目次
1. はじめに
IPA が、CMSを用いたウェブサイト構築における情報セキュリティ対策 4つのポイント というプレス発表を行っていました。
実際のポイントは以下のページに資料が置いてあります。
重要なところを抜粋します(主に「対策」のところ)。
2. CMS を構築されたウェブサイトを狙う攻撃と対策
2.1. 脆弱性やウェブサイトの運用上の不備を悪用
2.1.1. ソフトウェアの脆弱性
(1) CMSや拡張機能の脆弱性を狙った攻撃
対策
- CMS および CMS の拡張機能をアップデートする。
- CMS の拡張機能を見直す。
(2) ほかのソフトウェアの脆弱性を狙った攻撃
対策
- OS やそのほかのソフトウェアをアップデートする。
2.1.2. 運用上の不備
(1) ファイルの不適切な公開
対策
- ファイルに適切なアクセス権を設定する。
- セットアップ用ファイルや設定確認ファイルの削除、もしくはアクセス権を設定する。
(2) 不適切な権限付与
対策
- ユーザーごとの業務遂行に必要な最適な権限を付与する。
- 拡張子を指定するなど、アップロード可能なファイルを制限する。
2.2. 認証を突破
(1) CMS 認証画面への攻撃
対策
- 認証画面をインターネット上に公開しない。
- 強固なパスワードを使用する。
- パスワードを使い回さない。
- 認証画面を守るプラグインを導入する。
(2) CMS 認証画面以外への攻撃
対策
- 強固なパスワードを使用する。
- パスワードを使い回さない。
- ログイン試行回数を制限する。
- (管理画面がなく、サーバーに直接アクセスする場合) SSH公開鍵認証を使用する。
(3) 管理者の管理端末 (PC) からの情報窃取
対策
- ウイルス対策ソフトの導入と定義ファイルの更新
- OSやクライアントソフトウェア (Microsoft Office や Adobe Flash Player, Javaなど) のアップデートおよび不要なソフトウェアの削除
- URL を不用意にクリックしない。
- 本物のウェブサイトかどうかを慎重に確認する。
3. CMS を使ったウェブサイト構築・運用のポイント
3.1 情報セキュリティ対策が実施されている CMS の選定
3.2 適切なアクセス権の設定と確認
3.3 CMS で利用している拡張機能の見直し
- 利用している拡張機能を洗い出す
- 利用していない拡張機能は削除する
- 利用している拡張機能は、最新版になっているかを確認し、最新版にアップデートする
- 最終更新日から数年経過している拡張機能については、別の拡張機能の利用を検討する
3.4 アカウントの適切な管理
※ 今回のタイトルの「4つのポイント」は、この4項目を指しているようです。