2015年5月13日(水)に、GMOクラウドWEST(WADAX)主催の「WordPress等で構築したCMSサイトのセキュリティノウハウセミナー」に参加してきました。そのレポートです。
3本の講演が行われました。
○ 第一部 『WordPress等のCMSで構築されたウェブサイトの脅威とWAFの有効性について』
【講師】株式会社ジェイピー・セキュア 取締役 CTO 齊藤 和男 氏
○ 第二部 『ホスティング事業者からみた押さえるべきセキュリティ対策』
【講師】GMOクラウドWEST株式会社 クラウド営業部 課長 小野 寛徳 氏
○第三部 『WordPressで作成したウェブサイトのセキュリティ診断サービス~KYUBIについて~』
【講師】株式会社レオンテクノロジー 代表取締役 守井 浩司 氏
無料セミナーであり、主催者側の宣伝目的があるセミナーではありましたが、内容はわかりやすく実践的な内容で、紹介された製品やサービスも有効性を感じるものでした。導入するにあたっても、費用負担がないか少ないものであり、具体的に導入を検討するに値する内容でした。
まず3人とも、WordPress等で構築したCMSサイトのセキュリティの状況について、ほぼ同じ内容で触れられていたので、そこはまとめて記載します。
箇条書きにはなりますが、共通して言っていたのは、下記のようなものです。
- ネットワークレベルではなくアプリケーションレベル、特にCMSの脆弱性を突いたセキュリティ攻撃が目立つ。
- 内容的にはクロスサイトスクリプティング(XXL)とSQLインジェクションで半数を占める。
- CMSでも特に普及率の高いWordPress(全世界でのCMSシェア60%超、日本では80%超)が標的になっている。
- CMSが持つ拡張機能(プラグイン・アドオン)が、その標的になっている(全体の90%)。
- WordPressの脆弱性報告は毎日3件、月100件くらい報告されている。
- CMS全体としての脆弱性報告は減少傾向にあるが、WordPressは減っていない。
- セキュリティ攻撃の被害に合う企業のうち半数以上(52%)が中小企業。大企業だけの話ではない。
- 個人情報の漏洩などが起こると、億単位での賠償請求を受ける場合もある。
目次
第一部 『WordPress等のCMSで構築されたウェブサイトの脅威とWAFの有効性について』
WAFとはWeb Application Firewallの略で、ブラウザとWebサーバの間でやりとりを監視し、不正な動きがあればブロックする仕組みのことです。
セキュリティ攻撃を防ぐ最大のポイントは、CMSやプラグインを常に最新版に保つことですが、脆弱性に対する対応が間に合わなかった場合などは攻撃を許すことになります。しかしWAFが入っていれば、実際の通信の中でXXLやSQLインジェクションに相当する動きがあった場合、それを遮断することが可能です。
また総当り攻撃(ブルートフォースアタック)があった場合も、一定の回数を超えたらブロックすることもできます。
講師の齊藤さんの会社であるジェイピー・セキュア社は、このWAFを開発し提供しているベンダーで、製品名は「SiteGuard」といいます(Lite版もある)。多くの企業やホスティング業者にも採用されているそうです。今回の主催者であるGMOクラウドウエスト=WADAXでは共用サーバでもWAFを利用できる有料オプション(月額432円)があります。当社が主に使っているCPIでは今のところ専用サーバでは利用ができるようです。
「SiteGuard」 はWebサーバに組み込んで使うものですが、「SiteGuard」 そのものを導入するのには費用もかかるので、もっと手軽に確実にセキュリティ対策ができないかということで開発されたのが、WordPressのプラグインとして動作する「SiteGuard WP Plugin」です。
こういうセキュリティ系のプラグインは高機能すぎて使いこなせなかったり、そもそも英語版のためよくわからないということも多い中、このプラグインは日本語で表示され必要な機能をコンパクトにまとめています。そしてWordPress.orgの公式ディレクトリにも登録されており無料で利用することができます。
以下の様な機能があります。それぞれ個別に有効・無効を設定できるようです。
詳しくはhttp://www.jp-secure.com/cont/products/siteguard_wp_plugin/をご覧ください。
- 管理ページアクセス制限 :ログインしていない接続元から管理ディレクトリ(/wp-admin/)を守ります。
- ログインページ変更 :ログインページ名を変更します。
- 画像認証 :ログインページ、コメント投稿に画像認証を追加します。
