WordPressのセキュリティ情報ってどこから取得している?(穂苅智也の超高速セキュリティKUSANAGIコラム)

Print Friendly, PDF & Email

1.はじめに

みなさん、こんにちは!プライム・ストラテジーでコンサルタントをしております、穂苅 智哉 (ほかり ともや) です。

プライム・ストラテジーは、WordPressを使ったシステムインテグレーションとしてWebサイト構築、クラウドインテグレーション事業として各種セキュリティ対策のバージョンアップやパブリッククラウド選定、またその後の継続的なWordPressとサーバー保守作業としてKUSANAGIサポートサービスを展開しております。

前回は『KUSANAGIアップデートによりPHP7.3が対応』という内容で最新のPHP事情やKUSANAGIのPHP7.3について書いてきました。
KUSANAGIやPHPの最新版についてはこちらをぜひご覧ください!
【KUSANAGI・PHP】KUSANAGI最新アップデート!PHP7.3系に対応!!

さて、今回はWeb担当者向けに、WordPressのセキュリティについてのニュースのキャッチアップについて書いてまいります。
読者の皆さんはどうやって情報を入れていますか?WordPressを利用しているWebサイトは特にメディアサイトで多いですが、セキュリティの問題は常について回ります。Web担当者は業務であまりセキュリティ部分にはタッチしないと思いますが、いつも使っているWordPress本体に大きな脆弱性が出た場合、いつも使っているプラグインに大きな脆弱性が出た場合などはキャッチアップしておく必要があります。
そこで、まずWordPressのセキュリティ情報のキャッチアップをどうやってやったほうがいいかについてお話し、その後とはいえ大変だと思うのでそういった場合のKUSANAGIのフルマネージドサービスについてお話いたします。

2.WordPressの脆弱性とは

WordPressの脆弱性については、大きく3つあります。
1つ目はWordPress本体の脆弱性です。これは、WordPressを利用している全サイトが対象となります。
脆弱性に対して修正パッチがあたると、WordPressのバージョンの一番下の数字が1つ上がりマイナーアップデートが公開されます。
例:9.9.8 → 9.9.9

2つ目は利用しているプラグインやテーマの脆弱性です。
WordPress関連の脆弱性被害でニュースに取り上げられるのはこちらが多いです。あれもこれもプラグインを導入し、そのまま使わないからほったらかし。一番危険な運用方法です。

3つ目は、WordPress直接とは少し離れるのですが利用しているPHPやWebサーバー等ミドルウェアの脆弱性です。
Apacheの脆弱性やPHPの脆弱性などがわかりやすいと思います。

3.WordPressの脆弱性情報

IPA(独立行政法人情報処理推進機構)
IPAは、経済産業省所管の政策実施機関として情報セキュリティ対策の強化や、優れた
IT人材を育成するための活動に取り組み、安全で利便性の高い“頼れるIT社会”の実現を目指した団体です。
情報セキュリティ白書もこの団体が作成しています。
(参考)IPA 重要なセキュリティ情報一覧https://www.ipa.go.jp/security/announce/alert.html

WordPress.org
WordPressの公式サイトです。WordPress本体の脆弱性などについてはここが一番です。
ただ、当然ながら様々な開発者が公開しているプラグインやテーマは扱っていないので注意です。
https://ja.wordpress.org/news/

Security Next
最新のセキュリティ情報を毎日公開しているサイトです。WordPressだけではなくWindowsや様々なWebサービス、システムについての脆弱性情報を確認することができます。
http://www.security-next.com/

JVN(Japan Vulnerability Notes)
JVN は、「情報セキュリティ早期警戒パートナーシップ」制度に基づいて報告され調整した脆弱性情報や、CERT/CC など海外の調整機関と連携した脆弱性情報を公表しています。
JPCERT コーディネーションセンターとIPAが共同で運営しているのでとても信頼できる情報です。
https://jvn.jp/

4.様々な情報を効率的に集めるために
ここまでで、4つのWebサイトを紹介してきましたが、普段の仕事もある中で、毎日チェックするのは大変ですよね。さらに得た情報がいったいどのくらい危ないのか、どう対応すればいいのかについてはかなりハードルが高いと思います。
効率的に情報を取得するために私は、Googleアラート( https://www.google.co.jp/alerts )を使っています。ここでアラートのキーワードを「WordPress」や、「利用しているプラグイン and 脆弱性」などとしておき毎日メールでチェックする方法をとっています。
これをすれば、自分からは何もしなくても毎日決まった時間にメールで指定のアドレスに情報を自動で送ってくれるので非常に重宝しています。

5.マネージドサービス

情報の取得はGoogleアラートで知識として入れておくとして、問題はその次の対応や判断です。例えば危なそうな情報をキャッチしたら、自身の会社のシステム担当に相談に行くいう流れになるかと思います。しかし、私もお客様とよくお話をさせていただくのですが、専門部署というのはなかなか設置されておらず、総務部門の中でシステムを見ていたり、本業の自社サービスの開発や保守と一緒に対応していたり、放置されているということが多いものです。
そこで、保守運用は専門業者におまかせするという選択肢が出てきます。
KUSANAGIのマネージドサービスであれば、サーバー周りの保守からWordPressサイトのセキュリティ対応までを一括しておまかせいただけます。お客様は、本業に専念いただき、より良いアウトプットを出すことができるようになります。
メディアサイト、コーポレートサイト、サービスサイトなど様々なサイトでご採用いただいているKUSANAGIのマネージドサービスは、WordPressサイトとサーバー部分のセキュリティや保守運用で課題のある方には最適なサービスとなっております。
KUSANAGIの詳細については、こちらをご覧ください。
https://www.si-jirei.jp/kusanagi/

6.終わりに

今回はセキュリティ情報の取得から、マネージドサービスのお話までをいたしました。
「セキュリティ」という言葉は人によって非常に認識がブレやすい言葉です。どこまでの対策を「セキュリティ」と呼んでいるのか、どこまでの対応を行う必要があるのかは企業によって異なる部分です。
ただ、情報の取得という意味では今回紹介したIPAやJVNなど公的機関に近い団体の情報をまずキャッチし、その後Googleなどでその脆弱性を解説しているサイトを確認するのが良いのではないかと思います。
対策として実際にどうすればいいのか、社内にリソースはないし、という企業様向けには、KUSANAGIのマネージドサービスが最適です。
ディーアイエスソリューション様は弊社のパートナーとして、Webサイトに関する課題のあるお客様の課題解決のためにKUSANAGIを提案させていただいております。
ご興味がありましたら、こちらから詳細をご確認ください。
まずはお話を聞かせていただけると幸いです!
それでは、また次回をお楽しみに!!

※プライム・ストラテジーのWordPress公式サポートについては以下をご覧ください。
https://www.si-jirei.jp/kusanagi/
※KUSANAGIの事例については、下記をご覧ください。
https://www.prime-strategy.co.jp/achievements/achievements-service/kusanagi_cases/

  • このエントリーをはてなブックマークに追加

Related post

更新情報

最新コラム

  1. こんにちは!クラウドビジネス担当の三島です。今回のOffice365徹底活用コラムではPowerA…
  2. はじめに 間もなく2019年度が始まります。出会いと別れのこの季節、新入社員向けの端末や組…
  3. ワークスタイルの変革コラム第33回「ビジネスチャット導入時にはお作法も改めるべき」 こんにち…

ログインステータス

Return Top