「無料CMSって危険なの？」 から考えるWebサイトの安全とコスト/contents.nagoya_20250628

Transcript

1. 「無料CMS って危険なの？ 」
 から考える Webサイト の安全とコスト
 1

2. 誰？
 ＜自己紹介＞
 2 • 主にディレクター
 • エンジニアリング企業の一員として提案/要件定義を 主に実施
 • OSSであるbaserCMSの普及を実施


   • 猫が好き
 株式会社キャッチアップ / NPO法人ベーサーファウンデーション 
 WI事業部長　武藤 海


3. Agenda
 • はじめに
 • 情報漏洩の昨今
 • 無料CMSはやばいの？
 • そもそも危険って何？安全って何？
 •

   Webサイトの安全って何？
 • WordPressはどうするの？
 • WordPress以外にはどんなものがあるの？
 • まとめ
 ＜概要＞
 3

4. Start
 ＜はじめに＞
 4 今回は「Webサイトの安全とは何か？」を主軸に、メジャーなCMSである WordPressや国産CMSの話を絡めていきます。
 技術的な内容よりも「考え方」にフォーカスを当てた内容です。
 サイトの運用者や普段クライアントと接している方へのきっかけになることを 目的にしています。


5. 2024年での上場企業における「個人情報漏洩・紛失事故」は189件※
 約1500万の個人情報が漏洩された模様。(2023年は175件/4000万)
 被害内容では「ウィルス感染・不正アクセス」が半数以上を占め、特にランサ ムウェアによる被害が顕著。
 個人情報の不適切な取り扱いによる被害も増加。
 INCIDENT
 ＜情報漏洩の昨今＞
 5 ※株式会社東京商工リサーチの発表による
 　参考:

   https://www.tsr-net.co.jp/data/detail/1200872_1527.html


6. CMS
 ＜無料CMSはやばいの？＞
 6 よくある質問


7. 「CMSって危険なの？」
 「WordPressはセキュリティが駄目なの？」
 CMS
 ＜無料CMSはやばいの？＞
 7 よくある質問


8. 「CMSって危険なの？」
 「WordPressはセキュリティが駄目なの？」
 CMS
 ＜無料CMSはやばいの？＞
 8 よくある質問
 どう答えるか


9. 「CMSって危険なの？」
 「WordPressはセキュリティが駄目なの？」
 CMS
 ＜無料CMSはやばいの？＞
 9 よくある質問
 どう答えるか
 安全です


10. 「CMSって危険なの？」
 「WordPressはセキュリティが駄目なの？」
 CMS
 ＜無料CMSはやばいの？＞
 10 よくある質問
 どう答えるか
 安全ですと言い切りたい


11. 「危険」とは何なのか
 何を持って「安全」と見なすのか
 CMS
 ＜無料CMSはやばいの？＞
 11 現実


12. Webサイトにおける「脆弱性」
 Security Hole
 ＜無料CMSはやばいの？＞
 12 「危険」


13. Security Hole
 ＜無料CMSはやばいの？＞
 13 Webサイトにおける「脆弱性」
 JVN iPedia: https://jvndb.jvn.jp/ 


14. Security Hole
 ＜無料CMSはやばいの？＞
 14 JVN iPediaにて検索
 JVN iPedia: https://jvndb.jvn.jp/ 


15. Security Hole
 ＜無料CMSはやばいの？＞
 15 WordPressでの検索結果
 2024年 →
 2023年 → 


    ※画像引用: https://ja.wordpress.org/about-wp-ja/wapuu/ 
 ※「わぷー（Wapuu）」は、ja.wordpress.org の公式キャラクターで、カネウチカズコ氏によるデザインです。 


16. Security Hole
 ＜無料CMSはやばいの？＞
 16 WordPressでの検索結果
 2024年 →　4,614件
 2023年 → 3,131件


    ※画像引用: https://ja.wordpress.org/about-wp-ja/wapuu/ 
 ※「わぷー（Wapuu）」は、ja.wordpress.org の公式キャラクターで、カネウチカズコ氏によるデザインです。 