- 詳細エラーメッセージの無効化 :ログインエラー時の詳細なエラーメッセージに変えて、単一のメッセージを返します。
- ログインロック :ログイン失敗を繰り返す接続元を一定期間ロックします。
- ログインアラート :ログインがあったことを、メールで通知します。
- フェールワンス :正しい入力を行っても、ログインを一回失敗します。
- ピンバック無効化 :ピンバックの悪用を防ぎます。
- 更新通知 :WordPress、プラグイン、テーマの更新を、メールで通知します。
- WAFチューニングサポート :WAF (SiteGuard Lite)の除外リストを作成します。
使い勝手もとてもよいようで評判がよく、昨年10月の公開から3万以上がインストールされ動いているようです。
あまりにも使い勝手がよく、しかも無料なのでネット上では「何か裏があるのではないか」「こっそり個人情報を取得しているのではないか」と話題になったそうですが、「そういうことは絶対にありません」と強調しておられました。
第二部 『ホスティング事業者からみた押さえるべきセキュリティ対策』
続いての講演は、主催者であるGMOクラウドウエストさんの講演ですが、第一部と第三部をつなぐような講演で、全体像を把握するのに役立ちました。
Webサーバを階層に分けて考えると
- ハードウェア層
- OS層
- ミドルウェア層
- アプリケーション層
の4階層に分けて考えることができるけれども、ホスティング業者がカバーするのは、共用サーバの場合は1から3、専用サーバは1から2でしかなく、4のアプリケーション層はユーザ自身が対応するしかないということを、まず理解しておく必要があると強調されました。
その上で、第三部で紹介する「KYUBI」などでセキュリティチェックを行い、「SiteGuard」などのWAFで防ぐのがベストというお話しでした。
ただ、それでもセキュリティ攻撃による被害に合うこともあるので、バックアップだけはコストが若干かかってもしておくべきということを強調されていました。
もちろんGMOクラウドウエスト(WADAX)さんの、バックアップサービスについての紹介もありましたし、キャンペーンのチラシも入っていました。
第三部 『WordPressで作成したウェブサイトのセキュリティ診断サービス~KYUBIについて~』
第三部は、Wordpressのセキュリティ対策を専門に行なっている株式会社レオンテクノロジー 代表取締役 守井さんの講演でした。
Wordpressのセキュリティ対策を専門に行なっている会社というのは、あまり聞いたことがなく競合もいないので「おそらく世界一の水準(笑)」だと言っておられました。
完璧なセキュリティ対策というのはありえないことを認識するのが大事で、そのためには事前にセキリティ診断を行ってチェックしておくことが不可欠だと強調されました。
しかし普通に診断を頼むと、5営業日くらいかかるし100万とか150万とか請求されることも少なくないそうです。これはそもそもセキュリティ診断ができる人が日本には極端に少なく、かつ全部人力で行うためにそうなってしまうということだそうです。
そこでレオンテクノロジーとしては、サイトを登録するだけで自動診断できる仕組みを作って提供することにたそうで、それが「KYUBI」です。
無料なら月に1回サイトの診断ができ、月980円のProプランなら月5回、月7,980円のAdminプランなら無制限に診断ができるそうです。しかも診断時間は5分程度だそうです。
セキュリティ診断ができるということは、逆にハッキングできる技術があるということでもあり「KYUBI」に凝縮したノウハウが知られてしまうと「WordPressは世界一危険なCMSになってしまうだろう」と言っておられました。
自信満々な感じですが、こういうサービスで10年以上続けてこられた実績は大きいですし、取引先も名だたる企業がいっぱいでした。
こういう精度が高い(と思われる)セキュリティ診断が、月額1万未満で利用できるのは助かります。
まとめ
WAFについて概要がつかめたのと、セキュリティ診断の重要性を痛感しました。
「SiteGuard for WP Plugin」については、すでに導入している他のセキュリティ関係のプラグインとコンフリクトしないかどうかの確認を行った上で導入を検討し、当社としてのWordPressのセキュリティ対策を、より強固にしていきたいと思います(ちなみに最新版へのアップデートやバックアップは、すでに実施しています)。
「KYUBI」については、とりあえず無料版で少し試した上で、導入するかどうかを考えたいと思います。
ハッキングする力はないですが、やるべき対策をしっかりやってWordPressのセキュリティ強度を上げていきたいと思います。