セキュリティ対策の常識

今や、ビジネスにおいても生活においても、すっかり当たり前のものとなったWeb。企業においては、コーポーレートサイトのみならず、キャンペーンサイトやコミュニティサイト、近年ではオウンドメディアなど、さまざまな形でWebを活用する機会が増え、マーケティングの核となりつつあります。 かつてはHTMLを作るのに一苦労していましたが、今では、CMSやブログアプリケーションを利用してWebサイトを管理するのが一般的となり、運営の手間は大きく減りました。 しかし、便利になった一方で、セキュリティに関する脅威にさらされる機会が増えたり、マーケティングテクノロジーや、さまざまなプラットフォームに対応する技術へのキャッチアップが必要になったりと、企業のWeb担当者や情報システム担当者が気にかけなければならない事案も増えました。 そうした背景を踏まえ、本連載では、セキュリティ対策や最新技術など、企業がWebサイトを運用するうえで知っておきたい知識について紹介していきたいと思います。 初回は、サーバの乗っ取りによる情報漏洩などの事件が多発する現在、避けて通ることのできない「Webサイトのセキュリティ対策」を取り上げましょう。 ## 攻撃の脅威にさられる企業Webサイト 冒頭にも書いたように、多くの企業が、Webサイトを管理するためのCMSやブログアプリケーションを利用しています。そして、一般的になったことでそれを狙う攻撃者も現れたため、運用者はセキュリティへの配慮も必要となってきました。 Webに限らず、インターネット上に接続されたサーバの運用では、さまざまなリスクを考慮しなければなりません。セキュリティについての認識は広まり浸透しましたが、インターネットの普及にともない、攻撃の多様化も進み、リスクとして考えなければならないことが増えています。 サーバの乗っ取り、Webサイトの改竄や情報漏洩といったことは、依然として起きていますが、その目的はサーバそのものを対象にしたものだけでなく、マルウェアの配布やフィッシングサイトとしての利用、第三者への攻撃のための踏み台などにも使われます。 CMSやブログツールも格好の攻撃対象です。単なるコンテンツの改竄にとどまらず、最近では、メールによる標的型攻撃のための踏み台や中継サーバとして利用されることも増えており、与える影響も大きくなっています。 ## 管理者がとるべき対策とは 攻撃の脅威に常にさらされているものの、Webサイトを運営するうえでのセキュリティ対策は特別なものではありません。まずは、利用するサーバ上のOS、アプリケーションやミドルウェアを最新のものに保ち、常に安全なバージョンを利用するよう管理することが第一です。 古いバージョンのアプリケーションでは脆弱性への対応が行われていない場合があります。脆弱性を含んだままのアプリケーションやミドルウェアを利用することは大変危険です。 また、不必要なネットワーク、アプリケーションを動作させないことも大切です。アクセスログの定期的な確認や、予期しないエラー発生など問題が起きていないかを監視する定期的なチェックも重要です。 さらに、不必要なコンテンツ、データは削除し、利用していないユーザアカウントを放置しないことも大切です。不必要なデータの存在は、不正に利用される可能性、監視のコストを増大させます。 CMS やブログアプリケーションも、セキュリティ上の問題点が見つかるとバージョンアップが行われ、不具合が修正されたものが公開されます。特にMovable TypeやWordPressなどは利用者数が多いことから、古いバージョンのアプリケーションやプラグインの脆弱性を利用した攻撃ツールも存在するので、常に安全なバージョンの利用を心掛けたいところです。 ### 攻撃の具体例 - プラグインにも要注意 Movable Typeに関して言えば、古いバージョン、特にバージョン4などでセキュリティ対策を行っていないものは、ツールを使って容易にWebページの改竄やサーバののっとりが可能です。 例えば、2016年の4月には、Movable Type 用のプラグインである「ケータイキット for Movable Type」にOSコマンドインジェクションの脆弱性が発見されました。複数のWebサイトが攻撃を受け、サーバ内に格納されていた個人情報が漏洩するアクシデントが起きています。 また、WordPressでも、プラグインの脆弱性を突いたWebサイトの改竄が相次いでいます。パナマ文書流出の原因になった可能性があるというニュースは記憶に新しいのではないでしょうか。 CMS本体だけではなく、追加したプラグインが攻撃されるケースは非常に多いので、プラグインをインストールする際は、そのプラグインのバージョンや、きちんとメンテナンスが行われているかの確認も忘れてはなりません。 なお、Movable Typeにおいては、予め定めたプロダクトライフサイクルに従って、メンテナンスを行っているバージョン、メンテナンスが終了するバージョンとその時期を明示しています。Movable Typeに限らず、メーカーが定めたソフトウェアのプロダクトライフサイクルは把握しておくことをおすすめします。 また、コンテンツやWebページのテンプレートにも常に気を付ける必要があります。サービス連携、ソーシャル連携のために、他のサーバのコンテンツを利用するケースが多くあります。CSSやJavascript ファイルなどをCDN(Contents Delivery Network)などから読み込むこともありますが、サービスの仕様変更や停止などで思わぬ動作につながる可能性があります。定期的な確認を行い、不要なものは削除しておくと安全です。 Web上にはこうしたポイントをまとめたガイドラインも公開されています。例えば、Movable Typeでは、オンプレミス環境で運用される方向けのセキュリティ対策をまとめた「セキュリティ対策ガイド」を公開しています。内容は、これまでに説明したものがほとんどですが、管理画面のSSL化など、より安全に運用する方法が記載されています。 Movable Typeに限らず、CMSはガイドラインが公開されていることも多いので、読んだことのない方は一度探してみるとよいでしょう。どのガイドラインも多くはCMSに共通する内容になっているので、ぜひ参考にしてください。 ## 重大事件を経て、高まるセキュリティ意識 2014年、HeartbleedやPOODLE、Shellshockといった、広範囲に影響の及ぶ脆弱性の発見が相次いだことで、企業のセキュリティ対策への意識が高まりました。Movable Type においても、最新バージョンへの移行が増えています。 また、最新バージョンのMovable Type が動作するマネージド・サービス「Movable Type クラウド版」への移行も急増しています。Movable Type クラウド版のようなサービスを使用すると、最新版へのアップデートなどが自動で行われます。したがって、サーバ監視やバックアップなどの運用管理だけでなく、セキュリティ対策の面でも管理者の負荷を軽減することが可能です。 CMSに限った話ではありませんが、製品選定においては、搭載機能や価格だけでなく、セキュリティへの配慮も非常に重要です。運用開始後の管理まで考慮すると、結果的にコスト削減につながるケースも少なくありません。 Webサイトが改竄されたり、サーバを攻撃されたりして問題が起こると、信用に傷がつくだけでなく、自社の顧客にまで幅広く被害が出てしまう恐れがあります。それを避けるためには、日頃からの対策を心掛けることが大切です。

著者紹介

平田 大治(HIRATA Daiji) - シックス・アパート株式会社 執行役員 CTO

大手通信会社を経て、ベンチャー投資事業のネオテニーに参加。Movable Type の日本語化、執筆、講演活動などブログの啓蒙活動に取り組む。

2003年にシックス・アパートに参加し、米国本社 VP of Technology、日本法人の技術担当執行役員として、国際的な事業の立ち上げに寄与。同社退社後、ネットPRのパイオニア、ニューズ・ツー・ユーで取締役を務める。2012年10月から再びシックス・アパートに加わり現職。