こんにちは。プライム・ストラテジー 顧問の吉政でございます。プライム・ストラテジーの事例集はご覧になったことはありますでしょうか? プライム・ストラテジーの事例集にはKUSANAGIやマネージドサービスを中心にお客様のご評価をいただいた事例が200サイト以上掲載されております。
今回はその事例集の中から2022年に最も読まれた注目の事例からセキュリティ関係でご評価をいただいた事例をピックアップして、取締役の相原と私の二名で見どころを解説していきます。
今回ご紹介する事例は以下の3事例です。
■日本事務器株式会社様
トータルソリューションサービスを提供する日本事務器がKUSANAGIを導入、コーポレートサイトのセキュリティ対策を強化
■株式会社マックスパート様
サイト改ざん被害の根本的対策をKUSANAGIとKUSANAGIマネージドサービスで解決
■パナソニック オペレーショナルエクセレンス株式会社様
パナソニックが運営するくらしについての「問い」と「対話」のメディアサイト『q&d』 表示高速化とセキュリティ対策をKUSANAGIで実現
「KUSANAGI」と言えば、高速化での評価が良く知られていますが、企業で「KUSANAGI」が採用される理由に、「セキュリティの向上」を上げられる企業も多いです。
今回は最新の事例から、企業が自社のWebサイトのセキュリティに対してどのような課題をもって、どのように解決できたのかを、事例をもとに解説します。
見どころの部分は取締役の相原と私で相互にコメントをしながら紹介していきます。
日本事務器株式会社様
社名:日本事務器株式会社様 対象サイト:コーポレートサイト
サービス導入前の課題
i. 常時SSL化への対応
ii. インフラの脆弱性を解消したい
iii. 利用者目線で見やすいサイトにデザインを変更したい
iv. WordPress環境、インフラ環境の双方をサポートしてくれる保守体制
サービス導入後の効果
i. 常時SSL化の実装を完了した
ii. 既存のテーマを利用してカスタマイズしたためコストを抑えてレスポンシブに対応できた
iii. WordPress環境、インフラ環境の双方に対応してくれる24時間365日の保守体制を確保した
【吉政】
この事例でご注目いただきたいのは、コーポレートサイトのWordPress環境とインフラ環境の24時間365日の保守委託で、投資対効果が取れているというところです。一般的なWebサイトの24時間365日の保守はWebサービスを提供しているサイトやECサイトであれば24時間365日の保守を委託しても採算が取れますが、コーポレートサイトでの24時間365日保守となると、単純な保守以上の手厚いサービスでないと投資対効果は得られにくいはずです。本事例においては、WordPress環境とインフラ環境を完全に委託することで、担当者が他の業務に専念できることで採算がとれております。
【相原】総合的なガバナンスの実現への取り組み
最近、色々なお客様と「Webのガバナンス」というキーワードでお話をさせていただくことが多いのですが、「Webのガバナンス」とひとことでいっても
・セキュリティ
・可用性
といったシステム面から始まって、Webサイトのユーザーの使いやすさ、企業としてのブランディングまで、とても範囲が広いのです。
日本事務器様はコーポレートガバナンスとしてWebサイトのセキュリティ対策を重視されていらっしゃいます。
・常時SSL化やWAFなどによるセキュリティの強化
・冗長化や24時間365日の保守体制での可用性の確保と強化
・バージョンアップによる継続的なセキュリティの担保
と、コーポレートガバナンスに沿ったシステム面での強化を行った上で、
・Webサイトのリニューアル
・新規サイトの追加
を進めており、総合的に「Webのガバナンス」の実現に取り組んでいらっしゃいます。
この取り組みは、皆さまのサイトのガバナンスを考える上でもとても参考になるのではないかと思います。
また、自社で行うべきところと外部に委託するところをしっかりと分けて考えていらっしゃるのも印象的です。
ぜひ、日本事務器様のガバナンスへの取り組みや運用への考え方などついての取り組みを参考になさってください。
事例の詳細は以下のページをご覧ください。
https://www.prime-strategy.co.jp/achievements/njc_corporate/
日本事務器様のこちらの事例もぜひご覧ください。
