drupal(ドゥルーパル)は世界中で使われているCMS。モジュールを拡張することで多様な機能を発揮するdrupalの特徴や脆弱性、その対策などをまとめました。
セキュリティが高いことで定評のあるdrupalですが、オープンソースであるため、脆弱性が広く知られていて、悪意の第三者に攻撃対象とされることがあります。
その場合、drupalで作成されたWebサイトは、次の3種類の形で攻撃を受けます。
drupalには、リモートから任意のコードが実行可能になる脆弱性をがあります。そのため、Webサイトを乗っ取られて、サイトの構成を書き換えられたり、サイトに掲載した情報が改ざんされる恐れがあります。
drupalにはセキュリティホールがあり、そこからユーザーの登録した個人情報や顧客情報など、非公開データを盗まれる可能性があります。
リモートで外部から操作できる脆弱性を利用され、システムデータを改変されるリスクがあります。
ここでは、drupalのセキュリティ対策をご紹介します。
drupalはインストール時の「コアモジュール」に、「拡張モジュール」を組み合わせた構造のCMSです。頻繁にアップデートが行われるので、常日頃公式サイトをチェックして、更新情報を把握しておくことが大切です。
drupalには、セキュリティ対策専門チームが在籍していて、トラブル時には迅速に対応しているので、活用しましょう。
drupalにはセキュリティに関するコミュニティが数多くあり、セキュリティ対策の情報が豊富です。それらの情報を参照にしながら、セキュリティ対策を進める選択肢もあります。
NASAや経済産業省の補助金サイトなどにも採用されているdrupalは、モジュールによる拡張性が高いのが強み。
「コアモジュール」と「拡張モジュール」の組み合わせで、さまざまなデザインのWebサイトを作ることができます。リモートでWebサイトを乗っ取られる、情報漏えいなどのリスクもあるため、頻繁に行われるアップデートの情報を、常にチェックし、捨ておくことをお勧めします。
このサイトでは、企業のWebサイトに向いているCMSを厳選し、その特徴をまとめています。CMS導入を検討されている方は、ぜひ参考にしてください
WAF、脆弱性対応、データ暗号化、操作ログの取得とDL、鍵管理(暗号化の鍵管理を行えるかどうか)、
プログラムソースのバージョン管理対応のパッケージ型CMS(2022年3月調査時点)の中から、目的ごとのオススメCMSをご紹介します。
HeartCore CMS
引用元:HeartCore Webコンテンツ管理システム設定ガイド[PDF]
https://www.heartcore.co.jp/file.jsp?id=49551&version=ja
導入コストが安く、
DBから情報を自動更新したい
ECサイト・中規模サイト
分類 | 動的CMS |
---|---|
サイト 規模 |
数千~数万ページ程度 |
主な 機能 |
基幹システムとの連携、サイト内検索機能、マルチドメイン、多言語対応(170ヶ国)、SNS連携、ヘッドレス配信機能 |
導入先企業 | 日本航空、三菱UFJモルガン・スタンレー証券など |
Adobe Experience
Manager Sites
引用元:Adobe Experience Manager Sites公式HP
https://business.adobe.com/jp/products/experience-manager/sites/aem-sites.html
豊富なマーケティング機能を駆使して成果改善したい大規模サイト
分類 | 動的CMS |
---|---|
サイト 規模 |
数万ページ以上 |
主な 機能 |
コンテンツのパーソナライズ化、Adobe製品と連携、ヘッドレス配信機能、マルチサイト管理、翻訳 |
導入先企業 | mastercard、kaoなど |
NOREN
引用元:WDONLINE
https://book.mynavi.jp/wdonline/detail_summary/id=102645
更新頻度は少なめで、より強度なセキュリティを重視とする中規模サイト
分類 | 静的CMS |
---|---|
サイト 規模 |
数千~数万ページ程度 |
主な 機能 |
多段階承認フロー、多言語対応(日・英・中・韓)、タイマー自動公開、デザインテンプレート、共通部品 |
導入先企業 | 伊藤忠商事、神戸製鋼所など |
※1 動的CMSとは…閲覧者がアクセスするたびにHTMLを生成しユーザーごとに内容を出し分けたり変化させられるCMS
※2 静的CMSとは…閲覧者がアクセスするHTMLページを事前に準備しておくタイプのCMS
【選定条件】
HeartCore CMS…基幹システムとの連携ができ、サイト内検索がデフォルトで組み込まれているパッケージ型CMS
Adobe Experience Manager Sites…Adobe Creative Cloudとのネイティブ連携できる唯一のCMS
NOREN…パスワード変更の際、本人だけにパスワードを通知する機能があり、静的処理を行っているパッケージ型CMS