Special
» 2018年06月13日 10時00分 公開

CMSのセキュリティは脆弱性対策とログイン保護で:誰もが安心して利用できるレンタルサーバーを目指して 〜国内最大級のレンタルサーバーへの攻撃調査から見えてきた対策とは

レンタルサーバーを利用する誰もが必ずしも高いサイバーセキュリティ知識をもっているわけではない。セキュリティを意識せずに誰もが安心して利用できるレンタルサーバーは理想論なのだろうか? 理想的なセキュリティ対策に挑戦し続けるGMOペパボの担当者2人とジェイピー・セキュア担当者の鼎談(ていだん)から、Webセキュリティ対策のヒントを探る。

[PR/@IT]
PR

 「もっとおもしろくできる」を企業理念に「インターネットで可能性をつなげる、ひろげる」というミッションに取り組むGMOペパボ。2003年の創業以来、レンタルサーバーのホスティング事業を中核に、ネットショップなどのEC支援や、ハンドメイドマーケットの運営、コミュニティ運営といった個人向けインターネットサービスを多数展開してきた。

 同社の代名詞ともいえるレンタルサーバー「ロリポップ!」は、申し込み総数が170万人を超え、200万サイト以上で利用されている国内最大級のサービスだ。ホスティング事業としてはこの他、オールSSDのレンタルサーバーサービス「heteml(ヘテムル)」、ドメイン取得サービス「ムームードメイン」、デザイン性の高いWebサイトを作成できる「プチ・ホームページサービス」、アルバム・写真共有サービス「30days Album」も展開する。

 これらのサービスを通じて、GMOペパボが積極的に取り組んでいるのがユーザー向けのセキュリティ対策だ。レンタルサーバーサービスは、インフラの管理者権限を持つクラウドやVPSなどのサービスとは異なり、いかにユーザーへIT運用管理の負担をかけずにサービスを提供するかが、ポイントとなる。セキュリティ管理も、OSのアップグレードなどを全て事業者側が責任を持って実施することで、ユーザーは自分のWebサイトやECサイトの更新に集中できるようにしている。

 そんな中、ユーザー向けセキュリティ対策のさらなる強化のため、2012年に採用したのがジェイピー・セキュアの純国産ソフトウェア型WAF(Web Application Firewall)製品「SiteGuard Lite」だ。レンタルサーバーのロリポップ!とヘテムルに標準で組み込まれ、デフォルトで有効になっている。レンタルサーバーを利用したユーザーは、使い始めた当初からWAFの恩恵を受けられる形だ。

 近年は、攻撃傾向の共同調査というかたちでジェイピー・セキュアとの協業も進めている。レンタルサーバーのサービスを提供している事業者とセキュリティ対策のソフトウェアメーカーによる協業というだけでなく、そこにはインターネット社会への貢献に取り組むという両社の姿があった。

 GMOペパボのセキュリティ運営は、グループ全体を見る専門部署の他に、事業のサービスごとにセキュリティを担保する取り組みを行う体制だ。SiteGuard導入を推進したホスティング事業部インフラチームシニア兼リーダーの原口宗悟氏と、ユーザーサポートを取り仕切るホスティング事業部カスタマーサービスグループリーダーの大久保愛氏は、「サービス事業者側がセキュリティを担保することで、個人のリテラシーに頼らず、セキュリティを意識せずに利用できる世界を目指しています」と、レンタルサーバーのセキュリティ対策を強化した狙いを説明する。

 レンタルサーバーのユーザーにアップデートの推奨や脆弱(ぜいじゃく)性の告知だけを行っているだけではセキュリティは十分高まらない。セキュリティアップデートやパスワード管理をユーザーに強いると、ユーザーの作業負担が増えてしまうからだ。いかにユーザーに意識させずに安全な環境を整備するか。そこで採用されたのがSiteGuardシリーズだったという。

 GMOペパボは「セキュリティを意識せずに利用できる世界」をどう作ろうとしているのか。ジェイピー・セキュア取締役CTO齊藤和男氏が、GMOペパボの原口氏と大久保氏に話を聞いた。

