WD Online

特集一覧 Web Designing 2019年4月号

Web制作のプロが教えるCMSとセキュリティ“9つ”の金言 これって気にしてる?

CMSを導入・運営する際に情報セキュリティ要件の設計は重要です。「HeartCore」など商用CMSの構築実績を多数持つ株式会社キノトロープの高橋輝さんに考慮すべきセキュリティのポイントについて聞きました。

(1)タダほど高いものはありませんよ!

CMSは「WordPress」に代表されるオープンソース(以下OSS)型のCMSとライセンス販売などで提供される商用CMSに大別されます。しかし「OSS型CMSは商用利用ではむしろセキュリティコストは高くなります」とキノトロープの高橋さん。

それというのもOSS型CMSは基本無償か廉価で提供されるメリットがある一方で、多くの利用者がいるぶん攻撃に晒されやすいという弱点があります。新たな脆弱性が発見された場合も、商用CMSであればメーカーが対応しますが、OSSでは開発コミュニティによる修正アップデートによる対応を待つことになるため情報セキュリティのリスクが高まります。

制作会社とのサポート契約の内容にもよりますが「小規模に運用したい場合など、ごく限られた例を除いて、基本的に弊社ではWordPressで開発することはありません」と高橋さんは言います。

afc9081e8adec696d58ea95001d884a3.jpg
脆弱性対策情報のデータベース「JVN iPedia」でWordPressに関する脆弱性を検索すると、2018年だけで176件報告されています。その多くは拡張プラグインの問題によるものです 

 

(2)つくりっぱなしで満足してませんか?

CMSは導入してWebサイトを公開したら終わりではありません。コンテンツを投稿し内容を充実させると同時に、CMSソフトウェアなどの「サポートライフサイクル」を考慮した中・長期的なシステムを計画・実施していく体制が重要です。

製品サポートが切れてもCMS自体は問題なく動いているように見えることがあります。その場合、古いバージョンを利用し続けることになるため、既知の脆弱性についても放置されたままになってしまうことがあります。

また、脆弱性を突かれて「Webサイトの改ざん」のような目に見える被害よりも、サーバをスパムメールを発信する「踏み台」にされるなど目に見えない被害のほうが露見しにくいため深刻です。そうした問題を防ぐには、運用中にサポート期限切れや更新の空白期間が発生しないよう「保守計画」を立てることが必要です。

 

(3)まさかデフォルト設定で運用してませんか?

サーバにインストールし、複数ユーザーがログインして投稿するタイプのCMSでは、管理画面を初期設定のままにしておくとユーザー名やパスワードが推測されクラッキングの被害に遭いやすくなります。

CMSを管理するうえでは基本的なことですが、管理ユーザー名やディレクトリを初期設定のままにしないことが重要です。また、会社のIPアドレスからのみログインできるようにアクセス制限を行うのも効果的です。

これはどのCMSにもほぼ共通して言える対策で、例えばWordPressの場合は「/wp-login.php」と「/wp-adminディレクトリ」が攻撃の対象となりやすいことが知られています。WebサーバがApacheの場合は.htaccessを、Nginxの場合は設定ファイルにアクセスを許可したいIPアドレスを追記し、それ以外のIPアドレスからアクセスできないようにしておきましょう。

7a63627256583f27374ef9953bd0ef53.jpg
WordPressのログイン画面をインストール時のままにしておいたり、アクセス制限をかけないことでセキュリティ上の弱点となります

 

(4)担当が変わっても管理を継続できますか?

組織によっては、すでに長期間CMSを運用しているケースもあります。その場合、CMS設置時とは管理者が変わっていることもしばしばあります。もちろん業務の引き継ぎが適切に行われていれば問題ありませんが、運営体制が整っていない組織では管理責任の所在が曖昧となり、結果的に情報セキュリティ上のトラブルが発生する危険性が高まります。

技術的なことはもちろん、運営体制がどうなっているのかを明確にしておくことが重要です。

下記にサーバの運用形態ごとの管理対象項目の一般的な例を紹介します。自社サーバよりもレンタルサーバ、レンタルサーバよりもSaaSのほうがWebサイト担当者の管理項目は少なくなり、セキュリティが高まります。一方で、運営サイドからのカスタマイズ性が低くなることもあります。

be38af22fe4fd0f843bfee59c41d1c4c.jpg
Webサーバの主要管理項目
サーバの運用形態によって管理の主体やメンテナンスの責任範囲が変わることがあります (HASHコンサルティング 徳丸浩氏の資料を元に作成)

