セキュリティについて
知っておきたいCMSのセキュリティリスク
近年増加するCMSを活用したWEBサイトを標的としたサイバー攻撃による被害。
CMSを活用したWEBサイトが狙われる主な要因としては、以下があげられます。
- WordPressなどのCMSはオープンソースのため誰でもソースコードを参照することができる
- プラグインなどの拡張機能が魅力である分、拡張機能にも脆弱性が存在するオープンソースCMSではセキュリティ対策を一括で設定できないため、企業または個人で各攻撃に対する対策を行わなければならない
- すべての企業や個人が万全の対策行うことは難しく、セキュリティ管理が甘くなってしまうことが多い
以上の要因から、十分なセキュリティ対策を行わずに脆弱性が高いWEBサイトが多くなり、サイバー攻撃などの標的として狙われやすくなっています。
CMSのセキュリティ対策はSecure CMSにおまかせ!
Secure CMSは多層防御を採用!
サイトの利用用途によってセキュリティオプションを追加できます
サイバー攻撃からWEBサイト(ホームページ)・WEBサーバーを守るならSecure CMS
セキュリティ一覧 Security Chart
| 標準搭載 | オプション | ||
|---|---|---|---|
 SSL | ドメイン認証(Let's Encrypt) | 企業認証SSL | |
| EV認証SSL (digicert セキュア・サーバID EV) | |||
 Firewall | LinuxのFirewall(iptables) | TrendMicro (Cloud One Workload Security) | |
 IPS/IDS | - | ||
 WAF | SiteGuard | 攻撃遮断くん | |
| DDoS攻撃 | 標準対応 | ||
 改ざん検知 | 標準搭載 100ページ | オプション対応 300ページまたは1000ページ | |
| 改ざん検知復旧サービス | 標準搭載(前日までのデータ復旧が可能) | ||
 脆弱性対策 | 定期的に対応 | ||
 修正パッチ適用 | 定期的に対応 | ||
 サイバー攻撃モニタリング | - | 攻撃遮断くん搭載機能 | |
 セキュリティログチェック | - | ||
 サーバ構成 | シングル(1台構成) | ダブル(2台構成) | |
 アクセス数目安 | 月100万アクセス | 月200万アクセス | |
 バックアップ | 標準搭載 | ||
 不正ログイン対策 | 二段階認証/固定IPアドレス制限 | ||
 フォームの不正メール対策 | reCAPTCHA (チェックボックス・画像認証) | ||
WEBサーバ対策 Web Server Measures
認証SSL
認証レベル 1 | 認証レベル 2 | 認証レベル 3 | |
|---|---|---|---|
| 詳細 | ドメインに登録されている登録者を確認することにより発行される証明書。 | ドメインに加えWebサイトを運営している組織の実在性を証明する証明書。 | 企業の実在性に加えて、所在地の認証を行う。ブラウザのアドレスバーが緑になり、Webサイトの運営組織が表示される証明書。 |
| 暗号化通信 | ○ | ○ | ○ |
| ドメイン名の所有権確認 | ○ | ○ | ○ |
| 組織の実在性の確認 | × | ○ | ○ |
| 発行対象者 | 個人・法人 | 法人 | 法人 |
| おすすめ用途 |
|
|
|
Firewall・WAF
| 機能一覧 | 詳細 | Cloud One | 攻撃遮断くん | |
|---|---|---|---|---|
| 攻 撃 予 防 | IPS/IDS(侵入検知・防御) | 仮想パッチでOS・アプリケーションの脆弱性を保護 | ○ | × |
| アプリケーションコントロール | ホスト上で実行されるアプリケーションを制御 | ○ | × | |
| セキュリティログ監視 | OS・アプリケーションなどのセキュリティイベントを集中監視 | ○ | × | |
| Webレピュテーション | 不正なURLへの接続を防御 | ○ | ○ | |
| ホワイトリスト | 「安全対象」のIPアドレスを登録可能 | × | ○ | |
| シグネチャのカスタマイズ | シグネチャファイルに攻撃パターンを記録することで不正アクセスかを判断 | × | ○ | |
| 攻 撃 予 防 ・ 監 視 | 変更監視 | ファイルやデイレクトリの変更を監視 | ○ | × |
| Firewall | 不正な通信をサーバーごとに制御 | ○ | ○ | |
| 攻 撃 監 視 | 検知遮断の報告機能 | 管理画面で攻撃の閲覧・遮断履歴の閲覧がリアルタイムで確認できる | × | ○ |
| 攻 撃 予 防 ・ 検 知 | 攻撃ログレポート作成 | 管理画面で攻撃の日付・時間帯別・攻撃種別集計のログを確認 | × | ○ |
| DDoS対策 | WAFでは防御できないDos/DDoS攻撃をユーザーより上位のネットワークで検知/軽減。サーバーやネットワーク機器、インターネット回線まで含めた防御が可能。 | × | ○ | |
| 攻 撃 検 知 | 不正プログラム対策 | リアルタイム検索やスケジュール検索によるウイルス対策 | ○ | × |
| サイバー攻撃可視化機能 | 24時間365日、ユーザーに対する攻撃をリアルタイムで確認可能 | × | ○ | |
Cloud One Workload Security オプション
「Cloud One Workload Security」は、サーバを幅広いセキュリティ機能で多層防御するソフトウェアです。
物理・仮想・クラウドなど、多様なサーバ環境に対応しており、それらすべてに統一したセキュリティを提供します。
「Cloud One Workload Security」は下記の機能を持ち、WEBサイト・サービスを守ります。
不正プログラム対策 IPS/IDS(侵入防御)Webレピュテーション Firewall
アプリケーションコントロール 変更監視 セキュリティログ監視
「Cloud One Workload Security」の詳細情報は、トレンドマイクロ株式会社のページをご参照ください。
攻撃遮断くん オプション
対応している主なサーバー攻撃
クロスサイトスクリプティング / SQLインジェクション / 改行コードインジェクション / LDAPインジェクション / コマンドインジェクション / ファイルインクルード攻撃 / URLエンコード攻撃 / ディレクトリトラバーサル / ブルートフォースアタック / その他Web攻撃 / 各種OS・ミドルウェアへの脆弱性を突いた攻撃
「攻撃遮断くん」は、個人情報漏洩やDDoS攻撃、Web改ざんなどの攻撃からWEBサイト、WEBサーバーを保護する国産のクラウド型WAFです。
クラウド型WAFは、あらゆる攻撃のパターンを解析し自動で遮断、Webアプリケーションの脆弱性攻撃からサイトを守ります。
「攻撃遮断くん」はシグネチャは自動で更新、最新の外部からのサイバー攻撃にも迅速対応し、簡単にWEBサイト、WEBサーバーのセキュリティ対策を実現します。
「攻撃遮断くん」の詳細情報は、株式会社サイバーセキュリティクラウドのページをご参照ください。
二重化・負荷分散(サーバ2台構成)
サーバ1台(シングル構成) 標準
サーバ2台(ダブル構成) オプション