全てのユーザーにWAF機能を標準提供する理由とは

齊藤和男氏 齊藤和男氏

齊藤氏:SiteGuardを導入いただいたのは2012年でしたが、GMOペパボさんとは10年以上前からおつきあいさせていただいています。以前からセキュリティ対策には熱心で、脆弱性対策も独自に進めていらっしゃいましたね。

原口氏:はい。ウェブアプリケーションの脆弱性対策に関して、SiteGuardを入れる前は、自分たちでModSecurityなどのオープンソースのWAFを使って脆弱性対策を進めていました。ただ、これらのツールは適用範囲が限られており、全てのお客様をきちんと守るにはカスタマイズも必要です。そんな中、やはり信頼できる商用の製品を導入しようということでSiteGuardを選定した経緯があります。

齊藤氏:SiteGuardによるWAF機能は、全てのユーザーさんに標準提供されており、レンタルサーバーを契約し、利用を開始したときから保護されている状態になっていますね。セキュリティでは防御性と運用性のバランスが大事だとよく言われます。標準提供することはユーザーの防御性を高めますが、一方、運用面での課題もあったと思います。その辺りはどのように考えたのですか。

原口氏:社内でも相当話し合いました。セキュリティを厳しく設定することでお客様がサイトを運営するときに不具合が起きる場合があります。利便性が損なわれることで契約を止めるお客様もいるかもしれません。また、何かあった場合には十分なサポートも必要になります。ただ、われわれはホスティング事業者ですから、セキュリティを担保することはわれわれの責任です。もし、お客様が利便性を高めたいならクラウドのように自由度の高いサービスを自分の好きなように選ぶはず。最後はそのような考え方で導入を決めました。

原口宗悟氏(左)と大久保愛氏 原口宗悟氏(左)と大久保愛氏

大久保氏:実際にサポートしている立場としても、標準で提供することは必要だと感じていました。さまざまなCMS(Contents Management System)をクリックするだけで環境構築できる「簡単インストール」という機能を利用できるようにしています。簡単インストールを使うと、脆弱性対策が施された状態でサイトを立ち上げることができます。実際に、WAFが有効になっていることに気付かないお客様も多いと思います。

齊藤氏:私から聞くのも変な感じがしますが(苦笑)、WAFを標準提供することによるトラブルはありましたか。また、稼働状況などはいかがでしょうか。

大久保氏:リリース当初は、「サイトが403エラーで表示できない」といった問い合わせを受けることがありました。エラーの要因の1つは、WAFによるお客様の操作のブロックがあったのですが、サービス環境に合わせたチューニングを行っていただいたので、トラブルは激減しました。また、共通の防御ルールを適用しながら、お客様自身の権限で「この通信は許可する」といったように個別のカスタマイズも可能になっているので、有効活用しています。状況をきちんと説明して対応すると、お客様もセキュリティの大切さを理解して対応していただけます。

原口氏:インフラからみたサービス提供という点では、これまでトラブルなどはなく、安定稼働しています。この点は、ジェイピー・セキュアさん自身、自信をお持ちのことだと思いますが、安心して製品を利用しています。

シグネチャをスピーディーに更新、公開脆弱性を悪用する攻撃に対処

齊藤氏:IPA(情報処理推進機構)が先ごろ発表した「情報セキュリティ10大脅威 2018」のうち、組織に対する4位に、2017年にはなかった「脆弱性対策情報の公開に伴う悪用増加」がランクインしました。2017年はApache Struts 2やCMSの脆弱性を悪用した攻撃が大きな問題となり、脆弱性に関する情報が公開されてから攻撃が開始されるまでの時間が短かったことなどが背景にあると考えています。

 CMSでは、2017年にWordPressのREST API処理に見つかった脆弱性を悪用した大規模改ざんが問題になり、最近ではリモートからコードが実行されるDrupalの深刻な脆弱性が問題になりました。レンタルサーバーではCMSを利用されるユーザーさんが非常に多いと思いますが、こういった脆弱性に対するユーザーさんの意識や対応は実際どうなのでしょうか。

