小規模Webサイト向け CMS 「すぐ使えるCGI」のサポート情報

「すぐ使えるCGI」のセキュリティはどうなっていますか?

最終更新日: 2013-11-21

「すぐ使えるCGI」のセキュリティ対策ついてご説明します。

CMSセキュリティのポイント

CMS(Content Management System、Web更新ツール)のセキュリティのポイントは下記の2カ所あります。

  1. 管理画面へのアクセス制限
  2. 公開しているホームページへの攻撃(改ざん、スパムコメントなど)への対応

一般的なWebサイトセキュリティだとこれに加えて通信の暗号化(盗聴を防ぐ)が必要ですが、CMSの場合は個人情報やカード情報などの機密情報を扱わず、基本的に公開するためのコンテンツを扱いますのでこれについては考慮しなくても特に問題ありません。

「すぐ使えるCGI」の管理画面セキュリティ

「すぐ使えるCGI」では、以下の方法で管理画面を守っています。

  • パスワードによるアクセス制限
  • 設置場所・ファイル名の変更

パスワードによるアクセス制限

「すぐ使えるCGI」の管理画面は、以下の2種類のパスワードでアクセス制限できます。

  • Webサーバの機能の「Basic認証」か「Digest認証」
  • 「すぐ使えるCGI」プログラム内で指定するパスワード(Ver 3.0 以上)

ダブルで保護して頂ければより安全です。
それぞれの詳細は、ページ下の「関連リンク」からご覧下さい。

設置場所・ファイル名の変更

WordPress など多くのブログやCMSパッケージ製品は管理画面のファイル名が決まっています。このため、使っているツールが分かれば管理画面のURLにアクセスして侵入を試みることも可能です。

「すぐ使えるCGI」ではこのような侵入を避けるために、管理画面はディレクトリ名もファイル名も変更できるようになっています。このため、攻撃者は管理画面の場所を見つけられません。

元の名前) admin/admin.cgi
  ↓
変更可能) mypageadmin/hidden.cgi

公開したホームページのセキュリティ

公開したホームページのセキュリティ上の懸念は以下の点が挙げられます。

  • システムのバグを狙った攻撃(情報の書き換え、改ざんなど)
  • 大量アクセスによるシステムダウン

WordPress などのメジャーなツールを使う場合、画面構成やURL構成からどのツールを使っているかが分かってしまうためこのような攻撃の対象になる場合があります。

「すぐ使えるCGI」で公開するページは全て静的なHTMLファイルとして書き出しますので、攻撃をされたとしてもCMSシステムに起因する問題は起きません。また、大量のアクセスがあったとしても、最大限のスピードでレスポンスを返す事ができます。

関連リンク

さらに詳しく