「アップデート対応にエンジニアの工数が全くかかっていない」エンジニアの兼任少人数体制でも抜け漏れのないWebセキュリティ対策をKUSANAGI Security Editionの自動化と可視化で実現！

WordPressで作られた、技術コラム『KUSANAGI Tech Column』

「KUSANAGI Tech Column」は、KUSANAGI開発チームのエンジニアが中心になって、エンジニア等の技術系読者に向けた情報を発信するプライム・ストラテジーの技術系オウンドメディアです。

『KUSANAGI』はWordPressを始めとしたCMSを高速&セキュアに動かすための実行環境で、「Business Edition」、「Premium Edition」、そして「Security Edition」の３つを展開しており、2025年には、昨今のサイバーセキュリティ被害の増加をふまえ、「Security Edition」がラインナップに加わりました。

今回、『KUSANAGI』の開発に携わっている、企画開発担当執行役員の相原知栄子さんに「Security Edition」と「KUSANAGI Tech Column」についてインタビューしてみました。

また、アップデートやマルウェア、アンチウイルス対策、セキュリティ監査の結果をメールで送信するKUSANAGI App（クサナギ・アップ）というSaaS型サービスを併せて提供しています。これは、様々な環境で使っているKUSANAGI Security Editionを一箇所でまとめて管理することができるものです。

IT担当者には詳細な情報を、Webサイト担当者には概要を、といった情報送信ができるようになるので、、適切な情報が適切なひとに届くというセキュリティに関する可視化が実現できます。

画像の右下のようなメールが届き、詳細はリンクにアクセスすることで対処方法などの情報が得られるようになっています。

KUSANAGI Security EditionはWebサイトのセキュリティでお困りの多くの方にとってお役に立てる製品だと考えています。そんなSecurity Editionを今回、「KUSANAGI Tech Column」に採用し、運用することにしました。

専任担当がいない中で、開発業務を止めないためにWebサイトの運用を極力効率化する必要があった

今回、「Security Edition」を「KUSANAGI Tech Column」に採用した背景として、増加するWebセキュリティの問題と社内の工数削減の問題がありました。

「KUSANAGI Tech Column」はWordPressを使っているため、WordPress側のセキュリティ対策とサーバ側のセキュリティ対策が必要になります。

このセキュリティ対応と実際の社内リソースのバランスを取るのが難しく、体制を含めた効率化を抜本的に行う必要があったといいます。 相原さんはこのように話しています。

『KUSANAGI Tech column』というサイトは、プライム・ストラテジーが開発提供をしているKUSANAGIだけではなく、サーバ、アプリケーション、WordPressなどについての技術的な情報を発信しているオウンドメディアです。私たちKUSANAGIの開発メンバーが持ち回りで書いており、主に技術者の方に読んでいただくことが多いですね。

実は『KUSANAGI Tech Column』はSecurity Editionを一般提供開始前の1月から導入しています。
オウンドメディアなので個人情報を扱うことはないですが、当社ではサーバ側のセキュリティはとても重要だと考えています。

もともとある程度のセキュリティ対応はしていましたが、何かあったらエンジニア本業を止めて対応するという運用でした。私のチームではKUSANAGIの開発を担当しているため、自社Webサイトへの対応が発生すると、KUSANAGIの開発を止めることにもなります。
これは大きな問題です。お客様向けのセキュリティソリューションとして開発をしたSecurity Editionを運用テストも兼ねて、「KUSANAGI Tech Column」に先行して導入することにしました。

「アップデートの対応を選ばなくて良い」。エンジニア工数が大幅削減！

Security Editionを利用し始めてからいくつかのアップデートが自動で行われたのですが、そこにはエンジニアの工数は全くかからなかったといいます。

Security Editionでサーバ側の自動アップデート対応やセキュリティ状況のレポート発行などの機能を持っており、エンジニアがサーバのセキュリティ対策にかける時間が大きく解消されたことが理由です。

2025年1月の1ヶ月間で、自動アップデートの回数は12日間ありました。12日の内、土日は3日です。その中では、OSのパッケージで32、KUSANAGIのパッケージで10が自動アップデートされていますが、システムへの影響は無く通常稼働を継続しています。

Security Editionにはサーバ側の自動アップデート対応のほかにセキュリティ状況のレポートなどの機能があり、エンジニアのセキュリティ対策に関する負荷が大きく解消したそうです。

当社には、自社のWebサイトを専任で管理するエンジニアメンバーはいません。チーム全員が本来の開発業務を行いながらWebサイトの対応もするという状況でした。

Security Editionのおかげで私たちの中ではサーバ側のアップデートのことを気にしなくても良くなったというのが大きいですね。Security Editionが自動的に対応してメールで通知を上げてくれるのでそこを見ておけば大丈夫という状態になったのは思っていた以上の効果でした。

一般的にはOSやミドルウェアをアップデートするとなった際に、何をどれだけどのタイミングで誰が実施するのかの議論をして対応することになります。そこをSecurity Editionを使うことで、自動アップデートやレポーティング機能によって「アップデートの対応を選ばなくて良い」という状態になります。
「やるやらないの議論」や調査には含めて時間がかかり、次の脆弱性が出てしまうということになると大変です。

このような議論が不要になる、ということは、もちろん狙ったことではありましたが、実際にSecurity Editionを使ってみて、すごくすっきりするな、と感じました。

今後の「Security Edition」の進化に乞うご期待

インタビューの最後に、これからの「KUSANAGI Security Edition」の展望について相原さんに伺いました。

現在のSecurity Editionは、OS・ミドルウェアのアップデートの中でもマイクロアップデートやマイナーアップデートでアプリケーションに影響がほとんど無いものを対象としています。今後はPHPのマイナーアップデートやメジャーアップデートのようなところまで対応ができるような形にしていきたいと考えています。

そうなると重要なことはテストとエラー時の対応だと思います。通常、アップデートをするためにはテストが必要ですが、そのテストもSecurity Editionの機能として実装することでより安心してアップデートしていただけるようになります。また、万が一アップデートによるエラーが生じてしまった場合には、アップデート前の状態への巻き戻しをすることで問題を防ぐ仕組みも計画中です。

また、KUSANAGI Appの方について、現在はメールでの通知という形ですが、今後はKUSANAGI Appの機能として情報の可視化機能を充実させていく予定です。

ぜひご期待いただきたいですし、ご興味ある方は『評価版』として無料のトライアルライセンスの提供や無料相談会も開催していますのでぜひご活用ください。

KUSANAGI Security Editionは、まず無料でお試しいただける『評価版』を提供しています。また、開発メンバーとの無料個別相談会も開催中です。詳細は以下のURLからご確認ください。

KUSANAGI Security Editionと評価版』について：
https://kusanagi.tokyo/edition_and_upgrade/kusanagi-security-edition/

KUSANAGI Security Edition無料個別相談会：
https://calendly.com/chieko-i4s/new-meeting