オウンドメディア、コンテンツマーケティングに関する話題をお届け。株式会社はてなが運営しています。

住むなら戸建て(DIY)か、マンションか? オウンドメディアのCMSを、セキュリティ視点で選んでみよう

f:id:hatenabusiness:20200625141913p:plain

外出自粛やテレワークの浸透によって、人々の行動はよりオンライン化が進んでいます。企業が自らオンラインで情報を発することの重要性が、ますます高まっていると言えるでしょう。オウンドメディアを始めたい、もっと活用したいと考えているマーケターや、採用担当者の方も多いのではないでしょうか。

オウンドメディアといえば主にコンテンツ制作やメディアへの集客に意識が向きがちですが、その前に、システムにおけるセキュリティ上のリスクについても考えておかなければいけません。ここではその理由と対策について考えてみます。

目次

無名の小規模サイトだから大丈夫?! 油断できないネットの世界

オウンドメディアに限らず、Webサイトは世界中から発信される悪意ある攻撃によって、常にさまざまなリスクにさらされています。もし攻撃を許してしまうと、例えばこのような事態が考えられます。

  1. サーバがダウンして閲覧できない
  2. コンテンツを改ざんされる
  3. メールフォームの受信内容など、重要な情報を抜き取られる
  4. まるごと乗っ取られて詐欺サイトに使われる(フィッシングサイト化)
  5. 攻撃プログラムを寄生させられ、他サイト攻撃の拠点に使われる(踏み台)

どれも避けたいものですが、特に3〜5は一般の人を詐欺被害に遭わせたり、他のサイトに被害を広げてしまうなど、自分たちが被害者であると同時に加害に加担してしまうことにもなります。

こうした攻撃のほとんどは、自動化された攻撃プログラムを用いて世界中のWebサイトを対象にランダムに仕掛けられています。あえて有名なサイトを狙う愉快犯などは別として、自動的に攻撃を行うプログラムが使われるようなケースでは、有名無名・規模の大小に関わらずどのサイトも攻めるべき対象として等価です。小規模サイトだからといって逃れられる保証はないのです。

WordPressを使うなら特に注意が必要な理由

オウンドメディアを含め各種Webサイトの構築によく使われるのが「WordPress(ワードプレス)」というプログラムです。これは、Webサイトのコンテンツ制作に必要な技術(HTMLやCSSなど)をより簡易な方法で使えるようにし、サイト管理を効率化する仕組み「CMS(コンテンツマネジメントシステム)」の一種です。

f:id:hatenabusiness:20200625131315p:plain
https://ja.wordpress.org/

WordPressは数あるCMSの中でも特に利用者が多いのが特徴です。理由としては主に

  • オープンソース(ソースコードが一般に公開され、ライセンスに基づいて誰でも自由に使用できるプログラム)なので低コストで利用できる
  • デザインをカスタマイズするための「テーマ」が豊富
  • 機能をカスタマイズするための「プラグイン」が豊富

などが挙げられます。

(※ 当記事で紹介する「WordPress」とは、 https://ja.wordpress.com/ で提供されるサービスではなく、 https://ja.wordpress.org/ よりダウンロードできるオープンソースソフトウェアを指しています)。

建築に例えるなら、基礎工事が終わっている土地に、規格品の部材を組み合わせて、DIYで家を建てるようなイメージです。海の家から大名屋敷まで、目的に合わせて多様な設計が可能です(もちろん技術力は必要です)。しかし、家の防犯対策であるセキュリティやライフラインのメンテナンスについても自分たちで配慮する必要があります。

f:id:hatenabusiness:20200623112503p:plain
目的に合わせて高い自由度で設計できるWordPress = DIYで家を建てるようなイメージ

誰でも使えるオープンソースであるがために、攻撃者側にもWordPressの「基礎」であるコアプログラムの特徴(例:URL構造やデータの入出力仕様など)は知られており、そこにありがちな弱点を突く攻撃が非常に多いのです。また、プログラム上の弱点(脆弱性)も頻繁に発見されます。いつ深刻度の高い脆弱性が報告されるかわからないので、逐次対応できる体制が必要です。

やっかいなのが、基礎部分のアップデートです。建築なら基礎は動きませんが、脆弱性対策や新機能対応などのためにWordPressの基礎はたびたび更新されます。これによってプラグインが適合しなくなり、それまで使っていた機能が使えなくなってしまうケースがあります。かといってアップデートを放置すると攻撃側にスキを与えることになります。安全な状態を維持するには、メンテナンスをし続けながら適切に動くよう改修し続けることが非常に大切なのです。

セキュリティのために講じるべき対策は?