原口氏:お客様がなぜレンタルサーバーを使うかというと、面倒なことは考えずにサイトを運営したいからです。インフラを運用したいわけではありませんし、まして、セキュリティ対策をしたいわけではありません。あくまでビジネスなどの目的のためです。ですから「脆弱性が発見されたのでCMSのバージョンを上げてください」と言っても心に届きません。中には自分が使っているCMSの名前をはっきり覚えていないお客様もいます。

大久保氏:複数のサイトを立ち上げて、管理し忘れているというケースもよくありますね。1契約で数百サイトを立ち上げているケースもあります。全て管理できればいいのですが、中には、放置されているサイトもあります。こうしたサイトは攻撃者から狙われやすくなるので、メールなどで脆弱性情報や対策をお知らせするのですが、そもそも現状を把握していないので対策まで至らない。ご自身が対象であることに気付かない方もいらっしゃいます。

齊藤氏:だからこそ、全てのユーザーさんに対して均一にセキュリティ対策・機能を提供することが重要になってくるのですね。

原口氏:そうですね。例えば、Drupalに脆弱性が発見されたからといって、何十万の顧客の中から、Drupalをインストールして利用している方を探し出して、お知らせするということは現実的ではありません。全員を等しく守るためには、いったん全てをブロックすることが重要になってきます。Drupalのときも、お知らせしたあと、すぐにWAFのシグネチャをアップデートして、被害が出ないようにしました。

齊藤氏:SiteGuardシリーズでは、SQLインジェクションやクロスサイトスクリプティング(XSS)、ディレクトリトラバーサルといった代表的な脆弱性は、汎用的なシグネチャでカバーしています。Drupalの脆弱性のような深刻かつ緊急性のある最新の脅威に対してスピーディーにシグネチャを更新、提供することで、脆弱性が悪用される前に防ぐようにしています。

原口氏:DrupalのときもSiteGuardの対応が速かったですね。シグネチャの提供の他、普段のサポートもレスポンスが早くとても助かっています。メールを送ると数時間後には返信がある。逆に1日たっても返信がないと「何があった」と心配になるくらいです(笑)

セキュリティを高めるWordPressプラグインと海外アタックガードの効果

大久保氏:CMSの中でも多く使われているのがWordPressです。ジェイピー・セキュアさんが開発したWordPress専用のセキュリティプラグイン「SiteGuard WP Plugin」がとても使いやすく、お客様からも好評です。

齊藤氏:ありがとうございます。このセキュリティプラグインは、どなたでも無償で利用できるWordPress用のプラグインで、不正ログインや管理ページ(/wp-admin/)への不正アクセスやコメントスパムなどの攻撃を防ぐことができます。セキュリティプラグインはさまざまなものが公開されているのですが、どれも英語で、初心者の方にはハードルが高かった。標準のWordPressで不足している、ログイン制限やログインページの変更、管理ページアクセス制限、画像認証などを簡単に追加し、日本語で利用できることが大きな特徴です。

大久保氏:簡単インストール機能を使ってWordPressを構築すると、標準でSiteGuard WP Pluginも一緒にインストールされるようにしています。WordPressの公式サイトからプラグインを検索してインストールする必要もなく、より安全なWebサイトがすぐに構築できることは、お客様にとって大きなメリットです。

齊藤氏:簡単インストール機能でインストールできるCMS自体のバージョンを最新版に更新するタイミングも大変早いですね。

原口氏:そうですね。バージョンアップされた翌日か当日には最新版に更新しています。機能面だけでなく、セキュリティにおいても最新バージョンを利用することは重要なので、常に新しいバージョンでご提供できるように努めています。