続きを読むためにはログインが必要です。
マイナビBOOKSの「WD Online全文購読サービス」(有料)をご利用ください。

マイナビBOOKSへの新規会員登録もこちらから。

定期購読者はオンライン版が読み放題 !!
雑誌『Web Designing』の定期講読者には、
WD Onlineの全文購読サービスを無料でご提供しています。
詳しくは「定期購読のご案内」をご覧ください。

掲載号

Web Designing 2019年4月号

Web Designing 2019年4月号

2019年2月18日発売 本誌:1,530円(税込) / PDF版:1,200円(税込)

CMSの見直しで、Web品質と業務・組織を改善せよ!

サンプルデータはこちらから

■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

Webビジネスの成否に直結する!

CMS 2.0
新時代の常識

顧客との接点やエンゲージメントを高めるために必須のWebサイト。
その基盤となるCMSを、予算や自社都合だけで選んでいませんか?


■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■■

今や企業サイトの6割以上がCMS(コンテンツ管理システム)を導入していると言われています。
専門知識がなくてもサイトの更新や管理ができるのが特長のCMSですが、
これをただの「サイト運用ツール」だと思っているなら、
それは大きな機会損失を招いている可能性があります。

顧客へ認知やエンゲージを高めるために必須であるWebサイト、
そのコンテンツを有効に活用するための基盤となるCMSは、
今後のWebビジネスの勝敗を左右する大事なポイントなのです。
さらに、今あるサイト運用上のさまざまな課題も、
CMSを理解することで解消されるのです!


また、現在CMSと呼ばれるものは3,000以上存在しています。
中には業界や用途に特化したものもさまざまです。
そんなCMS、予算や担当部署の都合だけで簡単に選んでいませんか?

では、CMSをビジネスの基盤とし、武器として120%活用するためにはどんなことを考え、
どんな準備や選考基準が必要でしょうか。
そして、限られたリソースや少ないコストで成果を出すにはどうすればいいのでしょうか。



Web Designing 4月号(2月18日発売)では、
新規Webビジネスを立ち上げる際、どんなCMSを選べばいいか、今やりたいことを実現させるために
CMSを乗り換えるならどうすればいいか、既存のCMSをもっと活かすにはどうすればいいかなど、
もはやWebビジネスに欠かすことができないCMSの
これからの活かし方や課題の解決方法をさまざまなシチュエーションに立って解説します。


【対象読者&課題】
■とりあえず無料のCMSにしてみたものの、実際の運用にさまざまな課題が出てきた
■現在自社に導入されているCMSでは、やりたい新規Webビジネスが思うように実現できそうにない
■運用の使い勝手がいいCMSが知りたい
■予算は少ないが、企業サイトだけに素人が適当に作るのは抵抗がある
■CMS構築及びWebサイト制作、そしてその後の運用まで信頼できるパートナーを見つけたい
■「自社で簡単に作れる」という触れ込みを鵜呑みにした結果、現場が混乱&疲弊している


【予定内容】
●CMSこそがWebビジネスの勝敗を左右する

●CHAPTER1 CMSを“知る”
  01_CMSの定義や仕組みを知る
機能の違いやトレンド
02_WordPressが選ばれる理由と利用時の注意点
機能性、開発力で課題を解決
03_CMS導入がもたらすビジネスメリット
投稿の質と働き方を向上

●CHAPTER2 CMSを“選ぶ”
   01_ビジネス最適化につながるCMS選びのための準備
決め手は、選ぶ前の準備作業
02_具体例で学ぶCMSの選び方
「運用」や「保守」を意識した選択

【 CMSとセキュリティ 】 Web制作のプロが教える~CMSとセキュリティ“9つ”の金言
【 編集部が厳選! 】企業サイト・メディアで安心して使える商用CMS 17選!
【 Column 】 管理画面を変えたUXデザイン
【 Column 】 Webサイトのセキュリティのために~知っておきたいハッカーのこと

●CHAPTER3 CMSを“運用/活用する”
01_中長期的に考えるCMSの運用と体制づくり 
持ち腐れにしない、積極的な活用を!
02_これからの新常識は「CMSマーケティング」だ! 
まだWebサイトの更新にしか使ってないの?

【 CaseStudy 】 CMSで実現したリード獲得と新たな営業フロー/「Hint Clip」 共同印刷

ほか

この記事を見た人はこんな記事も見ています