1. HOME>
  2. チャネル>
  3. WordPressのエンタープライズ版?中規模サイトの構築で心がけている3つのセキュリティ対策

CHANNEL

  • シェア
  • このエントリーをはてなブックマークに追加

WordPressのエンタープライズ版?中規模サイトの構築で心がけている3つのセキュリティ対策

2020.05.30 CMS Web制作

WordPressのセキュリティ不安を解消します

企業のWebサイトを制作する際に、WordPressをCMSとして導入されるケースが非常に多く、当社では、MovableTypeやPowerCMS、スクラッチ開発などのCMSを構築することもありますが、WordPressでCMSを構築することが一番多いです。Q-Successの調べでは、日本のCMS市場において、WordPressのシェアが82.4%と多くのシェアを締めており、世界のCMS市場シェアを見てもダントツのシェアを誇っています。(以下の図を参照)

出典元:マイナビニュース
https://news.mynavi.jp/article/20190902-885946/
https://news.mynavi.jp/article/20200505-1029380/

一方で、WordPressのセキュリティを懸念される企業様もとても多いと感じます。当社では、北海道と東京の中堅企業のお客さまや、大手代理店のお客さま経由で大手企業のWebサイト構築をさせていただく機会が多いため、開発コストだけではなく、CMSの安全性を考慮した開発を求められるケースが非常に多いです。今回は、そんな当社での対応方法を共有させていただき、WordPressを使ったCMS構築でセキュリティリスクを軽減できる。中規模サイトを構築できるというアピールが少しでもできればと思っています。

WordPressでCMSを構築するメリット

WordPressでCMSを構築するメリットは、やはりコスト!そして工期です。まずは、オープンソース(オープンソースを知らない方はWikipediaで)でライセンス費用が無料ということが大きいです。ライセンス費用が必要なCMSもそれぞれ特徴があり、要件によってはWordPressよりも適しているケースもありますが、予算を考慮してWordPressを選択されるというケースが少なからずあります。

また、プラグインと呼ばれる追加機能のオプションも充実しており、様々な機能を安価に開発することができます。

このように、始めからある程度開発されているWordPressのパッケージとプラグインを組み合わせることで、ゼロから仕様を設計したり、データベースの設計・構築をしたり、プログラムを開発する必要が無いため、開発工期を大幅に削減することができます

WordPressでCMSを構築するデメリット

一方で、WordPressはオープンソースという特性上、世界中にソースコードを公開しているため、脆弱性が発見された際には、攻撃を受けやすかったり、仕組みを利用したスパム行為を受けたりすることがあり、セキュリティ上の懸念をされる企業様が多くいます。
当社でも、他の制作会社さんが開発したWordPressが攻撃を受けてソースコードを改ざんされたサイトを修復するという対応を行ったことがあります。

詳細は書けませんが、原因を追求していくと、バージョンアップを正しくしていないとか、脆弱性情報の確認をしていない。など、運用管理ができていない例がほとんどです。お客さまがしっかり管理できていないのも問題なのかもしれませんが、費用を抑えるためにWordPressを選んだためにバージョンアップ等の保守契約をしていない。また、保守契約をしないで運用することによるリスクを説明していない(または理解してもらえていない)という方が理由としては大きいのではないかと思っています。

セキュリティ対応に完璧は無い

WordPressに限らず、WindowsやMac等のOSやOfficeソフト、ルーターなどの機器に関しても、発売時には問題が無くても、時代の変化や技術の進歩によって、脆弱性が発見されアップデートされることはとても多いです。当社ではISO27001の認証取得をしているので、セキュリティリスクに対する分析、施策実施、評価、改善を行っていますが、やはり、セキュティリスクはゼロにはならず、そのうえでどうするのかというのを絶えず考えながら経営にあたっています。

