ホームページを簡単に作れるコンテンツ管理システム(CMS)であるWordPressのシェアは、世界中のすべてWEBサイトのうち35.8%に達しています。CMS市場におけるWordPressの世界シェアは62.6%、日本国内のCMS市場では82%以上という圧倒的なシェアを誇っています。
最近では企業のホームページもWordPressで作られるケースが多くなり、WEB制作会社もWordPressでサイトを構築して納品することがほとんどなのではないでしょうか。
その一方、オープンソースソフトウェアとして開発されるWordPressはその圧倒的シェアゆえに、サイバー攻撃の標的にされやすい状況となっています。
今回は、WordPress脆弱性診断など、各種セキュリティソリューションを展開する株式会社アイロバの代表取締役 小林直樹様と運用部 勝部浩和様に、脆弱性診断の必要性や最新のセキュリティトレンドについて伺いました。
目次
株式会社アイロバの事業内容・サービス
カゴヤ・ジャパン 相原:
アイロバ様の事業内容と、セキュリティ事業を始められた経緯を教えてください。
アイロバ 小林様:
株式会社アイロバはお客様のニーズに合ったITインフラをクラウドやデータセンターをベースにサービス提供をする事業を中心に行っております。事業コンセプトとして、「お客様に分かりやすく、安心・安全にITインフラを使っていただく」というポリシーを持って事業展開しているので、2016年の創業当初からセキュリティは非常に重要な要素となっています。
ITインフラとしてサーバーを構築して提供するだけではなく、昨今お客様がもっとも重要視しているのはセキュリティなので、そこに重きをおいたサービス展開をしています。
パブリッククラウドや同業他社との差別化ポイントとしても、ITインフラとセキュリティをワンストップで包括的に提供することで安心感を持っていただくことに意義があると考えています。
創業当初からセキュリティに関してお困りごとの相談を受けることがありました。はじめは他社のソリューションを仕入れて販売したり、ご紹介をしていたのですが、既存のサービスではなかなかかゆいところに手が届かなというところもあり、自社で納得したものをお客様に提供したいという思いが強まり、BLUE Sphere(クラウド型WAF)やWordPress脆弱性診断といったサービスを始めました。
カゴヤ・ジャパン 相原:
創業当初からセキュリティ事業を重視されてきて、より細かなお客様のニーズを汲み取っていくために自社開発をはじめられたのですね。
アイロバ 小林様:
はい。PCIDSSやOWASPなどの最新のセキュリティ基準に準拠するなど製品そのもののパフォーマンスや機能はもちろんのこと、製品のこういうメニューが欲しい、もう少しここを効率的にやりたいといったいろんなニーズに合わせて開発しています。例えばWordPress脆弱性診断はお客様の手軽に使いたいとのニーズから月額定額でオンデマンド的に使っていただけるサービスとなっていますし、BLUE Sphere(クラウド型WAF)は、従来の他社サービスではピークトラフィックで課金していたところを当社では平均トラフィックで課金するようにしたり、通信のインバウントとアウトバウンドの合計値で課金するのではなく、アウトバウンドだけに絞って課金する、加えて登録できるドメインは無制限など、なるべく費用を抑えたいお客様のご要望に合わせて費用対効果の高いサービス提供しています。
カゴヤ・ジャパン 相原:
お客様の反応はいかがですか?
アイロバ 小林様:
最近ではサーバーやネットワークだけでなく、セキュリティで困っているというニーズの方が問い合わせは多くなってきています。
WordPressの脆弱性リスクとは?
カゴヤ・ジャパン 相原:
セキュリティに関するニーズが高まっているとのことですが、ことWordPressに関しては、脆弱性対応などセキュリティ対策の必要性が一般ユーザーまで浸透していないところもあると思いますが、いかがでしょうか?
アイロバ 小林様:
WordPressについては予防保守という観点で、これから起きうるリスクに対してご説明してこちらから提案させていただくことが多いですね。
WordPressは初期設定のままで使っていると、管理者用ログイン画面のURLが分かってしまうので、どこからでもアクセスできる状態になっていると、パスワードリスト攻撃を受けて管理者としてログインされ、サイトを改ざんされてしまうという被害がたくさん起きています。そういうリスクがあるということをお客様にしっかりとお伝えしてセキュリティ対策の必要性を感じて導入いただくというケースが多いですね。
カゴヤ・ジャパン 相原:
確かにWordPressをご利用で不正ログインされてアカウントを乗っ取られる被害はよく伺います。
アイロバ 小林様:
実はWordPress全体のセキュリティリスクに対して「アカウントの乗っ取り」のリスクは6%ほどで、リスクの大部分(76%)を占めるのは一般にセキュリティホールと呼ばれる「脆弱性」です。
カゴヤ・ジャパン 相原:
そんなに脆弱性リスクは高いんですか。JVNの脆弱性対策情報データベースでWordPressについて検索してみるとたくさんの脆弱性情報が見つかりますね。
※JVN / https://jvn.jp/
JVN は、”Japan Vulnerability Notes” の略です。日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイト。
カゴヤのホスティングサービスをご利用のお客様でもこうした情報に気づかれず脆弱性を放置されていて不正アクセスされるケースが多く見受けられます。その点、脆弱性診断をあらかじめ実施しておけば大部分のリスクを回避できるということですね。
アイロバ 小林様:
そうですね。まずは脆弱性診断でリスクを顕在化していただき、必要な対策を行うことをおすすめします。
ただ対策を1回しただけではだめで、脆弱性情報は日々更新されていくので、継続的に診断と対策を行っていただく必要があります。そのためWordPress脆弱性診断では、月1回の定期診断の利用をおすすめしています。
WordPressの本体、プラグイン、テーマの脆弱性を診断し、レポートをお届けします。1回だけのスポット診断か、月1回定期診断(年更新)のどちらかを選択いただけます。詳しくはこちら。
カゴヤ・ジャパン 相原:
見つかった脆弱性に対する対策についてですが、どういった方法があるのでしょうか?