17. Security Hole
 ＜無料CMSはやばいの？＞
 17 なぜ多いか


18. Security Hole
 ＜無料CMSはやばいの？＞
 18 なぜ多いか
 圧倒的シェア
 ✕
 ユーザー数
 ✕
 豊富なプラグイン


19. Security Hole
 ＜無料CMSはやばいの？＞
 19 WordPress.orgでの検索結果
 2024年 →　0件
 2023年 → 7件


    ※ベンダ指定による検索 


20. Security Hole
 ＜無料CMSはやばいの？＞
 20 WordPress.orgでの検索結果
 ※ベンダ指定による検索 


21. Security Hole
 ＜無料CMSはやばいの？＞
 21 Movable Typeでの検索結果
 2024年 →　0件
 2023年 →

    1件
 ※画像引用: https://tophlove.jp/ 
 ※「トフ(およびトフトフ)」は、「Movable Type」などを提供する会社シックス・アパートさんの公式キャラクターです 


22. Security Hole
 ＜無料CMSはやばいの？＞
 22 baserCMSでの検索結果
 2024年 →　3件
 2023年 → 3件


    ※「べっしー」は、baserCMS の公式キャラクターで、カネウチカズコ氏によるデザインです。 


23. Security Hole
 ＜無料CMSはやばいの？＞
 23 結局危険？安全？
 危険性は脆弱性の数だけで決まるものではない。
 脆弱性は発見されるものであり、放置して攻撃を受け付ける状態であること が危険。


24. Safety
 ＜そもそも危険って何？安全って何？＞
 24 そもそも安全って何？
 そもそも危険って何？


25. Safety
 ＜そもそも危険って何？安全って何？＞
 25 身近なものから考える


26. Safety
 ＜そもそも危険って何？安全って何？＞
 26 日産・ラシーン後期型
 1997年製造／クロスオーバーSUV
 
 キャッチコピーは
 「新・ぼくたちのどこでもドア。RUN！RUN！ ラシーン新発進。」


27. Safety
 ＜そもそも危険って何？安全って何？＞
 27 日産・ラシーン後期型
 1997年製造／クロスオーバーSUV
 
 キャッチコピーは
 「新・ぼくたちのどこでもドア。RUN！RUN！ ラシーン新発進。」
 走行距離19万km超


    エアバルブ破損
 スペアタイヤ破裂
 バッテリー端子に腐食
 ライト固定ゴムの膨張
 スマートキーの反応ナシ
 外装の一部に穴
 街中燃費 4km/リッター
 グリーン化税制による15%加重


28. Safety
 ＜そもそも危険って何？安全って何？＞
 28 日産・ラシーン後期型
 1997年製造／クロスオーバーSUV
 
 キャッチコピーは
 「新・ぼくたちのどこでもドア。RUN！RUN！ ラシーン新発進。」
 


    
 走行距離19万km超
 エアバルブ破損
 スペアタイヤ破裂
 バッテリー端子に腐食
 ライト固定ゴムの膨張
 スマートキーの反応ナシ
 外装の一部に穴
 街中燃費 4km/リッター
 グリーン化税制による15%加重
 ぶっちゃけ危険


29. 問題点は認識済み
 クリティカル な電装系は販売店によるメンテ を重点的に実施
 購入時にあった不具合も解消して再発がな いことを確認済み
 Safety
 ＜そもそも危険って何？安全って何？＞
 29 走行距離19万km超


    エアバルブ破損
 スペアタイヤ破裂
 バッテリー端子に腐食
 ライト固定ゴムの膨張
 スマートキーの反応ナシ
 外装の一部に穴
 街中燃費 4km/リッター
 グリーン化税制による15%加重
 買換予定
 手動で問題なし
 修理済み
 愛
 目指せ20万km
 購入店でのメンテ・解消 
 問題なし
 問題なし
 辛い
 私が運転します


