お問い合わせ

企業Webをヘルシーにする、新手法とは?

システム本部 第二部 マネージャー 榛葉 裕幸

年々、Webサイトの管理負担が過大となるなか、サーバーレステクノロジーを利用した、新しいアプローチが注目されています。

Web担なら知っておきたい「脅威と責任」

Webが顧客行動の起点となるいま、業種、業界を問わず多くの企業が、顧客との接点として、ターゲットユーザーごと複数のWebサイトを開設し運営しています。

一方で、組織内に散在し放置された“野良サイト”や“野良CMS”が深刻な問題です。Web担当も把握していない管理不行き届きのWebサイトが攻撃者に狙われ、さまざまなセキュリティインシデントが発生しています。

IPA(情報処理推進機構)からたびたび注意喚起や啓蒙資料が出ていますが、2019年3月、新たに「 ウェブサイト運営のファーストステップ~ウェブサイト運営者がまず知っておくべき脅威と責任~pdf 」が公開されました。

資料では、セキュリティ被害など「ウェブサイトにおける脅威は、ウェブサイトの脆弱性が原因」であるとし、この脆弱性(セキュリティ上の弱点)への対策、そして万が一のインシデント対応まで、その「責任者は、ウェブサイト運営者」である、と指摘されています。

とはいえ、脆弱性対応は、企業Webにとってはノンコア業務。いわゆる“Webサーバーのお守り”が重要となりますが、高い専門性が求められるうえ保守体制や仕組みの整備に予算の確保と、企業のWeb担当者には大きな負担です。

そもそも、なぜ脆弱性は存在するのでしょうか。

Webサーバーは隠れメタボ!?

Webサイトを公開するには、Webサーバー(HTTPサーバー)を必要とします。一般的なWebサーバーは、OSに、Apache、PHP、MySQLといったミドルウェア、それらに依拠して動作するCMSなど、複数の異なるソフトウェアで構成されています。

これらのソフトウェアはとても有用で利便性の高いWebサイトの提供には欠かせません。しかし一方で、常に“潜在的な脆弱性”を抱えてもいます。”潜在的”というのは、ソフトウェアテストにおいて「脆弱性がない」ことを証明することは非常に難しいからです(テストの7原則「原則 1:テストは欠陥があることしか示せない」)。実際に、軽微なものから重篤なものまでさまざまな脆弱性が事後的に発見されています。

このWebサーバーの状態を人間の健康状態に例えるなら「隠れメタボ(メタボリックシンドローム)」。常に脆弱性という名の、表からはわからない“内臓脂肪”を抱えています。メンテナンスを怠れば、“深刻な病気≒セキュリティインシデントや障害”、につながる可能性が高い状態です。

サーバーレスでメタボ予防とデトックス

そこで注目されるのが、そもそもWebサーバーを使わない=“サーバーレス”によるWebホスティング。サーバーレスとすることで、脆弱性≒内臓脂肪を減らし、体内に溜まった毒素や老廃物を取り除く、いわば“脆弱性デトックス”です。

具体的には、「Amazon Simple Storage Service(S3)※1」など、サーバーレスのクラウドストレージサービスを利用して、サーバー側スクリプト(PHP、JSP、ASP.NET など)を使わず、完全に静的なファイル(HTML、CSS、JavaScript、画像 など)のみで構成されたWebサイトをホストする方法です。

サーバーレステクノロジーで静的Webサイトホスティング(static website hosting)とすることで、Web担当者は、わずらわしいサーバー内ソフトウェアの脆弱性対応から解放され、改ざん・乗っ取り・ボット化といった脆弱性を突いた攻撃の脅威を限りなく排除することができます。

もちろん、メリットだけではなく、制約もあります。まず、サーバーサイドスクリプトを使うことができません。問い合わせフォームなど、従来、サーバー側スクリプトで実現していた機能要素は、SPA(Single Page Application)や外部サービス利用など、別の仕組みを考える必要があります。

当然ながら、WordPressのような、Webサーバーにセルフホストして利用するCMSも、S3に配置して動かすことはできません。あらかじめ生成しておいた静的ファイルをS3バケットに直接ファイルアップロードして公開、が基本的なコンテンツ更新フローとなります。

企業Webでは、組織的なコンテンツ管理を必要とします。コンテンツマーケティングやIR情報など、頻繁に更新され異なる役割を持つ社内関係者との連携も不可欠です。もしCMSが利用できないと、記事作成からプレビュー確認ののち承認公開、といった一連のワークフローをいかに適正かつ効率的なものとするかは課題です。

楽ヘルシーな「静的コンテンツ専用ホスティング」

当社は、「クラウドCMS on AWS - WebRelease」の新プランとして、「S3ホスティング」の提供を開始しました。

WebRelease※2によるコンテンツ管理/マルチサイト運営機能に加え、Amazon S3 + Amazon CloudFront※3をもちいたサーバーレスの「静的Webサイトホスティング」により、さらに安全で快適なハイパフォーマンスWeb環境を提供します。

ミツエーリンクスでは、クラウドCMSを活用した、企業のWebサイト運営業務に適したリスクコントロールの整備/改善、Webガバナンスの実現をご支援しています。

Web活用はがんばりたいけど、ノンコア業務で無理はしたくない、Web運営をもっと楽にヘルシーにしたい、といった課題がありましたら、お気軽にご相談ください。

※1 Amazon S3とは
業界をリードするスケーラビリティ、データ可用性、セキュリティ、およびパフォーマンスを提供する、AWSのオブジェクトストレージサービス。
※2 WebReleaseとは

フレームワークスソフトウェア社が開発する国産商用CMS。企業利用に耐える機能性と安全性を兼ね備え、Amazon S3バケットへのコンテンツ直接アップロード機能を標準搭載。

  • セキュリティ対策容易、大量アクセスに強い、静的コンテンツ配信型
  • RDB不要・マルチコアCPU対応、数万ページの大規模サイトにも対応
  • カスタマイズ不要なパッケージ製品、5年以上の長期利用実績多数
※3 Amazon CloudFrontとは
データ、動画、アプリケーション、およびAPIを、低レイテンシーの高速転送により視聴者に安全に配信する、AWSのグローバルコンテンツ配信ネットワーク(CDN)サービス。

関連情報

2019年のコラム一覧に戻る

Newsletter

メールニュースでは、本サイトの更新情報や業界動向などをお伝えしています。ぜひご購読ください。

メールニュース購読を申し込む