例えになるか分かりませんが、セキュリティを鍵に例えると。
最新の鍵が開発されます。発売時にはとても強固な鍵だと言われていましたが、世の中には頭の良い悪い人がいるもので、そんな強固な鍵でもあけてしまうんです!警察24時みたいなテレビで見たことがありますが、立派な鍵でもピッキングであけてしまう悪い人がいるんです。ましてや、たくさん売れている鍵であれば、どこに行っても手に入るかもしれませんし、製品の図面なども手に入りやすいかもしれません。そんなことで悪い人が鍵の攻略をしてしまうんだと思います。

例えになったか分かりませんが、同じように、プログラムも当時は強固なセキュリティでも、それを攻略して、攻撃する人(プログラム)が現れる可能性はありますし、WordPressのように世界中で最も多く利用されているCMSであり、かつオープンソースで仕様やソースコードが広く出回っているCMSであれば、しっかり対策を取らなければ、標的になっても致し方ないと思います。

リスクアセスメントを正しく行えば、リスクは軽減できます

では、セキュリティリスクが高いからWordPressの利用はやめたほうが良いのでしょうか?そんな事はありません。泥棒にあうリスクがあるから立派な家には住みませんか?(立派な家はセキュリティもしっかりしているでしょうが。)人気のある車は盗難に合うリスクがあるから乗りませんか?そんなことはないと思います。なぜならリスクを知った上で対策をとりながら所有しているからです。住宅なら警備会社、車なら盗難防止装置などでしょうか。

CMSも同じです。要は、リスクを正しく認識して、対応策を考えて対処することです。
鍵を壊れた状態のままにしていたり、窓を開けっ放しにしている家には、やはり泥棒が入れる可能性は高いですし、車だってエンジンかけっぱなし、鍵も開けっぱなしだと盗まれるリスクは高いと思います。
WordPressを利用する際にも、どのような状態にするとリスクがあるのか。また、それはどのようにすれば回避できるのか。今後運用していく上でどういう点に注意しながら運営をすればよいのかを考慮していけば、リスクはゼロにはなりませんが、限りなくゼロに近く軽減することができます。

セキュリティを考慮した3つの具体的な構築例

では、どのようにCMSを運用すればセキュリティリスクを抑えられるのでしょうか?ここでは、当社で対応している具体例の一部を、3つの例をあげて紹介させていただきます。

1.誰でも管理画面にアクセスできるようにしない、パスワードを簡単なものにしない

まずは、管理画面に誰でもアクセスできるような状況を作らないことです。また、たとえ話で恐縮ですが、住宅に例えると、玄関の場所をわからないようにするという感じです。

管理画面のURLが分かってしまうから攻撃を受けてしまうことが考えられます。IPアドレスで制限したり、パスワードを二重にしたりして部外者が管理画面にアクセスできないようします。玄関でいうと忍者屋敷のように扉がわからない、または、指紋認証と鍵の二重ロックになっているという状況でしょうか。

そして、パスワードは決して簡単なものにしない!たまに運用を引き継いだWebサイトで驚くようなパスワードを目にすることがあります。もちろんユーザーIDが「admin」は問題外です。(注意:もしこのページをご覧になられた方の管理されているサイトのログインユーザー名がadminになっていたら至急変更してください!)これは、またまた住宅に例えると、玄関の隣に置いてある壺の中に鍵が入っている状態です。私が小学校の頃の実家は、牛乳ポストをあけた奥に鍵が掛けてありました(汗)。

パスワードは、半角英数記号を含んだ10文字以上にし、必ず利用者毎にIDとパスワードを発行してください。

参考
内閣サイバーセキュリティセンター インターネットの安全・安心ハンドブック P.30 (最終更新 2020年4月)
「英大文字小文字+数字+記号混じりで 10 桁以上を安全圏として推奨」
https://www.nisc.go.jp/security-site/handbook/index.html

2.しっかりアップデートを行う

WordPressやプラグインは頻繁にアップデートされます。逆にあまりアップデートをしていないプラグインの利用は避けたほうが良いかもしれません。このアップデートがあったら、必ずアップデートの対応をすることをおすすめします。最近では、WordPressのマイナーアップデートは特に設定を変更しない限りは自動で行ってくれます。場合によっては、アップデートにより、動作不具合が発生する場合もありますので、必ず事前にテスト環境でのテストが必要です。

