CMS連携 会員サイト構築の記事
ARTICLEMovable Typeの安全性(脆弱性)は?セキュリティ対策方法を解説
Webサイト構築の際に利用されるCMSにMovable Typeがあります。Movable Typeはセキュリティ面での安全性はどうなのでしょうか。今回の記事ではMovable Typeのセキュリティ対策について解説していきます。
目次
Movable Typeとは?仕組みは?
Movable Typeとは、どのような仕組みで、どのような利用方法なのでしょうか?
Movable Typeについて、仕組みや使い方を解説します。
WordPressと並ぶCMS
Movable Type(ムーバブルタイプ)とは、Six Apart(シックス・アパート株式会社)の提供するCMSソフトウエアです。
Movable Typeは、WordPressと並び代表的なCMSの1つで、始めやすさや使いやすさが評価されています。
個人ブログから企業サイトまで
Movable Typeは、詳しい知識がなくても、ブログのように簡単な操作でWebサイトの作成・設定や管理ができます。
簡単に記事の更新ができるので、個人だけでなく企業のサイトでも採用されています。
さまざまな独自機能
Movable Typeは、様々な独自機能があります。
たとえば、テンプレートの中で使用可能な「ブロックタグ」や「ファンクションタグ」の独自タグです。このタグを使うと「最新の記事を非表示にする」や「記事のタイトルを表示」など、サイトを容易にカスタマイズできます。
ほかにも編集画面のエディタでは、ドラッグ&ドロップや矢印ボタンで移動・並び替えの操作が可能です。また投稿した記事に対するコメントのスパム判定をする機能もあります。
合わせて読みたい記事「Movable Type(ムーバブルタイプ)とは?特徴やメリット・デメリットを徹底解説」
Movable Typeはセキュリティ面で安全?
Movable Typeの利便性について説明しましたが、安全性はどうなのでしょう。Movable Typeのセキュリティ面に関して解説していきます。
詳細な権限設定が可能
Movable Typeでは、細かな権限設定ができるので、どのユーザーにどこまでの権限を与えるかを選択できます。初期設定の段階では、代表的な権限の設定がされているので、その設定をもとに変更するとよいでしょう。
管理画面と公開サイトを分離
Movable Typeは、CMSの管理画面と公開するサイトのパスが分離できる仕様になっています。また、公開するサイトから深い階層または全然違う場所に設置が可能で、外部から攻撃されるリスクを低減できます。
辞書攻撃にも対応
Movable Typeは、ログインするとき、複数回アカウント情報を間違えて入力するとアカウントロックされます。この「認証ロックアウト機能」があるため、辞書攻撃などの不正なログインにも強いと言えます。
Movable Typeのセキュリティ対策方法
Movable Typeを使用する際に、標準の機能以外でできるセキュリティ対策はあるのでしょうか?
Movable Typeのセキュリティ対策について解説していきます。
使用するときは最新バージョンで
基本的なことですがMovable Typeも、最新のバージョンへのアップデートは必須です。
最新バージョンであれば、追加された新機能が使えて、また不具合の修正も対応されています。また、報告された脆弱性に対する修正・セキュリティ対策が施されたものが提供されます。
Movable Typeを利用するうえでセキュリティ強化のためにもアップデートはかかせません。
管理画面の設定でセキュリティ対策
Movable Typeでは、管理画面経由でWebサイトを操作できるため、管理画面に認証をかけられます。
「BASIC認証」を設定しておけば、通常のログイン情報とは別に認証が必要になるため、セキュリティを強固なものにできます。
セキュリティ対策としては「BASIC認証」のIDとパスワードは、ログイン情報とは別であることが必要です。
スクリプト名を工夫する
Movable Typeは、外部プログラムを使用して処理するためのCGI(シージーアイ)のスクリプト名が変更可能です。
標準で「mt.cgi」などになっていますが、この部分を予測しづらい名称に変更すると、不正アクセスのリスク回避につながります。
