LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック
ラックピープル | 

CMSのセキュリティ対策とJamstackというアプローチ

企業のオフィシャルサイトや、情報発信や集客を目的としたキャンペーンサイト、そしてECサイトの更新業務では、コンテンツ管理システム(CMS)が必須のツールです。その手軽さから多くのサイトで利用されるCMSですが、バージョンアップやパッチ適用などセキュリティ運用対策の不備が原因で、コンテンツ改ざん等の被害が発生しています。

この状況を踏まえて、システムのセキュリティ対策サービスを提供しているラックと、CMSなどを用いたWeb開発のスペシャリストであるトライビート社が共催したセミナー「コンテンツマーケティングとECサイトをサイバー攻撃から防ぐ手段」の内容をご紹介します。CMSのセキュリティ対策の参考になれば幸いです。

【オンライン】コンテンツマーケティングとECサイトをサイバー攻撃から防ぐ手段

CMSを取り巻くサイバー攻撃の脅威と傾向

セミナーでは最初に、ラックでシステムセキュリティスペシャリストとして活躍する永井 英徳が「CMSを取り巻くサイバー攻撃の脅威と傾向」について解説しました。

国内のWebサイト開発の8割で活用されているWordPressを例にすると、2020年にJVNに登録されたWordPressの脆弱性は18件、プラグインやテーマの脆弱性は218件でした。2日に1件以上の割合で脆弱性が報告されていることになります。

※ Japan Vulnerability Notes:IPAおよびJPCERT/CCが2004年から運用している脆弱性対策情報ポータルサイト。
https://jvn.jp

WordPress自体の脆弱性は18件、WordPressのプラグインやテーマの脆弱性は218件、2020年1年間だけでも2日で1件以上の報告
WordPressを狙った攻撃

脆弱性への基本的な対策方法は、公式のドキュメント群に掲載されていますが、重要なのは適切な運用・管理を継続して行うことです。その際のポイントは「脆弱性の情報収集」、「パッチ管理・アップデート対応」、「サポート外となったプラグインやテーマなどの個別対応」です。CMSで構築されたコーポレートサイトやキャンペーンサイトは、個人情報を保有しないケースがほとんどです。このため、自社の個人情報保護規定に基づくシステム運用ガイドラインなどと照らして、企業のセキュリティ対策の管理対象外となっている場合も多いことから注意が必要です。

セキュアなCMS環境構築:Jamstackというアプローチ

続いて、株式会社トライビートの後藤 恭智様と岩﨑 佑様より、セキュアなCMS環境構築方法としてJamstackを用いた「リスクポイントを外に出さない」アプローチについてご紹介いただきました。

株式会社トライビート

JamstackとはJavaScript、API、およびMarkupの略でここ最近で普及しはじめているアーキテクチャです。このJamstackを用いたリスクポイントを外に出さないアプローチは、CMSにより動的に生成されるWebページを静的コンテンツとして出力し、オブジェクトストレージ(Amazon S3など)とCDN(Amazon CloudFrontなど)にホスティングします。ブラウザから直接アクセスできない場所にCMSを置くことでセキュリティ面に配慮すると同時に、静的ファイルを読み込むことでパフォーマンス面の向上も期待できます。

要件によっては無理が生じることがある、静的化プラグインのメンテナンスに懸念(必要によって自ら手直し)、WP(プラグイン)の状態管理など属人化する部分の課題は解決していない
リスクポイントを外に出さない構成案の課題
Jamstackの構成案
Jamstackの構成案

後藤氏によると、ここ数年で静的ファイル出力が各種フレームワークの標準機能として実装されるなど、Jamstackを構築しやすい技術やサービスが整ってきているそうです。ECサイトなど様々なサイトの構築が可能ですが、特にコーポレートサイトやキャンペーンサイトなど、参照がメインのWebシステムに非常によくマッチしているとのことです。また、アーキテクチャによってリスクを軽減できるため、CMSのセキュリティ対策として十分な運用体制や要員確保ができない場合にも有効なアプローチと言えます。

ビジネスそのものに成長したWebシステムを、いかに保護するのか

最後に「CMSとセキュリティ」を題材としてパネルトークを実施しました。パネリストは、最初のセッションを担当したラックの永井と、トライビート取締役CTOの高桑 克幸様です。モデレータはラック執行役員CTOの倉持 浩明が担当しました。

パネルトーク:CMSとセキュリティ、パネリストはラックの永井、トライビート取締役CTOの高桑克幸様、モデレータはラック執行役員CTOの倉持浩明
パネルトーク

永井から、「CMSには個人情報や重要情報が含まれていないと認識されており、企業のセキュリティ管理対象から外れてしまっていることが多い」と、重ねて注意喚起がありました。情報システム部門やセキュリティ管理部門が関与しない「野良サイト」が生まれてしまう原因になります。今回のセミナーでご紹介したJamstackというアプローチを用いることで、CMSの運用面で考慮すべきポイントをクリアできます。

高桑氏によると、静的なコンテンツを出力するというアプローチは以前からもありましたが、Jamstackの特徴はクライアント側でリッチなUIが実現できる点にあるということです。フロントエンドの果たす役割が多くなるので、エンジニアはよりユーザー体験を意識した開発をしていかなければならないと提言がありました。また、ECサイトなどでJamstackを活用することでセキュリティを含めた運用・保守の非機能要件をコンパクトにすることが期待できるとのことです。

さいごに

もしCMSの運用課題を抱えているようでしたら、Jamstackを用いたアプローチを検討してみてはいかがでしょうか。なお、今回のセミナー資料はこちらからダウンロードできます。また、Webシステムのセキュリティ対策に関するご相談やCMSサイト構築のご相談についても、お気軽にお問い合わせください。

お問合せ

「コンテンツマーケティングとECサイトをサイバー攻撃から防ぐ手段」
登壇資料ダウンロード

「Webシステムのセキュリティ対策に関するご相談やCMSサイト構築のご相談」に関するお問い合わせ

この記事は役に立ちましたか?

はい いいえ