CMSのセキュリティ:知っておくと困らない基礎知識 事例詳細|つなweB

CMS活用には運用を支えるセキュリティ対策も不可欠です。そこで、オウンドメディア専用CMS「はてなブログMedia」を開発する(株)はてなの磯和太郎さんに、CMSに関するセキュリティ対策について話をうかがいました。

 

磯和 太郎さん
(株)はてな サービス・システム開発本部 プロデューサー https://hatenacorp.jp/

 

自分の想像以上にセキュリティの範囲は広い

昨今は、規模の大小を問わず全般的に、デジタルに対してセキュリティへの意識が高まっています。例えば、弊社がクライアントと折衝する際も、数年前と比べてセキュリティにまつわる問い合わせが増えました。CMSに限らずデジタル案件の場では、特に大手企業を中心に企業側からセキュリティチェックシートを渡される機会が増えています。各企業が気にしておきたいセキュリティに関する項目をあらかじめ用意していて、それらがすべてクリアにならないと後工程に進めない、契約できないということです。セキュリティや保守については、数年前に比べて明らかに進んだ取り組みがなされています。

その一方で、まだまだ徹底しきれていない、セキュリティへの認識が高くないデジタル担当者や組織も少なくありません。その要因の1つは、セキュリティが示す範囲です。みなさんは「セキュリティ」と聞くと、どういうことを思い浮かべるでしょうか。実際は、思った以上に幅広い分野を考える必要があります。

少し前までは、セキュリティと言えば仕組みへの意識が強かった時代でした。例えば、情報システム部門の方々が直面するような専門的な問題を指していたのが、現代にかけて、コンテンツに伴う炎上騒動なども広義のセキュリティという範疇で捉えるべき事態となっています(01)。

今やセキュリティは、自分の得意分野や明るい内容から想像できる範囲を越えた問題だと認識しておくべきです。情報システム系を気にする人たちは、現場で堅牢に安全、安心なものを構築することに注力する分、コンテンツそのものへの意識は持ちづらかったり、広報部門やコンテンツ編集の立場の人たちは、誹謗中傷や炎上が起きないガイドラインや編集方針、情報発信にはとても感度が高い分、専門外となる仕組みについてはおざなりになりがちです。

自分の置かれた状況や精通具合で、目配せすべき範囲も含めてセキュリティを考えるべきであり、自分がカバーできないところを誰がどう代わって対応できるかが問われています。

 

01 「セキュリティ」としてカバーすべき範囲
セキュリティは、インフラ(仕組み)のほか、コンテンツの側面など、考えるべき範囲がかなり広いです。AやBのように自分がかかわる側面しか見えていないのではないか? 自らが認識できている範囲の確認から始めましょう

 

あらかじめ具体的に想定されるセキュリティ項目を知っておく

まずは、企業側のデジタル(CMS)担当者はもちろんですが、実装/制作する側も、セキュリティが示す範囲の広さを認識しておけると、事故の予防対策が講じやすくなります。

そこで、もう少し具体的にセキュリティについて考えやすくするために参照してほしいのが、IPA(情報処理推進機構)が毎年発表している、情報セキュリティに関するランキングです。個人と組織とに分けて、上位10位についてIPAのWebサイト上で公開しているので、ランクインしている内容をそれぞれ確認してください(02)。例えば、個人や企業で問題の質や関心の高さも違ってきますし、どちらにもインフラ系の内容と、コンテンツにまつわる内容が混在していることにも気づくでしょう。

これらを参照しながら、自分がどの項目について「セキュリティ」だと認識していて、どの部分が認識できていなかったかを確認するだけでも、その後のあり方は変わります。社内にCMS担当者が複数人いるなら、全員で内容を確認してみて、担当チームとして手薄な項目がなかったかを洗い出しておくといいでしょう。

うまく認識できていなかった項目は、その人/チームにとって明らかに手薄で軽視している可能性が高い内容です。これらは、CMSの導入の有無に関係なく対策すべきことでもあるので、社内の異なる部門に協力を仰いだり、社内だけでは難しければ、外部のセキュリティ対策に強いパートナーの力を借りて、具体的な対策を講じるべきです。

セキュリティは、その場しのぎでは済まされません。継続的な運営、運用と並走しながら常に対策が必要です。後述しますが、事故が起きてしまった場合の対策、サイバー保険への加入の可能性も含めて、常にリスクヘッジを念頭に置く必要もあります。対策がおろそかだったために起きた事故次第では、企業/組織にとって致命的なことになりかねません。広い範囲で対応するべきだからこそ、セキュリティには一定の予算を投じ、全社的な理解のもとで継続的な対策を立てることが望ましいのです。

 

02 情報セキュリティ10大脅威 2020
IPA(情報処理推進機構)より情報セキュリティ上の脅威の内容についてランキング化したデータで、個人/組織それぞれ分けて公開。2020年1月29日にリリースされた最新ランキングを基に作成 https://www.ipa.go.jp/security/vuln/10threats2020.html

