-
タグ
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR
企業のオフィシャルサイトや、情報発信や集客を目的としたキャンペーンサイト、そしてECサイトの更新業務では、コンテンツ管理システム(CMS)が必須のツールです。その手軽さから多くのサイトで利用されるCMSですが、バージョンアップやパッチ適用などセキュリティ運用対策の不備が原因で、コンテンツ改ざん等の被害が発生しています。
この状況を踏まえて、システムのセキュリティ対策サービスを提供しているラックと、CMSなどを用いたWeb開発のスペシャリストであるトライビート社が共催したセミナー「コンテンツマーケティングとECサイトをサイバー攻撃から防ぐ手段」の内容をご紹介します。CMSのセキュリティ対策の参考になれば幸いです。
【オンライン】コンテンツマーケティングとECサイトをサイバー攻撃から防ぐ手段
CMSを取り巻くサイバー攻撃の脅威と傾向
セミナーでは最初に、ラックでシステムセキュリティスペシャリストとして活躍する永井 英徳が「CMSを取り巻くサイバー攻撃の脅威と傾向」について解説しました。
国内のWebサイト開発の8割で活用されているWordPressを例にすると、2020年にJVN※に登録されたWordPressの脆弱性は18件、プラグインやテーマの脆弱性は218件でした。2日に1件以上の割合で脆弱性が報告されていることになります。
※ Japan Vulnerability Notes:IPAおよびJPCERT/CCが2004年から運用している脆弱性対策情報ポータルサイト。
https://jvn.jp
脆弱性への基本的な対策方法は、公式のドキュメント群に掲載されていますが、重要なのは適切な運用・管理を継続して行うことです。その際のポイントは「脆弱性の情報収集」、「パッチ管理・アップデート対応」、「サポート外となったプラグインやテーマなどの個別対応」です。CMSで構築されたコーポレートサイトやキャンペーンサイトは、個人情報を保有しないケースがほとんどです。このため、自社の個人情報保護規定に基づくシステム運用ガイドラインなどと照らして、企業のセキュリティ対策の管理対象外となっている場合も多いことから注意が必要です。
セキュアなCMS環境構築:Jamstackというアプローチ
続いて、株式会社トライビートの後藤 恭智様と岩﨑 佑様より、セキュアなCMS環境構築方法としてJamstackを用いた「リスクポイントを外に出さない」アプローチについてご紹介いただきました。
JamstackとはJavaScript、API、およびMarkupの略でここ最近で普及しはじめているアーキテクチャです。このJamstackを用いたリスクポイントを外に出さないアプローチは、CMSにより動的に生成されるWebページを静的コンテンツとして出力し、オブジェクトストレージ(Amazon S3など)とCDN(Amazon CloudFrontなど)にホスティングします。ブラウザから直接アクセスできない場所にCMSを置くことでセキュリティ面に配慮すると同時に、静的ファイルを読み込むことでパフォーマンス面の向上も期待できます。
後藤氏によると、ここ数年で静的ファイル出力が各種フレームワークの標準機能として実装されるなど、Jamstackを構築しやすい技術やサービスが整ってきているそうです。ECサイトなど様々なサイトの構築が可能ですが、特にコーポレートサイトやキャンペーンサイトなど、参照がメインのWebシステムに非常によくマッチしているとのことです。また、アーキテクチャによってリスクを軽減できるため、CMSのセキュリティ対策として十分な運用体制や要員確保ができない場合にも有効なアプローチと言えます。
ビジネスそのものに成長したWebシステムを、いかに保護するのか
最後に「CMSとセキュリティ」を題材としてパネルトークを実施しました。パネリストは、最初のセッションを担当したラックの永井と、トライビート取締役CTOの高桑 克幸様です。モデレータはラック執行役員CTOの倉持 浩明が担当しました。
永井から、「CMSには個人情報や重要情報が含まれていないと認識されており、企業のセキュリティ管理対象から外れてしまっていることが多い」と、重ねて注意喚起がありました。情報システム部門やセキュリティ管理部門が関与しない「野良サイト」が生まれてしまう原因になります。今回のセミナーでご紹介したJamstackというアプローチを用いることで、CMSの運用面で考慮すべきポイントをクリアできます。
高桑氏によると、静的なコンテンツを出力するというアプローチは以前からもありましたが、Jamstackの特徴はクライアント側でリッチなUIが実現できる点にあるということです。フロントエンドの果たす役割が多くなるので、エンジニアはよりユーザー体験を意識した開発をしていかなければならないと提言がありました。また、ECサイトなどでJamstackを活用することでセキュリティを含めた運用・保守の非機能要件をコンパクトにすることが期待できるとのことです。
さいごに
もしCMSの運用課題を抱えているようでしたら、Jamstackを用いたアプローチを検討してみてはいかがでしょうか。なお、今回のセミナー資料はこちらからダウンロードできます。また、Webシステムのセキュリティ対策に関するご相談やCMSサイト構築のご相談についても、お気軽にお問い合わせください。
この記事をシェアする
関連記事
タグ
- セキュリティ
- 人材開発・教育
- システム開発
- アプリ開発
- モバイルアプリ
- DX
- AI
- サイバー攻撃
- サイバー犯罪
- 標的型攻撃
- 脆弱性
- 働き方改革
- 企業市民活動
- 攻撃者グループ
- JSOC
- もっと見る +
- JSOC INSIGHT
- サイバー救急センター
- サイバー救急センターレポート
- LAC Security Insight
- セキュリティ診断レポート
- サイバー・グリッド・ジャパン
- CYBER GRID JOURNAL
- CYBER GRID VIEW
- ラックセキュリティアカデミー
- すごうで
- ランサムウェア
- ゼロトラスト
- ASM
- EDR
- SASE
- デジタルアイデンティティ
- インシデントレスポンス
- 情シス向け
- 対談
- CIS Controls
- Tech Crawling
- クラウド
- クラウドインテグレーション
- データベース
- アジャイル開発
- DevSecOps
- OWASP
- CTF
- FalconNest
- セキュリティ診断
- IoT
- EC
- サプライチェーンリスク
- スレットインテリジェンス
- テレワーク
- リモートデスクトップ
- アーキテクト
- プラス・セキュリティ人材
- 障がい者採用
- 官民学・業界連携
- カスタマーストーリー
- 白浜シンポジウム
- CODE BLUE
- 情報モラル
- クラブ活動
- 初心者向け
- 趣味
- カルチャー
- 子育て、生活
- 広報・マーケティング
- コーポレート
- ライター紹介
- IR