こんにちは、プライム・ストラテジーの取締役の池宮です。
今回は、Webサイトを運営されている企業の課題感について具体的な事例を使ってご紹介していきます。私がお客様のご支援をする中で見えてきたものをできるだけ具体的にお伝えしていきます。
- セキュリティ対応として、OS・ミドル・アプリケーションそれぞれ必要
- WordPressのセキュリティ対応として大きく2つの注意点が存在
- WordPressのサイバー攻撃の3ケース
- どのように対策を取るべきか
Webサイト運営を全て対応できるエンジニアはなかなかいない。難しいセキュリティ対策の実情
Webサイトを運用するというのはとても大変なことです。特に、企業が運営しているアクセスも多く会社の看板を背負っているサイトならなおさらです。そんなWebサイト運営、大きな困りごとのひとつに、セキュリティの強化や担保が挙げられます。
ただ、「セキュリティ」と一口に言っても、対策しなければならない対象は複数あります。
例えば、サーバなら、OSのアップデートが必要です。サーバで言うOSとしてはLinuxが多いので記事をご覧いただいている皆さまもLinuxのOSを利用されている方がかなりいらっしゃると思います。
ただ、OSの中には、OS自体がEOL(サポートの終了)を迎えているケースもあります。
次に、その上の層となるWebサーバやデータベース、プログラム言語を動作させるミドルウェアのアップデートも必要です。
ミドルウェア層のさらにその上の層には、WordPressやMovable TypeなどのCMS、スクラッチ開発したシステムなどのアプリケーションが搭載されているアプリケーション層となりますが、ここでもアップデートは必要です。
このように、セキュリティ対策が必要な対象は一つ上げればキリがありません。ですが、どれか一つを対応すればいいというものでもなく、それらのすべてに依存関係があるケースは多々あります。
例えば、WordPressをアップデートしようとしても、使用しているPHPのバージョンが新しいWordPressのバージョンに対応していなければPHPも一緒に上げなくてはなりません。WordPressだけアップデートしたら動かなくなる可能性があります。さらに、それに伴って関連するミドルウェアもバージョンを上げなくてはならなくなった、、、ということはご支援している中でもよく起こる話です。
つまり、それぞれの関連をきちんと理解し、対処せずにアップデートを行ってしまうと、データの破損などの重大な事故が起きてしまう可能性は高まりますし、それらの事故も想定していたものよりも、大きなものになって、結果としてコストやリスクがさらに大きなものになってしまう事もあります。
こうした背景から、Web担当者の手に負えなくなってしまい、放っておかれているというケースは珍しいものではありません。もちろん、社内で対応するエンジニア自身がサーバやセキュリティに対する知識や技術に明るい人であれば問題はありませんが、ネットワーク層からアプリケーション層までを一貫した知識や技術を持ち、問題なくアップデートなどの対応ができる人が、それらを専門としない企業に所属しているケースは珍しいというのが実情です。
結局、WordPressは企業サイトで使うには危険なの?
企業の担当者様にお話を聞く中で、よくあるのが「WordPressは危険」というものです。
皆さんも聞いたことがあるのではないでしょうか?