 

内製でどこまでできるのか?外部パートナー連携も選択肢に

なかなかセキュリティへの理解が浸透できていない社内事情がある場合、どうするべきでしょうか。大手企業と違って中小企業の場合だと、見聞きする限り、対策が取られていないケースもあります。

より現場にフォーカスして考えたとき、何からどう手をつけていくべきか? その目安となるのが、前述のランキングのほかに、同じくIPAが2016年にリリースした、「CMSを用いたウェブサイトにおける情報セキュリティ対策のポイント」という資料には、CMSを導入するにあたって気をつけるべきチェックリストも公開されているので、その内容をとっかかりとして参照するといいでしょう(03)。

また、企業からセキュリティチェックリストを出してくる、という話も先に触れましたが、自社ではまだつくれていない場合は、03のチェックリスト項目を叩き台にして、自社の状況にあわせてカスタマイズしていくといいでしょう。昨今は、企業側から提出されるチェックリストだと多岐にわたる項目が並ぶため、返答に1~2週間はかかってしまいます。裏を返せば、意識が高くて、安心で安全な運用をきちんと確保したい企業、組織ほど、リストを広範囲に渡る項目で用意してきています。

CMSにおけるセキュリティを考えるなら、運用以前にCMSに求めている役割が何か、そこに紐づくセキュリティ事項は何か、さらに運用開始前後で出てくるセキュリティ事項も含めて、もろもろを洗い出し、最終的に社内のコンテンツ更新の担当者とシステム部門の担当者とが擦り合わせられるようにしてください。自社が必要な確認事項について、部門横断的に一緒に用意しながら、形にしていきます。

確認項目にはテクニカルな要件も含みます。担当者が現場でエンジニアへ本当に指示が出せるのかを考えなければなりません。無理な場合は、内部だけにとどめず、セキュリティに強い外部パートナーへの相談も現実的な解決策の1つです。または、インフラ面をある程度ベンダー側の信頼性に依存できるパッケージ型CMS、SaaS型CMSをベースにして進める考え方もあるでしょう。

 

03 CMS導入に関するチェックリスト
IPA(独立行政法人情報処理推進機構)セキュリティセンターが2016年9月28日に公開したレポート「CMSを用いたウェブサイトにおける情報セキュリティ対策のポイント」より。上のチェックリストはCMSに関する項目を抜粋して掲載 https://www.ipa.go.jp/files/000054728.pdf

 

セキュリティの費用を念頭に置いて予算を組もう

機能ありきでCMSを選んでしまうと、セキュリティについての考え方がすっかり抜けてしまう危険があります。CMSの導入を検討するとき、導入ありきと考えずにそもそもCMSに何を求めるのか。ここまで遡って考えると、運用に欠かせないセキュリティや保守という側面には必ず突き当たります。センシティブな情報を扱う役割をCMSが担うなら、そのセキュリティが事業の生命線に直結するからです。

ただ、日頃からセキュリティや保守への検討が頭にない限り、CMSの導入予算の中にセキュリティに関する費用を入れないままに社内で計上してしまう事態は、リアルに考えられることです。

では導入予算に、もしセキュリティコストが含まれていなかった場合、どうするべきでしょうか? 考えられる選択肢は、やりたいことをやる代わりにセキュリティ対策を犠牲にするか、やりたいことを抑える代わりにセキュリティ対策を万全にするか、という二択です。となると、確実に後者を選びたいところです(04)。

まず全体の予算に対して、先にセキュリティにかかる費用をきちんと確保します。残った予算で、CMSを通じて実現したい機能や実装を、優先順位の高い内容に絞り込みます。想定していた機能が直近の状況からも必要なのか、今はそうではないが将来的には実装しておきたいのか、本当はさほど実装する必要がない機能なのか。中長期を見据えて、選択するCMSの拡張性なども考慮します。場合によっては、候補のCMSを差し替える事態も出てくるでしょう。例えば、頻度の高いコンテンツ更新を求めるなら、ブログ機能さえあればいいという判断もできます。機能を絞ったCMSなら全体の負荷が小さく、さらなる予算軽減にもなります。

外部パートナーについても触れると、立ち上げだけでなく、導入後の運用面についてもきちんと話ができるかが見極めのラインです。機能をどうするかといった制作面の話ばかりになる相手には、運用の考え方を質問してください。運用には必ずセキュリティ対策も付随しますので、出てくる内容を吟味するといいでしょう。

 

04 限られた予算内でのセキュリティの考え方
予算確保がままならない場合、やりたいこと優先かセキュリティか? セキュリティ意識が高まる昨今は、やることの絞り込みをした分、浮いた分の予算でセキュリティ対策を万全とし、安全で安定的な継続運営を目指しましょう

 

