無料CMSとして広く使われているWordPressは度々脆弱性が指摘され、都度アップデートが必要ですが、それすら対応できていない企業も多くあります。
近年、無料で手に入るフリーウェアだからこそ、脆弱性が多く見つかるといわれるWordPressと比べて、よりセキュリティの高いシェアウェアのMovableTypeを選んできたクライアントもいましたが、今年に入ってMovableTypeの XMLRPC API における OS コマンド・インジェクションの脆弱性について(JVN#41119755)が出てくるとかなり様子が変わってきました。
自分の周囲のWeb制作の現場では「ある程度の規模にある会社はWordPressもMovableTypeもオンプレミス型(サーバー設置型)のものはもう使わない方がよいのでは?自動でアップデートされるクラウドサービスを使うべき時代がきたのかもしれない」という結論に至りつつあります。
個人サイトであったり、個人情報のやり取りが無い企業サイトはまだいいですが、企業サイトもフォームは有料のフォームサービスを使い、自前のフォームは設置しない方が安全性が高いと考えられます。
「うちのサイトはスクラッチでプログラムを作って用意したから安心」という『スクラッチ安全神話』を盲信する人もいますが、スクラッチで作ったからこそアップデートされる機会がなく、さらに他のクライアントでも使いまわしており、そのクライアントをめがけて不正アクセスをされてしまうと、それこそ脆弱性の塊のようになっているサイトも多数あります。
もはやオンプレミス型(サーバー設置型)のCMSのセキュリティの限界を感じます。
- フォームや決済は外部サービスを利用する。
- サイトでは個人情報を扱わない。
を徹底することで情報漏洩リスクを防ぎ、セキュリティコストを安く上げる事ができるといえますので、今後こういった業界の流れになっていくのは必然と思われます。