しかし、多くの企業様のWordPressサイトのご支援をしてきた側としては、はっきり言えます。実のところWordPress自体が危険というわけではありません。
それではなぜ、危険と言われているのか。
その原因は、以下の状況によるものだと考えています。
- プラグインを含めたアップデート対応がきちんと行われていない
- セキュリティホールが空いたままの設定になっている
ただ、これはWordPressだけではなくどんなアプリケーションにも当てはまることですよね。
上記の状況を解消するための秘訣はこちらです。
- CVEに沿ってきちんとプラグインも含めてアプリケーションをアップデートする(セキュリティホールを埋める)
- 放置せずにきちんと定期的なメンテナンスを行う
ちなみに、当社にもセキュリティ関連のお問い合わせは多々頂きます。それらの中には、すでに改ざんなどの被害を受けてしまっていたと認識しているケースもあれば、お客様自身が被害を受けていたことを認識していなかったケースもありました。
こうしたWordPressに対するサイバー攻撃ですが、侵入経路はケースバイケースで、大きく分けると3種類あります。
- WordPress自体の脆弱性を突かれるケース
- プラグインの脆弱性を突かれるケース
- WordPressの管理画面が保護されておらず、ブルートフォースアタックを受けたケース
これらの経路から侵入してきた攻撃者によってフィッシングサイトへのリンクが設置されていたり、サーバにバックドアが仕掛けられていたり、管理者の知らないユーザーが追加されていたり、削除されていたり、といった被害が見つかっています。
こうしたケースに対して当社は、「いつ侵入されたのか」、「侵入経路はどこだったのか」、「バックドアや攻撃的なソースが何か仕掛けられていないか」などのポイントを機械的に検知・調査した上で、さらに人の手でも確認します。
最終的に、それらの問題点を排除した状態までもっていった後に、通常の運用に移行するという事を行っています。
ただ、サイバー攻撃の手法というのは日々変化するものなので、攻撃されたサイトを100%安全な状態にするというのは難しいため、その時点で出来うる限りの対策を打っていくということになります。
ところで、アップデートしないことによるデメリットはサイバー攻撃に対するリスクだけではありません。
それぞれのモジュールやフレームワークのアップデートで追加された最新の機能を活用できないことにもあります。
具体的には、ツール系ならUI/UXがより使いやすい良いものになっていたり、PHP言語という面で見れば動作のアーキテクチャが変更になったことによる処理速度が大幅に改善されていたり、というメリットがあります。
セキュリティ面だけでなく、サイトの機能や速度改善につながりますので、基本的に各モジュール群が提供している最新版への移行を推奨しています。
特にPHPの7系から8系に変えることで速度が上がるという話を知らない方が多いので、ぜひ注目してみていってほしいと思っています。
WordPressサイト運営は自社のセキュリティが担保された状態から
ここまで、サイトのセキュリティ対策の大変さや複雑さについてお伝えをしてきました。インターネットを使って世界に配信しているのがWebサイトです。当然悪いことをしようと考えている人も寄ってきます。
ですので、財産であるサイトを守っていくのも皆さん自身です。
しかし、なかなか自社やチームのリソースだけでここまでの対応をしようと思うとかなり大変でもあります。そこで、選択肢としては当社プライム・ストラテジーにご依頼いただくことが解決手段です。
フルマネージドのWordPress保守運用サービス⇒https://kusanagi.biz/managed-service/
当社は自社の基盤を構築しているだけでなく、プロダクトを持っている企業です。また、これまでずっとWordPressのインテグレーターとしてアプリケーションを構築してきた実績もありますので、どのレイヤーに対してもセキュリティを担保したアップデートを含めたメンテナンスを行うことができます。
脆弱性が見つかった時点で、システムがそれを即座に検知するような仕組みを作っていますので、迅速で適切なアップデートを行っています。平時であれば、メンテナンスの基準を提案し、お客様ごとに適切なサイクルでのメンテナンスを提案、実行しています。WordPressに対しても、長きにわたる運用経験だけでなく、セキュリティを含めた最新情報を常に取得していますので、安全に運用していることも特徴です。
また、当社が開発しているWordPressの高速実行環境『KUSANAGI』自体が持つ機能として、WAFやIDS/ IPSがありますので、運用段階ではそれらの機能を利用することで、より、リアルタイムに動的にセキュリティを担保することができます。この辺の詳細については次回以降、どこかでお話しできればと思います。
もし、日々の運用の中で、他の業務に集中したいのに雑多な作業が多くて困っている、手間に感じている作業があるといったお悩みがあるようでしたら、ぜひ当社にご相談ください。
【WordPress保守運用サービス】
高速かつセキュアなサーバー運用管理・保守なら、プライム・ストラテジーにお任せください!
【著者】
KUSANAGI事業部 管掌取締役/部長
池宮 紀昭
https://www.prime-strategy.co.jp/about/member/ikemiya_noriaki/
プライム・ストラテジーでは、Web担当者様、IT担当者様などの
お役立ち資料やYouTube動画を公開しています。ご興味ある方はぜひご覧ください。