セキュリティ対策を中心とした保守サービスのススメ|WD ONLINE

WD Online

セキュリティ対策を中心とした保守サービスのススメ 多種多様な保守事例を手掛けてきた制作会社が語る

大手企業に対するセキュリティ保守事業が評価され、「J-Startup NIIGATA※」にも選ばれているtaneCREATIVE株式会社。これまで数多くのWebサイトの制作・保守を担ってきた同社がおすすめするセキュリティ対策とは? 実情を交えながら話を聞いた。※グローバルに活躍するスタートアップを創出するために経済産業省が2018 年に開始したJ-Startupプログラムの新潟版

taneCREATIVE株式会社
https://tane-creative.co.jp/

榎 崇斗
taneCREATIVE株式会社代表取締役

 

セキュリティ保守が一筋縄ではいかない背景とは?

Webサイト制作と保守の二本柱で事業を展開するtaneCREATIVE株式会社。昨今、Webアプリケーションだけでなく、OSからミドルウェアの保守までワンストップで引き受ける事例が増えているという。その理由について、同社の代表取締役であり、クライアントのWebコンサルティングも担当する榎崇斗さんはこう話す。

「Webサイトは多くの技術を組み合わせてつくられており、その一つひとつに脆弱性があります。脆弱性解消のためにはバージョンアップが必要ですが、例えばミドルウェアのPHPのバージョンを上げると、PHPで開発されたCMSであれば影響を受けますし、さらにCMSで構築されたWebシステムも影響を受けることになります。セキュリティ保守と一言でいっても、バージョン管理だけでなく、Webアプリケーションの修正作業が必須であり、そこまで一気通貫で保守できる会社が非常に少ないのが現状です」

Webサイトが動かなくなることを懸念し、バージョンアップを行わないケースも多いと榎さん。しかし、バージョンアップ管理を怠ることは、セキュリティリスクにも関わる話だ。

「企業のWeb担当者の方も、そのリスクは認識されていて、一気通貫で対応できる当社への問い合わせが増えているのだと思います」

 

セキュリティ対策のキホンは脆弱性を解消すること

セキュリティ保守に関する相談の中でも、特に多いのはWordPressで構築されたWebサイトへの攻撃に関するものだと榎さんは話す。

「誤解がないように申し上げると、WordPressは非常に堅牢なCMSです。しかしオープンソースということもあり、とにかく狙われやすい。また、プラグインを利用すれば初期費用を抑えて開発できるという利点がある一方、プラグインを多数入れてしまうと、更新が止まってしまうものが出てきます。WordPress本体のバージョンを上げると、更新が止まったプラグインが動かなくなってしまうため、WordPress本体のバージョンを上げられない。それが原因で攻撃を受け、相談に来られる事例も多くなっています」

そのため、パッケージ型の制作に携わる場合、原則クローズドなCMSを推奨しているそうだ。

また同社では、ECサイトの制作にも多く携わっている。ECサイトの基本的な構造はパターン化されており、榎さん曰く、SaaSを利用することが多いという。しかし、購入者を限定したいなど、特殊な要望がある場合には、スクラッチでの開発が必要となる。

「弊社でECサイトをスクラッチで開発する際には、品質管理の一環として成果物に対する脆弱性診断を行い、脆弱性を解消してから納品しています」

なお、同社では「VAddy」という脆弱性診断検査ツールを活用し、それをお客様に契約してもらっているそうだ。

一方、SaaSやECサイト専用のCMSを使えば、サービス側で対策が組まれているため、脆弱性診断は必ずしも必要ではないと榎さん。

「ただし、脆弱性対策が弱いサービスがあることも事実です。しっかりと対策を行ってくれるサービスを選ぶことが重要です」

 

動的CMSが使える静的サイトで使いやすさとセキュリティを両立

これまでに紹介したセキュリティ対策に加え、現在では、静的なWebサイトを出力可能なCMSを構築するのが潮流になっていると榎さんは言う。

「通常の動的なWebサイトの場合、ユーザーが『このサイトが見たい』とクリックすると、Webサーバにリクエストが送られます。その都度データベースから引っ張ってきたデータを組み合わせてページを表示しているため、Webサーバは原則公開領域に置く必要があります。そのため、サイト経由で攻撃されるリスクがあるのです。そこでWebサーバをそもそも公開しないという手法があります。ではどうやってページを表示させるのかというと、当社では、ページをすべて静的に吐き出し、それを30分に一回バッチ処理で更新したり、静的サイトジェネレーター(SSG)という技術で書き出す方法を採用しています」

ECサイトのようにリアルタイム性が要求される場合には難しいものの、一般的なコーポレートサイトなどであれば実現しやすい。一点、管理画面への入口は守る必要があるが、この点についても問題なくクリアできると榎さんは話す。

「例えばクラウドサーバの場合、管理画面に入ってコンテンツを追加し、更新するときだけサーバを動かせばいいですよね。そこで、セキュリティ対策として日本のビジネスタイム以外の時間はサーバを落としていることも多いです。加えて、しっかりとIP制限をかけてガードしていく方法をとっています」

この方法であれば、高いセキュリティレベルを構築できるほか、表示速度の高速化を実現しSEO対策としても優れる、サーバ費用を抑えられるなど、多くのメリットがあると榎さん。各企業のWeb担当者からも好評で、複数の大手企業に納入されているそうだ。

 

社内外の役割分担を決めておくこともセキュリティ対策として重要

もう一つ、セキュリティ対策としては、脆弱性を解消する以外に、そもそも攻撃を避ける対策もあると榎さんは語る。

「例えばソースコード上からWordPressの痕跡を消去し、WordPressを利用していることを隠すことで、狙われにくくすることは可能です。また、管理画面へのログインURLをガードしたり、ログインの難易度を高める方法もあります」

その他、ファイアウォールでの防御も欠かせない。特に今、WAFの進化が非常に進んでおり、設定は必須だという。

「WAFに関しては、多くのホスティングサービスにおいて無料で標準装備されています。しかし、画一的な対応しかできないものが多いのが現状です。そのため、サイトにあわせてカスタマイズし、誤検出を少なくできる外部のクラウドのWAFを使うことをおすすめしています」

しかし、ここまで対策したとしても、万全のセキュリティを築くのは非常に難しいという。そのため、有事の際に迅速に対応できる体制を整えておくことが何よりも重要だと榎さんは話す。

「我々としては、企業側とシステム開発会社、Web制作会社の3社で役割分担を組むことを推奨しています。加えて、何か問題が発生したときに、誰が原因を切り分け、どこに報告して、誰がどんな行動をするのかといったエスカレーションフロー図をしっかりつくることも大切です。とはいえ、企業側だけで検討するのは非常にハードルが高いのは事実です。当社ではそういったアドバイスや、チェックすべき項目をまとめたガイドラインの配布を行っていますが、すべての制作会社が対応できるわけではありません。企業側としては、そういった部分まで相談できる、信頼のおける制作会社を見極める力を身につけていただくとよいのではないでしょうか」

この記事を見た人はこんな記事も見ています