こんにちは、プライム・ストラテジーの取締役副社長の池宮です。
プライム・ストラテジーでは2020年からクラウドインテグレーション事業部を管掌し、「KUSANAGIマネージドサービス」や弊社の成長戦略3分野の1つである「CMSプラットフォーム統合サービス」を担当してきました。
こちらのコラムでは「CMSプラットフォーム統合サービス」周りのお話をしていきたいと考えています。
前回は情報システム部門が抱える問題についてお話しました。
今回はWebサイトのセキュリティについてお話したいと思います。
全て対応できるエンジニアはなかなかいない、難しいセキュリティ対策の実情
大きな困りごとのひとつに、セキュリティの強化や担保が挙げられます。
ただ、セキュリティと一口に言っても、対策しなければならない対象は複数あります。
例えば、サーバなら、OSのアップデートが必要です。ただ、OSの中には、OS自体がEOL(サポートの終了)を迎えているケースもあります。次に、その上の層となるWebサーバやデータベース、プログラム言語を動作させるミドルウェアのアップデートも必要です。ミドルウェア層のさらにその上の層には、WordPressやMovable TypeなどのCMS、スクラッチ開発したシステムなどのアプリケーションが搭載されているアプリケーション層となりますが、ここでもアップデートは必要です。
このように、セキュリティ対策が必要な対象は一つ上げればキリがありません。ですが、どれか一つを対応すればいいというものでもなく、それらのすべてに依存関係があるケースは多々あります。
例えばWordPressをアップデートしようとしても、使用しているPHPのバージョンが新しいWordPressのバージョンに対応していなければPHPも上げなくてはなりません。さらに、それに伴って関連するミドルウェアもバージョンを上げなくてはならなくなった、ということはよくあります。
つまり、それぞれの関連をきちんと理解し、対処せずにアップデートを行ってしまうと、データの破損などの重大な事故が起きてしまう可能性は高まりますし、それらの事故も想定していたものよりも、大きなものになって、結果としてコストやリスクがさらに大きなものになってしまう事もあります。
こうした背景から、Web担当者の手に負えなくなってしまい、放っておかれているというケースは珍しいものではありません。もちろん、社内で対応するエンジニア自身がサーバやセキュリティに対する知識や技術に明るい人であれば問題はありませんが、ネットワーク層からアプリケーション層までを一貫した知識や技術を持ち、問題なくアップデートなどの対応ができる人が、それらを専門としない企業に所属しているケースは珍しいというのが実情です。
WordPressは危険?きちんと対策すれば危険ではない
ところで、よく、WordPressは危険と言われます。が、実のところWordPress自体が危険というわけではありません。
危険と言われてしまっているその原因は、プラグインを含めたアップデート対応がきちんと行われていないケースが多いこと、そして、セキュリティホールが空いたままの設定になっているケースが散見されるためです。
そのため、CVEに沿ってきちんとプラグインも含めてアプリケーションをアップデートすること、セキュリティホールを埋める設定を行うこと、放置せずにきちんと定期的なメンテナンスを行うなどをしていれば、早々危険な状態になることはありません。
ちなみに、当社にもセキュリティ関連のお問い合わせは多々頂きます。それらの中には、すでに改ざんなどの被害を受けてしまっていたと認識しているケースもあれば、お客様自身が被害を受けていたことを認識していなかったケースもありました。
こうしたWordPressに対するサイバー攻撃ですが、侵入経路はケースバイケースで、大きく分けると3種類あります。
①WordPress自体の脆弱性を突かれるケース
②プラグインの脆弱性を突かれるケース
③WordPressの管理画面が保護されておらず、ブルートフォースアタックを受けたケース
これらの経路から侵入してきた攻撃者によってフィッシングサイトへのリンクが設置されていたり、サーバにバックドアが仕掛けられていたり、管理者の知らないユーザーが追加されていたり、削除されていたり、といった被害が見つかっています。
こうしたケースに対して当社は、いつ侵入されたのか、侵入経路はどこだったのか、バックドアや攻撃的なソースが何か仕掛けられていないかなどのポイントを機械的に検知・調査した上で、さらに人の手でも確認します。最終的に、それらの問題点を排除した状態までもっていった後に、通常の運用に移行するという事を行っています。
ただ、サイバー攻撃の手法というのは日々変化するものなので、攻撃されたサイトを100%安全な状態にするというのは難しいため、その時点で出来うる限りの対策を打っていくということになります。
ところで、アップデートしないことによるデメリットはサイバー攻撃に対するリスクだけではありません。
それぞれのモジュールやフレームワークのアップデートで追加された最新の機能を活用できないことにもあります。
具体的には、ツール系ならUI/UXがより使いやすい良いものになっていたり、PHP言語という面で見れば動作のアーキテクチャーが変更になったことによる処理速度が大幅に改善されていたり、というメリットがあります。
セキュリティ面だけでなく、サイトの機能や速度改善につながりますので、基本的に各モジュール群が提供している最新版への移行を推奨しています。
特にPHPの7系から8系に変えることで速度が上がるという話を知らない方が多いので、ぜひ注目してみていってほしいと思っています。
サーバ全体を視られる当社でセキュリティが担保されたWebサイト運営を
当社は自社の基盤を構築しているだけでなく、プロダクトを持っている企業です。また、これまでずっとWordPressのインテグレーターとしてアプリケーションを構築してきた実績もありますので、どのレイヤーに対してもセキュリティを担保したアップデートを含めたメンテナンスを行うことができます。
脆弱性が見つかった時点で、システムがそれを即座に検知するような仕組みを作っていますので、迅速で適切なアップデートを行うことができます。平時であれば、メンテナンスの基準を提案し、お客様ごとに適切なサイクルでのメンテナンスを提案、実行しています。WordPressに対しても、長きにわたる運用経験だけでなく、セキュリティを含めた最新情報を常に取得していますので、安全に運用することが可能です。
また、KUSANAGI自体が持つ機能として、WAFやIDS/ IPSがありますので、運用段階ではそれらの機能を利用することで、より、リアルタイムに動的にセキュリティを担保することができます。この辺の詳細については次回以降、どこかでお話しできればと思います。
ところで、CentOS 7が2024年6月30日にEOLを迎えることが公表されています。KUSANAG 8はCentOS 7を利用していましたが、KUSANAGI 9でAlmaLinux版の提供も始めています。
AlmaLinux OS 8 のサポート終了は2029年、AlmaLinux OS 9 のサポート終了は2032年と発表されています。KUSANAGI 9のそれぞれのベースとなっているOSのサポート終了までは各種ミドルウェアに対するアップデートを配信しますので、KUSANAGIをアップデートしていただく以外個別に何かしていただく必要はありません。
もし、日々の運用の中で、他の業務に集中したいのに雑多な作業が多くて困っている、手間に感じている作業があるといったお悩みがあるようでしたら、ぜひ当社にご相談ください。
CMSプラットフォーム統合サービスについては以下をご覧ください。
https://www.prime-strategy.co.jp/services/cms-platform-consolidation-services
お問い合わせはこちらから。お気軽にご連絡ください。
