MTのユーザーイベント「MT東京」に行って来ましたので、レポートしたいと思います!
もくじ
【MT東京-05】安全安心 MovableTypeのセキュリティ
今回テーマは、「セキュリティ!」当然MovableTypeのセキュリティなんですが、内容はどんなCMSやWebサイトにおいても同様のことがいえる内容でした!
会場は「KDDIウェブコミュニケーションズ」さん!(ありがとうございます!)
セッション:
- 【セッション1】 イケテルエンジニアが使ってるSplunk、サイバーセキュリティ対策最新事例紹介
マクニカネットワークス株式会社 鈴木富士雄 様- 【セッション2】 Webサービスの利用規約を作るときに絶対に押さえないといけない10のポイント
弁護士 藤井総 様- 【セッション3】 MTで学ぶセキュアプログラミング
アルファサード株式会社 野田純生 様- 【セッション4】 Movable Type と CMSのセキュリティ
シックス・アパート株式会社 長内毅志 様
イベント告知:
【セッション1】 イケテルエンジニアが使ってるSplunk、サイバーセキュリティ対策最新事例紹介
最初のセッション!「マクニカネットワークス株式会社 鈴木富士雄 様」より発表いただきました!
Splunkを使った、MovableTypeノアクセス解析、およびそれによるセキュリティ対策
って内容でした。
ログ基盤の必要性・・・いろんなセキュリティ事象はログから見つけることができる!ってことや、Splunkはそれらを簡単にする「検索」インターフェイスや、「レポート」「ダッシュボード」を有するというお話です~
実際にログを取り込んで、検索・レポートしているところです!
また、マクニカネットワークスさんのブログではセキュリティに関する最先端な情報発信をしていますよ!
このブログ投稿者の一人である、ホワイトハッカーにMTをチェックしてもらった結果がこちら。
重大な脆弱性である「High」が最新版の「素の状態」では見当たらなかった。
この他、こういったアクセスがあるので気を付けていきましょう~っていうアドバイスもいただけましたよ!
Splunkの導入には多少のサーバーの知識が必要です。。。
Linuxで少し古い情報でよければ、本サイトの「Splunkカテゴリ」をご覧いただければ幸いです。
【セッション2】 Webサービスの利用規約を作るときに絶対に押さえないといけない10のポイント
続いて、「弁護士 藤井総 様」より「利用規約」の話大手企業であっても「利用規約」の作成は難しいのです。ということ。
10個説明してもらいましたけど、ものすごい濃さですべては覚えきれませんでした・・・w
- 利用規約は必要。でも流用はいけない
- Webサービスを規制する法律を押さえる
- サービス上に送信されたデータの権利関係を処理する
- 準拠法と管轄裁判所は日本にする
- ユーザーが起こしたトラブルには、対処しないといけない
- ユーザーの問題行動には、禁止行為とペナルティで対処する
- 免責規定は必要。でも違法で無効にならないようにする
- 利用規約への同意を有効にとる
- 利用規約の変更を可能にする規定を入れておく
- ユーザーの目線に立った利用規約にする
- メッセンジャーのサービスするには、電気通信事業者登録しなくちゃダメ
- 免責上限や免責条件は提示することで、賠償の範囲を限定できる
- 準拠法は「日本」、管轄裁判所も「日本」
- 禁止行為を規定して、必ず、ペナルティも規定する
セッションの一部を紹介
「利用規約への同意を有効に取る」の例
- 利用規約は、企業の存続を揺るがすこともある大切なものなので、上記点を考慮したうえで作成しましょう!
- また、自社で難しい場合はしっかりとした専門家に確認してもらいましょう!
- 自社内の法務担当もITに詳しいとは限らないので、詳しい弁護士って珍しいなぁ~って思いました!
【セッション3】 MTで学ぶセキュアプログラミング
次は、「アルファサード株式会社 野田純生 様」による、セキュアプログラミングアルファサード株式会社さんは、MovableTypeにたくさん貢献している会社さん!
「何のために、セキュリティ対策をするのか」 → ここ一番大事だと思います!
「何をされたくないか」ここもしっかりしておきましょう!と
投稿権限で、サイトのデザインを変えられたり・・・投稿権限で権限外のページ削除ができたり・・・
なんてことは出来てはいけない。
気になったワード!
「これからはセキュリティだって、UX重視だろ!」・・・あるリンクをクリックしてログインを求められたら、「○○しようとしています」みたいなメッセージが出るとか。
まとめ:
- セキュアプログラミングは性悪説
- それでも程度問題。何をやられないようにするか。何を優先するか
- セキュリティにもUXの視点が必要
- ユーザーの入力を信用しない
- エスケープは出力時に統一する
- SQLを自前で書くな。API使え
- 正規ユーザー攻撃型改ざん対策のために、一時トークンを使う
追記:資料が公開されていました!
【セッション4】 Movable Type と CMSのセキュリティ
いよいよ中の人「シックス・アパート株式会社 長内毅志 様」他に、
- CMSサーバーと公開サーバーを分ける
- 管理画面にBasic認証をかける
- CGIスクリプト名を変更する
- 使わないスクリプトの権限を変える。止める。
- パスワードの強度を上げる
- ロックアウトを設定する
ここに書けなかった部分は、以下のページに詳しく書かれています!
追記:資料が公開されていました!
MTDDC Meetup TOKYO 2014
イベント名 | MTDDC Meetup TOKYO 2014 |
開催日 | 2014年11月29日(土) |
主催 | MT東京 |
場所 | ヤフー株式会社(東京ミッドタウン・タワー内) |
まとめ
- WordPress界隈がかなり盛り上がっていたので、あんまり動向を追っていませんでしたが、改めてとっても魅力的なCMSでした!
- 商用利用は有償ライセンス、個人利用は無償で使えるらしいのですが・・・アフィリエイトサイトを個人でやる分には「個人ライセンス扱い」だそうですよ!!!
- CMS(コンテンツ作成)サーバーと公開サーバーを分けることが可能なので、高パフォーマンス!高セキュリティ!
KDDIウェブコミュニケーションズさん、IDCフロンティアさんはじめスポンサー企業さんありがとうございました!
参考図書
藤本 壱,柳谷 真志,奥脇 知宏 マイナビ 2013-11-30