セキュリティ担当者を中心に自社でできることを確認

社内できちんと対応したいなら、CMS担当チーム内にセキュリティ担当者を必ず1名は選びましょう。緊急時には主導的に対応できて、常に情報が集約されて、適切な事後対応ができる人を立てます。

緊急時に備えるためには、セキュリティ担当者は日頃からの情報収集が必須です(05)。特に、IPAのWebサイトにあるメニュー「情報セキュリティ」の内容と、IPAとJPCERTコーディネーションセンターが共同運営する「脆弱性対策情報データベース」の活用、導入中のCMSベンダーからの情報の3点はいつでも押さえておきたいです。IPAでは、定期的に情報が発信されています。確認する時間やタイミングを決めて、毎日必ず一度は更新内容を確認する習慣をつくっておきましょう。

「脆弱性対策情報データベース」は、国内外問わず、日々公開される脆弱性対策情報が蓄積されています。データベース検索ができるので、導入CMSの製品名で検索をかけると、関連情報がヒットしてくれます。例えば「WordPress」と検索すると、2,400件以上のエントリーがヒットします(2020年2月時点)。OSS(オープンソースソフトウェア)は無償で導入できる分、メジャー/マイナーバージョンアップごとに、セキュリティを含めたこまめな対応が必要ですし、無償の分、狙われやすい仕組みとも言えます。導入する以上はセキュアな対応ができる盤石な体制もセットで検討することが必須です。導入中のベンダー情報も同様で、日々のルーティンに確認作業を組み込んでおきましょう。

そして、時期を決めて定期的に行ってほしいのが、セキュリティ対応における体制内のメンバーやフローの確認です。規模やメンバー間の流動性によって、半年に1度、と決めて実施します。少なくとも1年に1回はやってほしいです。緊急事態が起きた場合、自社と外部でどういう経路で、誰に、どの手段で連絡するかを確認してください。よくあるのが、担当者が変わったのに連絡先が前任者のままで古いこと。電話番号、メールアドレス、そのほか各チャネルのアカウントなど、担当者に届く連絡先なのかを事前確認しておきましょう。

 

05 CMS担当者の日常的なセキュリティ対策項目
CMSを導入した場合、セキュリティ担当を決めて、セキュリティ関連の情報に感度高く反応できるようにしておきましょう。半年 or 1年に1回と期間を決めて、体制内の状況や引き継ぎの有無、担当者の連絡先などを確認しましょう

 

トラブルが起きてしまったら…「サイバー保険」という選択肢

社内できちんと対応したいなら、CMS担当チーム内にセキュリティ担当者を必ず1名は選びましょう。緊急時には主導的に対応できて、常に情報が集約されて、適切な事後対応ができる人を立てます。

緊急時に備えるためには、セキュリティ担当者は日頃からの情報収集が必須です(05)。特に、IPAのWebサイトにあるメニュー「情報セキュリティ」の内容と、IPAとJPCERTコーディネーションセンターが共同運営する「脆弱性対策情報データベース」の活用、導入中のCMSベンダーからの情報の3点はいつでも押さえておきたいです。IPAでは、定期的に情報が発信されています。確認する時間やタイミングを決めて、毎日必ず一度は更新内容を確認する習慣をつくっておきましょう。

「脆弱性対策情報データベース」は、国内外問わず、日々公開される脆弱性対策情報が蓄積されています。データベース検索ができるので、導入CMSの製品名で検索をかけると、関連情報がヒットしてくれます。例えば「WordPress」と検索すると、2,400件以上のエントリーがヒットします(2020年2月時点)。OSS(オープンソースソフトウェア)は無償で導入できる分、メジャー/マイナーバージョンアップごとに、セキュリティを含めたこまめな対応が必要ですし、無償の分、狙われやすい仕組みとも言えます。導入する以上はセキュアな対応ができる盤石な体制もセットで検討することが必須です。導入中のベンダー情報も同様で、日々のルーティンに確認作業を組み込んでおきましょう。

そして、時期を決めて定期的に行ってほしいのが、セキュリティ対応における体制内のメンバーやフローの確認です。規模やメンバー間の流動性によって、半年に1度、と決めて実施します。少なくとも1年に1回はやってほしいです。緊急事態が起きた場合、自社と外部でどういう経路で、誰に、どの手段で連絡するかを確認してください。よくあるのが、担当者が変わったのに連絡先が前任者のままで古いこと。電話番号、メールアドレス、そのほか各チャネルのアカウントなど、担当者に届く連絡先なのかを事前確認しておきましょう。

 

06 「サイバー保険」利用/加入は、これからという状況
両者とも中小企業を対象にしたデータで、出典は2020年1月に公開された一般社団法人日本損害保険協会「中小企業の経営者のサイバーリスク意識調査2019」より https://www.sonpo.or.jp/cyber-hoken/data/2019-01/pdf/cyber_report2019.pdf

 

Text:遠藤義浩