齊藤氏:WordPressなどのCMSを利用するユーザーさんにとって、不正ログインの問題は深刻ですよね。国外からの不正アクセスによる改ざんも多いと聞きます。

原口氏:そうした改ざんに備えて、ログイン画面などへの海外からのアクセスを原則ブロックするという対策を施しました。これによって改ざん事態を大幅に減らすことができました。改ざんはログインページへの海外からの不正アクセスによって引き起こされることがほとんどです。海外からのアクセスを遮断することで劇的な成果を上げることができました。

齊藤氏:海外アタックガード機能ですね。海外からのアクセスを遮断することも相当議論になったのではないですか。

原口氏:なりました。利便性とセキュリティを考えて、長い期間検証を重ねてきましたね。

大久保氏:改ざんされたサイトを元に戻すのは、お客様にとっても大きな負担なのです。ときには復旧が不可能な場合もあります。そうであるなら、全て遮断して、もし海外から利用したいケースがでてきたら、一時的にアクセス制限を解除する使い方の方がいいと判断しました。ただ単に解除する方法を教えるだけでは、アクセス制限が解除されたままの状態で運用されてしまいます。サポートとしては、あくまで一時的な措置ということも含めて説明することに努めています。

レンタルサーバーへの攻撃傾向を共同検証し、セキュリティ統計レポートを公開

齊藤氏:GMOペパボさんとは、セキュリティ対策で協業させていただくことが増えました。その1つが2018年2月に発行したセキュリティ統計レポート「ウェブサイトを取り巻く脅威と対策〜リアルログから読み解く日本国内におけるWordPressセキュリティの現状〜」です。利用者数約40万人以上というロリポップ!などに対する攻撃傾向を調査しました。これだけの規模の情報ですし、ほかにはない有益な情報をお届けできると考え、当社ラボの活動の一環として実現しました。

セキュリティ統計レポートより レンタルサーバーサービスに対する攻撃種別の分類(セキュリティ統計レポートより)

原口氏:レポートによると攻撃は毎日50万件に達していますね。内容は、SQLインジェクションが4割近くを占め、OSコマンドインジェクション、バッファオーバーフロー、クロスサイトスクリプティングの順です。攻撃に使用された接続元IPアドレスはアメリカがトップ、次いで日本という状況です。

齊藤氏:今回のレポートでは、WordPressを中心として攻撃の傾向や対策をまとめているのも特徴です。WordPressへの攻撃を見ると、外部からの投稿などに用いるxmlrpc.phpへの攻撃が最も多く、テーマやプラグインに関連した攻撃の検出が多数となりました。例えば、/wp-content/plugins/や、/wp-content/themes/に対する攻撃ですね。レポートの内容を見た方々からも「うちのサイト(またはサービス)と傾向が同じだ。あらためて対策の重要性を認識した」といったお声をいただいています。これらを踏まえると、WordPressに代表されるCMSのセキュリティ対策は、いかに脆弱性対策を行うか、いかにログインを保護するか、これが基本であると分かります。

原口氏:こうした結果はわれわれの感覚とも一致します。SiteGuardをデフォルトで有効にし、WordPressのセキュリティプラグインを導入するなどで、サイト改ざんを激減させています。あらためて調査で対策が有効だったと分かってよかったです。

大久保氏:お客様としては、何も気にせずにサイトを運営したいのが本音です。何も気にしなくても守ってくれている。そんな環境がベストです。今後は、お客様のリテラシーという点でも、Webだけでなく、レポートを解説するイベントなどリアルな場でお客様との接点を増やしていきたいと思っています。また、新たに設定を代行するサービスも始めました。例えば「WordPressのサイトをたくさん作ったけれど、消し方が分からない」というニーズに応えます。セキュリティを高めることはもちろんですが、困りごとを解消する手段としてどんどん利用してほしいと思っています。

齊藤氏:われわれもGMOペパボさんをはじめとするサービス事業者と連携しながら、今回のレポートのような形で情報公開することで社会貢献につながっていければと考えています。統計レポートについては、当社の定点観測で収集している情報などを反映させて、夏に第2弾を公開する予定です。本日はありがとうございました。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:株式会社 ジェイピー・セキュア
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2018年7月12日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。