30. 問題点は認識済み
 クリティカル な電装系は販売店によるメンテ を重点的に実施
 購入時にあった不具合も解消して再発がな いことを確認済み
 
 Safety
 ＜そもそも危険って何？安全って何？＞
 30

    走行距離19万km超
 エアバルブ破損
 スペアタイヤ破裂
 バッテリー端子に腐食
 ライト固定ゴムの膨張
 スマートキーの反応ナシ
 外装の一部に穴
 街中燃費 4km/リッター
 グリーン化税制による15%加重
 買換予定
 手動で問題なし
 修理済み
 愛
 目指せ20万km
 購入店でのメンテ・解消 
 問題なし
 問題なし
 辛い
 私が運転します
 事故に繋がる不具合は解消済み
 ドライバーが安全運転を行う限り安全


31. Safety
 ＜そもそも危険って何？安全って何？＞
 31 トヨタ・プリウス5代目
 2023年〜
 
 ハイブリットカーの代名詞。
 エコカー補助金等の後押しもあり全国的に 普及して圧倒的なシェアを誇る。
 優れた燃費性能を持ち、安全テストでも高

    い評価を得ている。
 画像出典/トヨタ公式サイト: https://toyota.jp/prius/ 


32. Safety
 ＜そもそも危険って何？安全って何？＞
 32 トヨタ・プリウス5代目
 2023年〜
 
 ハイブリットカーの代名詞。
 エコカー補助金等の後押しもあり全国的に 普及。
 優れた燃費性能を持ち、安全テストでも高

    い評価を得ている。
 画像出典/トヨタ公式サイト: https://toyota.jp/prius/ 
 一般的に見て安全


33. Safety
 ＜そもそも危険って何？安全って何？＞
 33 画像出典/トヨタ公式サイト: https://toyota.jp/prius/ 


34. 80代男性
 事故・違反歴あり
 前車は自損事故にて全壊
 ウィンカーは出さないもの
 無保険
 Safety
 ＜そもそも危険って何？安全って何？＞
 34 画像出典/トヨタ公式サイト: https://toyota.jp/prius/

    


35. 80代男性
 事故・違反歴あり
 前車は自損事故にて全壊
 ウィンカーは出さないもの
 Safety
 ＜そもそも危険って何？安全って何？＞
 35 画像出典/トヨタ公式サイト: https://toyota.jp/prius/ 


    危険


36. Safety
 ＜そもそも危険って何？安全って何？＞
 36 ＜プリウスって危険なの？＞


37. Safety
 ＜そもそも危険って何？安全って何？＞
 37 モノの安全と危険
 ✕
 人の安全と危険


38. Webサイトの安全
 WebSite
 ＜Webサイトの安全って何？＞
 38

39. Webサイトの安全
 WebSite
 ＜Webサイトの安全って何？＞
 39 • サイトが正常に稼働すること
 • データが安全に保たれていること
 • 情報漏洩・サイト改竄に繋がる脆弱性がないこと


    • 運用者によるセキュリティ意識が保たれていること


40. • 基本のセキュリティ対策を行う
 ◦ ID/PASSの複雑化・ログインURLの変更・アクセス制限…等
 • 自サイトの情報を把握する
 ◦ バージョン・利用プラグイン・利用テーマ・サーバ情報
 • 最新版へのアップデートを心がける


    ◦ アップデート実行が問題ないかを把握する
 • 発表される脆弱性の情報を確認する
 ◦ 該当時に対応方針を定めて実施する
 WordPress利用の基本意識
 WordPress
 ＜WordPressはどうするの？＞
 40

41. • 基本のセキュリティ対策を行う
 ◦ ID/PASSの複雑化・ログインURLの変更・アクセス制限…等
 • 自サイトの情報を把握する
 ◦ バージョン・利用プラグイン・利用テーマ・サーバ情報
 • 最新版へのアップデートを心がける


    ◦ アップデート実行が問題ないかを把握する
 • 発表される脆弱性の情報を確認する
 ◦ 該当時に対応方針を定めて実施する
 WordPress利用の基本意識
 WordPress
 ＜WordPressはどうするの？＞
 41 リテラシーに依存する


42. 運用者の基本意識
 WordPress
 ＜WordPressはどうするの？＞
 42 • メンテナンスがされないサイトは車検を通していない無整備の車と同じと考える
 • アカウント共有は、車の鍵の共有と同じと考える
 • 脆弱性の放置は、車両盗難が可能な状態の放置と考える