特に管理画面・アップグレードに関係するスクリプト名の変更が重要になります。こちらの2つはアプリケーション側になるため、外部からのアクセス許可は必要がなく変更しても問題はありません。
管理画面の通信をSSL化する
SSL化とは、インターネット上の通信を暗号化する仕組みのことです。
SSL化を行わないと、自身のWebサイト上の情報が盗聴されたり、改ざんされたりする危険性が高まります。
特にそのWebサイト上でユーザーが個人情報を入力したり、決済機能などがある場合などは、SSL化は必須と言えるでしょう。
パスワードを予測できないものに変更する
管理画面のログインの際に必要なパスワードは、予測できないものに変更しましょう。
また予測できないものでも、他のWebサイトなどと同じパスワードを設定しないようにしましょう。
理由としては、一度パスワードが破られてしまうと、パスワードを共有しているすべてのサイトのパスワードが破られてしまうからです。
また、予測できないパスワードでも短すぎるものも避けましょう。
短いパスワードだと悪意のあるシステムによるいわゆる「総当たり攻撃」などで、パスワードが判明してしまう可能性が高まるからです。
ロックアウト機能を導入する
Movabla Type5.13から導入されたロックアウト機能とは、一定回数ログインに失敗した場合に、一定時間ログインができなくなる機能のことです。
この機能を導入することで、前述した「総当たり攻撃」の対策効果が期待できます。
Data APIのアクセスを禁止する
Data APIとは、外部からの処理依頼に対して、Movabla Typeのサイトで公開されている情報などを提供する仕組みのことです。
この機能は基本的には便利なものですが、悪意のあるユーザーが、このAPIの仕組みを利用して不正なスクリプトを送り込み、Webサイトから不正に情報を入手したり、不正出金をしたりなど悪用される恐れもあります。
そのため、Data APIのアクセス機能を禁止することで、これらの危険性を排除することができます。
Movable Type導入する際の注意点
Movable Typeを導入するためには、どのような点に注意が必要なのでしょうか?
Movable Typeの導入前に知っておくべき点を解説します。
導入費用
Movable Typeは、個人であれば無償で利用ができます。企業で利用する場合は、商用利用となるため有償です。
導入費用としては、予期せぬトラブルが発生した場合に問い合わせるテクニカルサポートが有償となります。
また、プラグインなどを利用する場合も有償のものがあるので、その分の費用も必要です。
プラグインの数
Movable Typeは、ソフトウエアとしてさまざまな機能が標準で搭載されています。
しかし、より利便性を図るために機能を拡張する場合に使用できるプラグインの数が少ないデメリットもあります。
Movable Typeを導入する場合には、プラグインで拡張したい機能について考慮が必要です。
圧倒的な柔軟性とセキュリティで思い通りの会員向けサイト・サービスを構築するなら
当社のご提供する 「会員管理・会員サイト構築ソリューション」は、会員向けのサイトやサービスに必要とな要素をワンストップで提供するシステムです。
会員データ管理からマイページ作成・ログインなどの基本機能から、メール配信やアンケート作成、問い合わせ、フォーム作成、決済連携まで、会員管理・運営に必要な機能が充実。また、金融機関・官公庁でも採用されている高いセキュリティで会員の大切なデータを管理します。WordPressやMovableTypeを始めとした各種CMSや基幹システム等とのAPI連携も可能です。
ファンクラブやユーザーサポートサイト、学会・協会サイト、申請受付サイト、キャンペーン受付サイト、イベント受付管理、入居者サイトなど様々な業界・用途・シーンで延べ11,000以上のご利用実績がございます。
サービスの詳細については「会員管理・会員サイト構築ソリューション」のページをご覧いただくか、サービス導入をご検討中の方はこちらからぜひお問い合わせください。
まとめ
Movable Typeは、ユーザーの使いやすさを考えたソフトウエアで、管理画面で簡単に操作できるのが魅力です。
安全性もMovable Typeの機能を活用したり、自身で行うアップデートを行うことでセキュリティ強化ができます。
どのような利用方法で、どのような機能が必要なのかを明確にし、費用やサポートを考えて導入しましょう。
