こんにちは、プライム・ストラテジーの取締役副社長の池宮です。
プライム・ストラテジーでは2020年からクラウドインテグレーション事業部を管掌し、「KUSANAGIマネージドサービス」や弊社の成長戦略3分野の1つである「CMSプラットフォーム統合サービス」を担当してきました。
こちらのコラムでは「CMSプラットフォーム統合サービス」周りのお話をしていきたいと考えています。
ここ数回ほどWebサイトとセキュリティに関してお話してきました。
そこで今回は、Webサイト周辺のセキュリティ対策として重要なアップデートについてお話したいと思います。
アップデートは世の情シスが抱える共通の課題
Webサイトに限ったことではありませんが、システムのアップデートというのは、実は情シスが抱える最も大きな問題であることが多々あります。
例えば、アップデートのスケジュールが調整しにくい、予算や工数が確保できないなどの理由から、気が付いたら最後のアップデートからだいぶ期間が空いてしまっており、すでに中身がどうなっているかも把握できず、攻撃や情報漏洩のリスクが高くなりすぎてしまっている状態のシステムは実はよくあります。
そしてこの状況になっても、やはり予算や工数の問題が立ちはだかり、結局アップデートできず、危険と隣り合わせのまま見なかったことにするといった状況も、珍しいことではありません。
ではここで、Webサイト周りで必要なアップデートの範囲に着目して考えてみます。
WebサーバのOS、各種ミドルウェア、アプリケーション関連のミドルウェア(PHPなどの言語系やmySQLやMariaDBなどのデータベース関連)、CMS、CMSのプラグインなど様々なものがあげられます。
それぞれのアップデートは、ランサムウェアなどの脅威への対策として重要なものとなりますが、どの程度まで対策するかは各社千差万別です。アップデートに関して言えば、前回のアップデートからあける期間は、やはり短ければ短いほど、差分が少ないのでアップデート作業も問題なく進むことがほとんどになります。また、もし問題が起きてしまったとしても、問題のある箇所の特定も早く済み、迅速に解決に向けて進めることができます。
当社のお客様の中で特に気を付けていらっしゃる企業では最低でも3か月に1回はアップデート作業の機会を設けて運用しています。
WordPress専用環境KUSANAGIで高速・安全な環境を提供したい
さて、当社はもともとWordPressのインテグレーターとして、長年実績を積み重ねてきました。その間、要件定義からWordPressの構築までの一連の流れはもちろん、その後のサイト運用やプラグインの自社開発なども行ってきました。
そうした日々の運用の中では、大小さまざまなセキュリティホールが見つかることがあります。発生するインシデントは、サーバサイドのものもあれば、CMS自体、CMSのプラグインが原因となるものもありましたが、どれに関してもCVEに該当するレベルのものもありました。問題の解決にあたってはこれまでは、手作業かつ、属人的なパワーで直してきたところが大きいのは確かです。
ただ、当社としては今後もそれでいいのかと言えば、それは違うと思います。
そんな状況を変えるべく、ミドルウェアのバージョンや動作環境を整え、高速で安全な環境として安心して運用できるWordPress専用の環境KUSANAGIを開発しました。
ところで、冒頭でも書いた通り、メンテナンスにかかる予算や工数をなかなか得ることができず、システムのOSやミドルウェアのアップデートをせずに放置しているというケースは珍しくありません。
KUSANAGIは、サーバインフラの管理も行っていますので、当然、OSやミドルウェアのアップデートの話は出てきます。では対象となるアップデートをどのように管理しているのかというと、KUSANAGIの中でWordPressだけでなく、OSやミドルウェアなどのバージョン管理を行い、公式ディレクトリにあるバージョンとの差分管理やCVEの状況などを自動抽出できるような形にしています。
そのため、アップデートの有無を管理し易くなってはいるのですが、現状では自動アップデートには対応していないため、日々一つ一つ個別に確認して対応しています。この点は多くのシステムと同じです。
AI、LLMを活用した完全自動アップデート機能で、危険なシステム化を防ぐ
ただ、アップデートが必要な個所の把握はしやすいものの、どうしても工数はかかってしまいます。
これを解決する手段として、昨今、発展が目覚ましい言語モデルやAIを活用することで、これらのアップデート作業を自動化させるアプローチもあるのではないかと考えています。
ちなみに、自動アップデートでどこまでの範囲を実施するかについては、レイヤーごとの問題もありますし、アプリケーション側の造りによる部分もあると思っています。
例えば、アップデートに関して、人間がやっていることと言えば、検証環境を用意して検証し、問題がなければ本番環境に適用するという行動です。この検証部分を、コンテナ化した1つの環境でバージョンアップデート前とアップデート後の環境を作り、その差分から出てくるエラーなどを、AIに診断させ、アップデートの判断をするという事もできるのではないかと思うのです。
もちろん、PHPやJavaなどのアプリケーションに大きく影響が出る可能性があるところでは適さないかもしれません。ですが、それ以外のミドルウェアやデータベースなどに関しては手段を確立できれば自動アップデートが適用できるのではと考えていますし、実現できれば、ある程度の範囲までアップデートの動作検証を行えるようになりますので、多くの作業工数を軽減させることができます。
それを考えれば、もしかしたらPHPなどの言語部分に関しても、エラー差分や動的処理の動作、外形監視などの差分検証という形を取れば、ゆくゆくは実現できるようになるかもしれません。
さいごに
システムの自動アップデートは各社まだまだやり切れていない分野だと思いますが、今後あるべき姿として目指していくことで、SIerやWeb担当者の工数はだいぶ軽減できるはずです。現状では完全自動アップデートは特定のシステムに限られますが、近い未来に、こうした自動アップデートをはじめとした機能が主流になるのでは考えています。
そして、ゆくゆくは多くのお客様が、次の基盤を選択する際に、引き続き当社のKUSANAGI環境も選択肢として選んでいただけるよう、技術発展に貢献してきたいと思います。
