Web制作会社はWordPressをバージョンアップして欲しくない ~セキュリティの不思議な話~


事例取材担当 菱沼です。
前回のコラムで、WordPressによって作られたWebサイトによく見られる課題として下記の2点を上げさせていただきました。
  • 1.Webサイトや管理画面のパフォーマンスが劣化し、表示が遅い
  • 2.サイバー攻撃の対象になりやすい        など
このうちの1つ目である表示速度の改善について前回のコラムで取り上げさせて頂き、考えうる改善策の中で、特にKUSANAGIがWebサイトの速度改善に有効、というお話をさせて頂きました。今回は2つ目の課題であるセキュリティ面での課題について取り上げていきたいと考えています。

■WordPressのECサイト向けプラグインと脆弱性

先日、このセキュリティニュースが発表されました。
「WordPress」の人気eコマースプラグイン「WooCommerce」に脆弱性 – 権限昇格のおそれ

WordPress向けのGDPR対応プラグインに深刻な脆弱性 – 乗っ取りや改ざん被害が発生

どちらもECサイトに関連するWordPressのプラグインで、非常に重要なアップデートになります。これだけでなく、WordPress自体のセキュリティアップデートも頻繁に行われていることも事実です。こうしたものは急いで適用したいですよね?ところがそれを許されないこともあるようです。

■そもそも、なぜアップデートしなくてはならないのか?

Webサイトは、不正アクセスや改ざんといったサイバー攻撃の危険に常にさらされており、その攻撃手法も様々で毎年新たな手口が発見されています。ひとたび被害にあってしまえば、顧客情報の漏えいや、ウイルスの配布元となってしまったり、悪質なサイトへの踏み台とされたりといったことが起きます。つまり、“被害者”だったはずが、“加害者”となってしまうのです。そうなってしまえば、企業イメージの低下は避けられず、事業へも大きな影響を与えてしまいます。
ではどうすればサイバー攻撃を防ぐことができるのか?大まかに上げていくと下記でしょうか。
(詳しく知りたいという方はIPAの「安全なウェブサイトの作り方(https://www.ipa.go.jp/security/vuln/websecurity.html)」も参考にしてくださいね。)
  • 1. 定期的なID/PWの変更やIDの見直し
  • 2. CMSと利用しているプラグインを最新に保つ
  • 3. Webサーバ側を最新の環境に保つ
  • 4. 定期的な脆弱性診断を行う
  • 5. WAFなどのセキュリティ製品を使用する
4と5はそれなりの金額が掛かります。(WAFは特に高いですね…)
1は割と簡単に実現できますが、2と3については更新してしまうことでWebサイトがきちんと表示されなくなってしまう可能性もあるため、安易に実行できません。これが先ほど言った気軽にアップデートできない理由です。

■Web制作会社はバージョンアップして欲しくない

ある取材先で、“制作会社からWordPressのバージョンアップをしないでください”と言われてしまったというお客様がいらっしゃいました。そのお客様のサイトはECサイトで、セキュリティ対策は重要なものです。それにも拘らず、アップデートができず、さらには重要なアップデートがでても、対策の依頼も拒否されたといいます。
とはいえ、顧客情報は重要ですし、WordPressとそのプラグインのアップデートをしてこなかったことによる弊害は他の部分にも表れます。
例えば、ホスティングサービスを使用している場合、サーバの環境は最新であることが多く、それによるアプリケーションの動作環境との齟齬が生まれてしまうといったことです。実際、そのお客様はレンタルサーバが最新環境なのに対して、古いWordPressを利用し続けたことで、一部の機能が使えなくなってしまいました。その上、情報漏えいのリスクはそのままです…。
そこで、そのお客様は状況を打開すべく、プライム・ストラテジーに相談をし、KUSANAGIとKUSANAGI公式サポートの利用を決めました。現在、既存のサーバから移設を行った後、バージョンアップを行い、無事最新環境で利用できるようになり、障害が発生しても相談できる先ができたことで、安心してWebの運用ができるようになったとのことでした。 (ちなみに、自社でクレジットカードの決済システムを持つ場合、カード情報を保持する必要があるため、PCI DSSというカード情報セキュリティの国際統一基準を満たす必要があります。この基準を満たそうと思うとWAFの導入が必須になるなど、対策にかかる費用が跳ね上がります。そのため、実際には外部の決済サービスを利用し、自社で保有しないことを選択するEC事業者が多いです。(○天とかのモールに出店することもありますね。))

■KUSANAGIを利用して安心安全なWebサイトへ

さて、なぜKUSANAGIはセキュリティ面でも安心して利用できるのでしょうか?
そもそもKUSANAGIを利用してWordPressをインストールすると、最初からセキュリティを考慮した形でチューニングされたものがインストールされるようになっているため、あまりWordPressを知らない人でも安心して利用できるようになります。また、機能面では2018年9月からWAFが利用できるようになっています。ちなみに、Let’s Encryptのインストールも簡単に利用できますよ。
さらに、KUSANAGI公式サポートサービスを利用すると、WordPressとプラグインのバージョンアップ時の動作検証や、運用上の相談も受けられるので、安心してWeb運用ができるようになります。 最後に、事例のご紹介です。
それまで抱えていた悩みが解決できて嬉しいという喜びが強く感じられた、とても印象深いお客様でした。

<KUSANAGI導入の経緯>
WordPressに特殊な機能を搭載したが、制作会社からバージョンアップによって機能が動かなくなる可能性があり、バージョンアップをしないようにと⾔われたという。しかし、レンタルサーバ側のバージョンアップは⾏われるため、数年たった頃には対応バージョンの不⼀致もあり、
不具合が発⽣、その機能が使えなくなってしまった。
それまでセキュリティ⾯での不安も制作会社に伝えてきたが対策される事はなく、この不具合の改修も断られてしまったため、業務への⽀障も考え、解決できる業者を探すことにした。

<お客様コメント>
サイトそのものと、プラスでサーバ環境まで責任を持って頂ける。私どもは素⼈なので、わからないことや起きたトラブルをそのままぶつけるしかなく、そのままぶつけられるというのは安⼼感があっていいですよね。解決策まで⾒せてくれる。
過去にはつらい目にあいましたが、今は安⼼感があります。これから、1年後か、いつになるかわかりませんが、将来に向けて、次のステップとして新たなコーポレートサイトの⽅向性をご相談できればなと考えています。
https://www.prime-strategy.co.jp/achievements/jirei_hotman/


Post Author: 菱沼佑香

菱沼佑香