・多くの図書館が導入するネオシリウス、KUSANAGIで安全なWebサイト運営
https://www.prime-strategy.co.jp/achievements/njc_neocilius/
株式会社マックスパート様
続いて二つ目の事例です。まずは事例の概要をご覧ください。
社名:株式会社マックスパート様
対象サイト:ケータリングネット
サービス導入前の課題
i. サイトの一部が改ざんされてしまい、その対策と根本的対応を急いで実施する必要があった
ii. Webサイト上の画像や記事増加により表示が遅くなっていた
サービス導入後の効果
i. 改ざんについての対応とその後のセキュリティ体制を作ることができた
ii.サイト表示がとても速くなった
【吉政】
この事例で注目していただきたいのは、サイトの改ざん防止の件です。多くのお客様は著名な大型サイトしかサイト改ざんのターゲットにはされないと思っていますが、攻撃側はサイトの規模に関係なく、改ざんできる場所を機械的に探し、改ざんできる場所があれば、自動的に攻撃をして改ざんするようなイメージです。WordPressは全世界のWebサイトの4割で稼働しており、大変便利で投資対効果の高いCMSです。それゆえに、プラグイン(WordPressのサブプログラム)やテーマ(デザインをつかさどるプログラム)の数も多く、バージョンアップも頻繁です。バージョンアップが頻繁なのは良いことですが、プラグインを複数利用していると、カスタマイズ部分やその整合性により、バージョンアップ時に障害がおこることもあります。それゆえに、システム部分に強い業者に委託しないとスムーズなバージョンアップを行えなくなります。そしてバージョンアップが滞ると改ざんのリスクは高くなります。
【相原】セキュリティ対策と高速化を両立してユーザーとのよりよいコミュニケーションを
「サイバー攻撃」というキーワードを耳にすることが増えてきました。日本へのサイバー攻撃が3年で倍増している、というようなニュースもありました。
「サイバー攻撃、日本に矛先 3年で攻撃数倍増-チャートは語る」日経電子版2023年1月22日
(https://www.nikkei.com/article/DGXZQOUC0971U0Z01C22A2000000/)
(Webセキュリティの2022年の振り返りでもWebサイトや決済代行事業者のクレジットカード情報漏洩などを取り上げていますので興味のある方はご覧ください)
Webサイトの安全性は、ユーザー保護、企業ブランドの維持という観点からも、とても重要です。
マックスパート様は「関わるすべての方々の笑顔を手助けする」とう理念のもと、サービスを展開されており、マーケティングやサービスサイトなどでWebサイトを活用されていらっしゃいます。その中でWebサイトの改ざんをきっかけにセキュリティの体制の見直しをされました。
アップデートなどに必要な対策を実施し、さらに表示も高速化したため、よりユーザーとのコミュニケーションが円滑に行えるようになりました。
安全なWebサイトであることは、基本ではありますが、実現して、さらに維持していくというのはなかなかに難しいものです。
ぜひ皆さまもWebサイトのセキュリティについてあらためて考えてみてください。
事例の詳細は以下をご覧ください。
https://www.prime-strategy.co.jp/achievements/maxpart_net/
マックスパート様の高速化事例もぜひご覧ください。
・大阪の研修特化型ホテルサービスサイト KUSANAGIで驚くほど高速化&WordPressセキュリティ体制構築
https://www.prime-strategy.co.jp/achievements/maxpart_kensyu-center/
・WordPressの運用で増えた画像やコンテンツで発生したサイト表示の遅さをKUSANAGIで解決
https://www.prime-strategy.co.jp/achievements/maxpart_catering-net/
(参考)改ざんの確認にも使えるWPコマンド
ちなみにWordPressには「WPコマンド(WP-CLI)」という、WordPressの操作をする便利なコマンドがあって、
wp core verify-checksums
でコアファイルの差分(https://developer.wordpress.org/cli/commands/core/verify-checksums/)、
