Webサイトのセキュリティはクライアントにとって大きな懸念事項。制作会社があらかじめ取るべき具体的な対策とは?また、実効性を保つためにはどうすればいいのか? クライアントと制作者が共通認識を持って対策に取り組む方法を考えます。
- 得永裕一さん
- フロントエンド開発チームマネージャー/2006年入社。クライアントとのコミュニケーションを重視したフロントエンド開発を行う。CMSはWordPress、MovableTypeを扱う。
- 増本隆佑さん
- システム開発チーム/2020年入社。システムエンジニアとしてAWS環境の設計・構築、その他バックエンドの開発を行う。
株式会社アイムービック
AWS環境を中心としたWebサイト・システム開発、保守運用、セキュリティ対策を行う。 AWS Partner Networkセレクトティア。シックス・アパート ProNetパートナー。
https://www.eyemovic.com/
FOCUS
Webビジネスは速さが力になる時代。一方で、多くのクライアントはCMS導入によるセキュリティ面のリスクに懸念を持っています。しかし、セキュリティを強固にすればCMSの機能が制限されたり、運用が煩雑になるといったマイナスの影響も考えなくてはなりません。個々のクライアントにとって最適なセキュリティ対策を、制作者はどのように探っていけばいいでしょうか?
Webサイトのセキュリティ対策・保守を行い、被害に遭ったサイトの復旧にも対応している、株式会社アイムービックの得永裕一さん、増本隆佑さんに聞きました。
クライアントの不安と現実/被害に遭ってからの復旧はビジネス的損害が大きい
クライアントの不安材料はデータ改ざんと個人情報漏洩
Webサイトのセキュリティについてクライアントから寄せられる不安は、多くが「ハッキングによるデータ改ざん」「個人情報の漏洩」に関するものです。こうした事例は時折ニュースになりますし、以前に比べると企業側のセキュリティ対策に対する理解も進んでいると言えるでしょう。CMSが普及し始めた十数年前はまだ保守の必要性が十分に理解されておらず、保守費用を敬遠するクライアントが少なくありませんでした。こうしたサイトの多くが現在不正アクセスの温床になっている恐れがあります。
弊社では通常、サイト構築段階で必須となる対策を講じた上で、各案件の事情にあわせた提案をしています(後述)。また、既存サイトに対する相談には、
①ログ管理の状態
②パスワード強度・管理の状態
③脆弱性診断ツールによるチェック
などを行い、対策を提案します。
これが被害に遭った後だと大変です。いったんサイトを閉鎖してサーバからファイルをダウンロードし、セキュリティソフトで改ざん部分を洗い出し、不正な要素をすべて取り除き、改めて対策を講じて、ようやく再開可能になります。緊急の作業リソースが必要になり、場合によってはサーバの載せ替えを行うなど、復旧費用もビジネス的な損害も大きくなることが考えられます。結果的に、定期的な保守の方が割安と言っていいでしょう。
よくある攻撃の類型と被害の例
セキュリティ対策に関する理解/技術以外の部分はコミュニケーションの問題
予算にあわせたプランや更新を含めた保守の提案
最近はセキュリティ対策・保守に関する理解がある程度進んだとはいえ、やはり継続的な保守費を敬遠されたり、予算が十分でないクライアントもいます。そうした場合は、クライアントの事情にあわせた保守・メンテナンスのプランを提案することが有効です。
例えば、保守費が毎月1万円の契約なら年間12万円になりますが、これを3カ月ごとに1回2万円とすれば年間8万円に抑えられます。間隔は少し開くものの、保守なしに比べればセキュリティのレベルは確実に維持できます。
セキュリティ対策だけでは話が通りにくい場合、弊社では更新サービスも含めた提案を行います。社内の更新・運用チームによるコンテンツ更新と共に、アップデートなどの保守作業を行うというものです。費用は月額(工数)設定や更新内容に応じた都度見積もりなど、予算や都合にあわせて設定し、合意しておくのがポイントです。
サイト立ち上げ後に接点のなくなってしまったクライアントに対して、こちらからアプローチすることは困難です。その意味からも、近年は納品だけで完結する案件はほぼなくなりました。同時に、クライアント側にもセキュリティの重要さを理解してもらうことが大切です。セキュリティ対策において、技術以外の部分はコミュニケーションの問題と捉え、理解を進める責任が制作者(代理店)にはあると考えています。
クライアントの予算や都合に応じて契約内容を工夫
制作工程で取るべき対策/基本的なセキュリティ対策と自由度とのバランス