    • 制作会社とメンテナンス・保守における契約を確認する
 • 運用時の異変は記録し相談を心がける


43. • 運用者とメンテナンスの必要性に理解を得る 
 • アップデート・デバッグに関する取り決めを行う
 • 可能な監視体制の構築
 • 脆弱性情報の監視
 制作者の基本意識


    WordPress
 ＜WordPressはどうするの？＞
 43

44. 制作コストとメンテナンスコスト
 WordPress
 ＜WordPressはどうするの？＞
 44 • WordPressは豊富な情報とプラグインにて大多数の制作会社が対応できる
 • ノウハウの蓄積も多く、低コストでの制作も当たり前になっている
 • 比例して攻撃者のノウハウも多く蓄積されている


    • 機械的な攻撃も当たり前
 • 保守・メンテナンスのコストをどれだけかけられるかが悩みどころ


45. • 静的サイトも構築可能
 • 国産のOSS
 • フォームが標準搭載
 • 承認機能、サブサイト機能など
 • ヘッドレスも可


    CMS
 ＜WordPress以外にはどんなものがあるの？＞
 45 • 静的サイトを構築可能
 • シックス・アパート社による提供 で商用利用は有償
 • 官公庁などのセキュリティ方針 で採用されることも多い
 • 静的サイトも構築可能
 • 国産のOSS
 • 承認機能、フォーム、災害用レ イアウトなど
 他にもConcreteCMS、Drupal、Wixなどさまざまなものが存在


46. • 静的サイトも構築可能
 • 国産のOSS
 • フォームが標準搭載
 • 承認機能、サブサイト機能など
 • ヘッドレスも可


    CMS
 ＜WordPress以外にはどんなものがあるの？＞
 46 • 静的サイトを構築可能
 • シックス・アパート社による提供 で商用利用は有償
 • 官公庁などのセキュリティ方針 で採用されることも多い
 • 静的サイトも構築可能
 • 国産のOSS
 • 承認機能、フォーム、災害用レ イアウトなど
 他にもConcreteCMS、Drupal、Wixなどさまざまなものが存在


47. • 国産CMSとしてわかりやすさを重視
 • ツリー構造によるコンテンツの可視化
 • 各アクションもアイコン併記で明確化
 • 表形式への切替も可
 • フォームも標準搭載


    baserCMS
 ＜WordPress以外にはどんなものがあるの？＞
 47 特徴1


48. • プラグイン【BurgerEditor】によるブロッ ク編集
 • 各ブロックを組み合わせることでweb知 識0でもキレイなレイアウトの記事作成 が可能
 baserCMS
 ＜WordPress以外にはどんなものがあるの？＞
 48

    特徴2


49. • Web脆弱性診断ツール【VAddy】と連携
 • 定期的な脆弱性検査をクリア
 • 前述のJVNのデータにもあるように、脆 弱性によるメンテナンス対応の発生数 を抑えるべく継続アップデート
 baserCMS
 ＜WordPress以外にはどんなものがあるの？＞


    49 特徴3


50. • 利用者のための継続開発
 • 5系にてREST APIを備えた
 • ヘッドレスCMS対応
 • カスタムコンテンツ機能
 ◦

    オリジナルのフィールド定義
 • オートアップデート
 • 各種プラグイン開発
 baserCMS
 ＜WordPress以外にはどんなものがあるの？＞
 50 特徴4
 Auto Update 
 REST API 
 Static HTML 
 Approver 


51. baserCMS
 ＜WordPress以外にはどんなものがあるの？＞
 51 Webサイトを使いやすく
 そして安全に継続運用


52. • Webサイトを運用するうえで意識するポイントは共通
 • 殆どの機能はどのCMSでもプラグインやカスタマイズでほぼ実現可能
 • Webサイト制作の選択肢は1つではない
 • 制作コストと保守・メンテナンスコストのそれぞれを考える
 • 目的や大事にする内容に応じてCMS選定・体制構築を柔軟にする


    Closing
 ＜まとめ＞
 52 まとめ


53. Thank You
 ＜まとめ＞
 53 ありがとうございました