では、具体的にどのような対策をすれば良いのでしょうか。一口にセキュリティ対策と言っても、考えるべきポイントは多岐にわたります。例えば下記のようなものです。

  • WordPressを最新版にアップデートする
  • ログイン画面のURLを変更する
  • テーマ、プラグインの提供元の信頼性などを確認する
  • テーマ、プラグインを必要に応じて最新版にアップデートする
  • サーバー監視を実施する
  • 脆弱性データベースの情報をチェックする
  • 定期的にデータをバックアップする
  • プログラムの実行許可も含め、ファイルパーミッションを適切に設定している
  • 脆弱性診断を定期的に実施する
  • 管理画面のアクセスに追加の敷居(例:IPアドレスホワイトリストで限定)を設けている
  • 使われていないユーザアカウントは-定期的に削除している
  • アラート通知など障害発生にすぐに気づく体制がある……など

これらはWordPressでなくとも気をつけるべき点を含め、たくさんある「やるべき対策」のごく一部です。最初に設定すれば済む項目もありますが、継続的に実施したり、毎日行うべき項目もあります。

WordPressでCMSを構築する場合は、こうした対策が自分でできる、または人に指示できる担当者がいることが望ましいでしょう。いない場合は、専門性のあるパートナーと継続的な保守・サポート契約をするのがおすすめです。CMS設計の段階からセキュリティ対策や中長期の保守管理を含めた提案・見積もりを出してもらい、体制づくりや役割分担を協議しましょう。

「DIY」と「お任せ」、自社に適した選択を

外部パートナーに設計・保守管理を依頼する場合でも、社内の人がある程度理解していなくては見積もりや保守内容の妥当性を判断できません。また、作業の度に発注や確認の窓口になることで担当者の負担が増えると、本来コンテンツ制作にかけたい時間を削られることになってしまいます。

その点が気になるなら「SaaS型」のCMSを利用することも検討してみてはいかがでしょうか。SaaS型は、ベンダー(開発提供元)と契約しサービスの形で利用するCMSです。建築に例えるなら、主要な構造部の工事が終わったマンションのようなものです。間取りやインテリアはライフスタイルに合わせてカスタマイズでき、共用部には管理人が常駐して防犯やライフラインのメンテナンスをしてくれるイメージです。ただし、住居向けに建設されたものを劇場に転用するような、用途が大きく異る使い方には適していません。

また管理コストについてもDIYとマンションでは差があります。DIYで家を建てる場合、メンテナンスの費用やペースも自由度が高い分、予想外の出費を予測しづらくなります。マンションの場合、管理会社から一定の管理費用を取られますが、管理の手間は関わらず、また一定以上のコストが突然発生することはありません。

f:id:hatenabusiness:20200623112841p:plain
メンテナンスはアウトソースし、「暮らし」の中身に集中できるSaaS型CMS


オープンソース型とSaaS型の比較

オープンソース型(WordPress)とはどのような点が異なるのか、一般的なSaaS型と特徴を比較してみました。

オープンソース型CMS(WordPress) SaaS型CMS
特徴 開発・メンテナンスまで、最小限の体制・コストで運用する
「DIYスタイル」
開発・メンテナンスはベンダーに任せ、
コンテンツ制作に専念する「お任せスタイル」
選ばれる
理由
・工夫次第で初期コストを抑えられる
・機能・デザインのカスタマイズ性が高い
・シェアが大きい
・開発者コミュニティが活発で、情報が豊富
・手間のかかる管理・メンテナンスを
 アウトソースできる
・ベンダーが品質・安全性の責任を持つ
・無差別な攻撃に比較的強い
・技術面の知識がなくても管理できる
注意したい
ポイント
・悪意ある攻撃に狙われやすい
・アップデートや脆弱性対応を
 頻繁に行う必要がある
・オープンソースなので”開発元”に責任を
 問うことが難しい
・ある程度技術面がわかる担当者が
 望ましい
・予定外の改修・メンテナンスコストが
 発生する可能性がある
・ある程度の初期費用・月額利用料がかかる
・カスタマイズに一定の制約がある
・ベンダーがサービスを撤退した場合は
 使えなくなる
こんな方に
おすすめ
・運用開始時のコストを抑えたい
・自由度の高い設計をしたい
・開発パートナーとこまめに折衝できる
 環境がある
・コンテンツ制作以外の労力を低減したい
・メディア成長による想定外の
 コスト変動を避けたい
・人員が少ない、ITに詳しくない
・外部パートナーに頼らず運営したい

一番の違いは、WordPressが開発からメンテナンスまで自分たちで主体的に行う「DIYスタイル」であるのに対し、SaaS型はそれらの部分をベンダーに任せ、自分たちはコンテンツ制作に専念する「お任せスタイル」であることです。

オウンドメディアは成果が出るまでに1年以上はかかる中長期的な施策です。1年後、2年後のなりたい姿、そこまでのKPIや必要なコストに、CMSの選択が大く影響してきます。メディアの目的、目指す成果、継続可能な運用スタイルなどをよく検討した上で、適したCMSを選択することをお勧めします。

はてなブログMediaについて

はてなでは、オウンドメディアに特化したSaaS型CMS「はてなブログMedia」を提供しています。多忙なオウンドメディア担当者が「書くこと」に集中できるCMS「はてなブログMedia」について、ぜひお気軽にご相談ください。