wp plugin verify-checksums
でプラグインの差分(https://developer.wordpress.org/cli/commands/plugin/verify-checksums/)を確認することができます。
簡易的な改ざんチェックにも利用できますが、あくまでコアファイルなので独自に作成、追加したものやデータベースなどは対象外です。また実際に改ざんされた場合にはコマンドのみで対応できることはほぼありません。
セキュリティインシデントへの対応はとてもコストのかかるものとなってしまいますので、「予防」に力を入れることをおすすめしたいと思います。
パナソニック オペレーショナルエクセレンス株式会社様
続いて三つ目の事例です。まずは事例の概要をご覧ください。
社名:パナソニック オペレーショナルエクセレンス株式会社様
対象サイト:q&d
サービス導入前の課題
i. 10代~20代向けのサイトのためスマートフォンからの閲覧を見越したサイト表示の高速化を実現したかった
ii. 社内でサイトを運営していくためにも十分なセキュリティの確保が必要だった
iii. WordPressでメディアサイト運用を行うにあたり、安全かつ安定した運用を行う必要があった
サービス導入後の効果
i. ページビューが増えてきても、スマートフォンからのページの表示はとても速い状態を維持できている
ii. セキュリティの確保も十分にされており、社内でも問題ない形で運用を続けられている
iii. サーバが安定稼働できていることにより、コンテンツ拡充などサイトの安定した運用が実現できている
【吉政】
この事例で注目いただきたいのは、更新性を高めるためにWordPressを採用し、健全に運営するため、WordPress環境とインフラ環境の保守とセキュリティの担保をプライム・ストラテジーに委託をしている点です。これにより、社内担当者はコンテンツの更新に専念でき、迅速に高品質なコンテンツを安全に公開しやすくなります。最近では、社内の情報システム部門や総務部門等でWordPress環境とインフラ環境を統合的にプライム・ストラテジーに委託をいただき、当該部門から現場部門に健全に運営できるWordPressなどのCMSをサービス提供する形がコストメリットも大きく、流行っています。今回の事例は1サイトでの事例ですが、委託するメリットを事例にてご確認いただければ幸いです。
【相原】利便性とセキュリティの両立を実現
事例の対象サイト『q&d』は、パナソニック様が10代や20代の若者の自分らしい暮らしに寄り添うことを考えて始まったという、個性的なコンセプトのサイトです。
更新性などの使い勝手の良さからWordPressを利用することになりましたが、セキュリティや安定性、スマートフォンでの高速な表示という条件を満たすことが必須でした。
パナソニック様のように、企業サイトでは、WordPressを利用したいがセキュリティと速度が課題となる、ということは多いのではないでしょうか。
WebサーバやPHPなどのミドルウェア、WordPressなどのアプリケーションなど、現実的に脆弱性が全くない、ということはありえません。これはOSSであってもなくても同じです。ですから、できる限りセキュリティに配慮した構成で、脆弱性などの情報があったときにすばやく対応できる体制を整えることがとても大切です。
相反するように感じることもある利便性とセキュリティの両立を実現されている事例としてぜひ参考になさってください。
事例の詳細は以下をご覧ください。
https://www.prime-strategy.co.jp/achievements/panasonic_qandd/
いかがでしたでしょうか?
プライム・ストラテジーの事例は業界ごと、課題ごとに良くまとめられております。興味がある方は、以下の事例集のページもご覧ください。
https://www.prime-strategy.co.jp/achievements/
あとがき
「セキュリティ」とひとことで言っても、企業やWebサイトによって、どのように取り組むかは異なります。今回ご紹介した3つの事例をあらためて振り返ると、サイトに訪問される「ユーザー」のことを考えていらっしゃる点が共通していると思いました。とても大切なことですね。
今回の事例の紹介が、皆さまがWebサイトのセキュリティをどのように運用していくかの参考になれば幸いです。