定番の対策はあれど現実的な使い勝手も重要
CMS(主にWordPress)を使ったサイトを構築する際、弊社では基本的に次のような対策を行なっています。
①管理者ログイン画面を隠す
②自動バックアップ、ログ管理を設定する
③AWSの場合はWAF(Web Application Firewall)の利用を提案する
①②はセキュリティ系のプラグインパッケージで一括導入します。③は、通信を解析・検査して攻撃と判断した通信を遮断するサービスで、不正侵入だけでなくDDoS攻撃対策にも有効です。また、サーバ設定のバックアップもあわせて提案しています。
一般的なレンタルサーバでもWAF機能は提供されていますが、仕様によっては正常なAPIやファイル保存まで弾かれてしまうことがあります。改ざん防止対策には外部ドメインのコンテンツ埋め込みや誘導を無効にする「CSP(コンテンツセキュリティポリシー)」も有効ですが、こちらも正常なリンクの掲載やマーケティングツール設置の妨げとなることがあります。
CMSを導入する上で、セキュリティと自由度はある程度トレードオフの関係にあります。しかし、更新したいときにクライアント側ですぐできることがCMS導入の大きな目的ですから、それが制限されてしまっては本末転倒です。目的やクライアント側の運用を考えた上で、必要な対策の線引きが必要です。
アイムービックが行う基本的なセキュリティ対策
対策の実効性を確保する/ツールや設定だけでなく使う側の意識にも対策を
想定外の行動や慣れがセキュリティホールになる
セキュリティ対策は、Webサイトの運用開始後も継続的に実効性を保つことが重要です。
例えば、少し知識のある担当者が独自の判断でWordPressを部分的にカスタマイズした結果、そこがセキュリティホールになってしまったという事例が過去にありました。そのため、弊社では管理者向け以外に更新担当者向けとして必要最低限の機能に絞ったコンテンツ編集画面を用意し、権限を分けて利用してもらうことにしています。
また、メールによるセキュリティ通知機能にも注意が必要です。例えば改ざん検知をメールで通知する仕組みを導入した場合、正常なファイルアップロードや上書きであっても都度通知が届きます。それが形骸化してしまうと、本当に問題のある通知が届いた時に見落とすことになりかねません。ログイン試行のロックアウト通知なども同様です。これらの機能が本来の役割を果たすには、やはり担当者の方に継続的にチェックしてもらうほかないのです。
セキュリティ対策のためのツールは数多く提供されており、適切に使えば役に立つものです。しかし、その実効性については使う側の意識・行動に左右される部分が少なからずあるものです。抜け落ちやすいポイントであることをあらかじめ認識してもらい、チェックすることが当たり前になるよう習慣づけを促すことがおすすめです。
使う人の意識が対策の実効性を左右する
制作者が注目する技術/導入増が見込まれるヘッドレスと開発工程のAIサポート
ヘッドレスは開発期間が課題顧客のニーズ見極めを
セキュリティ対策と表示高速化の両面から、いま注目しているのはヘッドレスCMSです。現在、弊社の持株会社であるNagayaホールディングス株式会社のWebサイトに、初めてmicro CMSを採用し、フロント側はReactで構築する形で開発を進めています。すでに実績をお持ちの制作会社さんも多いかと思いますが、業界的に今後事例が増えて行くだろうと感じています。
ただ、現時点では従来より開発期間がやや長くかかる印象があります。もし静的ファイルでの配信が主な目的なら、Movable Typeで構築する方法も考えられます(下図)。新しい技術の利点もある一方で、コストや課題を踏まえ、クライアントが求めるものを見極めることがより重要になってくると思います。
開発面では、DevSecOps*ツールを導入することで開発工程・テスト工程においてコーディングエラーや脆弱性を検知し、リリース前のチェック漏れ防止や修正工程の短縮に役立てています。ライブラリに脆弱性が発見された場合は通知が届き、自動でコード内に反映させることも可能です。
また、コードエディタ用のChat GPTプラグインにも注目しています。書きながらバグや脆弱性を発見したり、修正提案をしてくれるツールもあるので、これらも開発効率やセキュリティ対策向上一環として活用していきたいと考えています。
*DevSecOps:Development(開発)・Security(セキュリティ)・Operations(運用)のサイクルを迅速かつ継続的に行う考え方
静的配信ならMovable Typeも選択肢に
