを享受できる反面、導入後はカスタマイズ箇所だけでなく、本体プログラムや追加導入したアドオン機能を含め、基本的に自らの責任でメンテナンスする必要があります。つまり、初期のライセンスフィーは無償であったとしても、継続的に保守し続けるための予算と体制の確保は不可欠です。したがって、企業サイトでOSS製品を採用する際は、初期コストだけでなく、保守・運用フェーズのメンテナンスにかかるコストも含めたトータルでの慎重な検討と判断が求められます。

企業サイトのセキュリティ対策

企業サイト運営において、こうしたWebサイト改ざんへの対策をすすめるためには、従来よりもセキュリティ強化のための予算の確保と、セキュリティ対策を進めるための体制の確保が必要です。しかし、企業の顔とも言えるWebサイトが改ざんされると信頼の失墜など大きな影響があるとはいえ、必ずしも直接的な利益につながらない企業サイト運営において、セキュリティ強化のための予算と人員の確保には限りがあるのが実情ではないでしょうか。そのような中で、企業のWeb担当者は、日々企業の信頼を守るため、現実的で費用対効果の高い対策の立案と実行を求められていることと思います。

本セミナーでは、改ざん検知・自動復旧ツール「ウェブアルゴス」の製造元であるデジタルインフォーメーションテクノロジー・橋本様と、高いセキュリティ要件が求められる金融機関サイト等でも導入実績が豊富な商用CMS製品「WebRelease」の製造元であるフレームワークスソフトウェア・桝室様をゲストにお迎えし、セキュアな企業サイト運営を実現するための具体的なソリューションをデモを交えてご紹介させていただきます。また、これらのソリューションを活用した、企業サイトのための現実的で無理のないセキュリティ対策強化のポイントをお伝えすることで、諸々の制約なかで、セキュアな企業サイトの構築と運用を求められているWeb担当者様の一助となれば幸いです。

ご多用かとは存じますが、まだ席に余裕がございますので、皆様のご参加を心よりお待ちしております。セミナー終了後、他のセミナー同様、社内見学会を催す予定です（ご希望の方のみ）。また個別のご質問、ご相談にお答えする時間も別途ご用意する予定です。