アイロバ 勝部様:
WordPressの脆弱性対策は最新バージョンにアップデートするという方法が基本になっています。WordPress脆弱性診断を実施いただくと、十数個の脆弱性が見つかるケースもありますが、診断レポートには対策方法も分かりやすく明示されているので、その通りバージョンアップしていただければ簡単に対策できます。
もちろん、WordPressに限らずシステムやアプリケーションの兼ね合いですべてアップデートできないというケースが現実にはあります。まずは脆弱性診断で今あるリスクを可視化して問題を認識していただいたうえで、アップデートができないのであれば、WAFを導入するなど他のアプローチでセキュリティホールを塞ぐ最適な対策を提案することもあります。
WordPress脆弱性診断のメリットは?
カゴヤ・ジャパン 相原:
WordPressの脆弱性診断ツールは世の中にいくつかありますが、御社のサービスのメリットはどのようなところにありますか?
アイロバ 小林様:
WordPressのプラグインでもバージョンチェックツールのようなものはあるのですが、英語表記で分かりにくかったり、ITが専門ではない企業様だとどういった脆弱性なのかどういった対策を行えばよいのか分かりにくいところがあります。そこで当社ではそうしたニーズに応えるかたちでより分かりやすいレポーティング機能を備えたツールを作りたいという思いからWordPress脆弱性診断ツールを作りました。
WordPressはシェアが高い分狙われやすい要素がかなりたくさんあります。プラグインもテーマもたくさんあって、使いやすい反面、その分当然のことではありますが、セキュリティの脆弱性もたくさん見つかります。シェアが高いということは必然的に攻撃対象になりやすいという状況もあります。
分かりやすいレポーティング機能
カゴヤ・ジャパン 相原:
JVNのデータベースを確認すると、2019年にWordPress関連で見つかった脆弱性は528件もあって、そのうち489件がプラグイン関連の脆弱性なんですね。それにしもこれだけたくさんの脆弱性情報を毎月チェックし続けて対策をしていくのは一般のWordPressユーザーには難しいですね。
アイロバ 小林様:
WordPressは利用者が多い分開発者も多いことから、脆弱性が見つかると比較的早く対策されたバージョンがリリースされます。お客様に最も行っていただきたいのはバージョン管理なのです。
WordPress脆弱性診断はお客様が使っているプラグインやテーマを把握したうえで必要な対策を分かりやすくレポートします。まずはWordPress脆弱性診断でリスクを可視化するだけでもメリットは大きいと思いますが、一度対策して終わりではなく、月に1回の定期診断を利用することで適切なタイミングで必要な対策を行っていただけます。
WordPress脆弱性診断はどういう方におすすめ?
カゴヤ・ジャパン 相原:
WordPress脆弱性診断をどのような方に使っていただきたいですか?
アイロバ 勝部様:
旅行企画や中古車販売、写真スタジオ、大学、住宅工務店、ホテルなどさまざまな業種の方に利用いただいています。
中小企業で一人情シス、あるいは情シスがいない、といった場合、セキュリティリスクが潜在化してしまっているところが多いと感じています。
そういった企業でWordPress脆弱性診断を導入いただければ、セキュリティに関して詳しい知識を持っていなくても、レポートによってセキュリティリスクを顕在化して必要な対策を実施いただけるようになるため、費用対効果は高いと思います。
カゴヤ・ジャパン 相原:
WordPressはひとたび不正アクセスを受けるとバックドアを仕込まれたりして、簡単には復旧できず、データベースも含めて削除してサイトを構築しなおすしかないケースもあります。WEBサイトだけの被害ならまだしも、同じデータベースサーバーに顧客データなどの個人情報も格納されていたら被害はもっと拡大するかもしれません。WordPress脆弱性診断で定期診断することでそのリスクを回避できるのであればメリットは大きいですね。
今後のセキュリティ対策の展望
カゴヤ・ジャパン 相原:
セキュリティ対策について今後の展望を教えてください。
アイロバ 小林様:
WordPress脆弱性診断ツールは使いやすいサービスなので、セキュリティの必要性を考えるひとつのきっかけとしていただき、将来的にはお客様企業のセキュリティを包括的に支援させていただきたいと思っています。
最近は単一のセキュリティソリューションを導入しても、他のレイヤーから攻撃されてしまう事例が多く見受けられます。それを防ぐには多層防御が必要です。さまざまなセキュリティソリューションをラインアップし、最適なソリューションをお客様に包括的に提供していきたいと思っています。
まだまだセキュリティのリテラシーが高い企業は少ないと思います。セキュリティのことはセキュリティ専門の会社が提供するWordPress脆弱性診断などのサービスをうまく活用いただければと思います。
WordPressの本体、プラグイン、テーマの脆弱性を診断し、レポートをお届けします。1回だけのスポット診断か、月1回定期診断(年更新)のどちらかを選択いただけます。詳しくはこちら。