また、JVNなどから脆弱性情報を収集し、もし、セキュリティの脆弱性に関する情報があった際には、即対応する必要があります。このようにして、常に最新の情報を収集しながら、かつ、WordPressをアップデートしながら利用することでリスクの軽減を図ります。

JVNとは?(出典元: https://jvn.jp/nav/jvn.html
JVN は、”Japan Vulnerability Notes” の略です。日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイトです。脆弱性関連情報の受付と安全な流通を目的とした「情報セキュリティ早期警戒パートナーシップ」に基いて、2004年7月よりJPCERT コーディネーションセンターと独立行政法人情報処理推進機構 (IPA)が共同で運営しています。

3.サーバー構成でセキュリティを考慮する

3つ目は、サーバー構成でセキュリティを考慮する方法です。物理的にCMS(WordPress)を公開サーバーに置かないという方法です。どういうことかと言うと、攻撃される可能性のある管理画面をそもそも公開されている環境にはおかないということです。これも住宅に例えたいところですが…難しいです…。住宅があるけど、盗みに入ったら何もない。実はお金も家財道具も一切置いていない別荘で、本宅は別にある感じでしょうか。(自分で書いていて全然例えになっていないと感じています)図にするとわかりやすいので以下のようになります。

左の図では、WordPressをテスト環境(CMS環境)のみに設置し、本番環境は静的なHTMLで構成されたサイトにする構成案です。通常の管理機能を持ったWordPressを用意して、そこで静的なHTMLファイルを生成し、公開サーバーには静的なファイルしか置かず(プログラムファイルを置かない)、必要に応じて画像等のファイルを同期コピーする仕様です。管理機能がついたWordPressには、特定の環境(例えばお客さまの事務所のPC)からしかアクセスができないようにします。

右の図では、通常の管理機能を持ったWordPressと、管理機能を削ぎ落としたWordPressの2つを用意して、管理機能(管理画面)が無いWordPressをWebサイトとして公開し、必要に応じて画像等のファイルを同期コピーする仕様です。管理機能がついたWordPressには左の図と同様に、特定の環境からしかアクセスができないようにします。

WordPressを使った中規模サイトが得意です!

これまでWordPressでもセキュリティを考慮した構築ができるという内容の記事を書いてきましたが、ご納得いただけましたでしょうか?本当は今回の記事を書いていて、セキュリティだけではなく、当社の強みである使いやすい管理画面、マニュアルが不要なくらいわかりやすい管理画面(きちんとマニュアルも納品させていただきます)について書こうと思っていましたが、だいぶ文章量が増えてきたので、今回はセキュリティの話だけにさせていただきます。

今回、一部の事例を3つの視点に絞って紹介させていただきましたが、当社では、WordPressを使った100ページから2000ページ程度の中規模サイトの構築実績が多数あります。また、その経験を活かしたノウハウがあります。

次回は、当社の強みである使いやすい管理画面、マニュアルが不要なくらいわかりやすい管理画面について記事を書いてみようと思います。同じWordPressなのにこんなに画面が違うの?わかりやすくて社内担当者の利用浸透が早すぎる!?みたいなタイトル(仮)でお届けできればと思います。

CMSを使った100ページから2000ページの中規模サイトのリニューアルをお考えのお客さま、ぜひとも検討の一つに当社を含めていただけると嬉しい限りです。

WRITER

吉田 寛

株式会社アリスタイル 代表 営業・プランニング・設計・デザイン・フロント実装・CMS構築まで広く浅く経験してきました。Webマーケティングと言うのはおこがましいですが、営業の経験をプランニング・設計・デザインに取り入れユーザーの心がどう動くのかを考えた制作・運用が得意です。

お問い合わせ

制作のご相談・お見積りなどお気軽にご連絡ください。

株式会社 アリスタイル

札幌011-231-6033

東京03-3539-2777

メールでのお問い合わせ

関連記事

一覧に戻る