Drupalのセキュリティアップデートに関するANNAIの考え方

セキュリティアップデートに関するANNAIの考え方

日本のシステム運用の現場では、脆弱性が公表された後にそれが自分たちのシステムやサイトの仕様・運用でも影響があるかチェックし、影響があると判断した場合にだけセキュリティパッチを適用する、といったフローが取られることがあります。

しかし、このようなフローには

1. 影響があるか判断するために非常に高度な技術的知識と個々のシステムの運用に対する深い理解が必要となる
2. 調査や報告、パッチを適用するための承認などに数日から数週間かかるケースがあり、
   その間に攻撃を受けるリスクが高い

といった問題があります。

昨年、Struts2の脆弱性により多くのシステムが被害を受けましたが、その多くは脆弱性のリスクを理解せず上記のような運用をしていたのではないでしょうか？

このような問題を防ぐにために、ANNAIで保守を実施する際は、原則として脆弱性の重要度に関わらず、すぐにアップデートを適用する運用をしています。

迅速なセキュリティ対応には開発と保守は切り離せません

今回のようなDrupalのcoreに関わる深刻な脆弱性が公開された場合には、公開中のシステムは数時間以内に攻撃されるリスクに晒されます。そのため、常にdrupal.orgから提供されるセキュリティ勧告をチェックし、公開前や直後から迅速な対応ができるような体制を組んでおくと良いでしょう。

また、迅速な対応を行うためには、そのシステムの構成や特徴を熟知している必要があります。使用しているモジュールやカスタマイズ内容などによっては、アップデート時に予期しないトラブルが起きる可能性もあります。 これらを考慮した上で、アップデートを滞りなく行うには、開発者自身がアップデートを実施するのが最も合理的です。これは機能追加に関しても同様の事が言えます。

ANNAIでは、上記の理由からDrupalの新規開発のみではなく、インフラ(サーバー)を含めた運用保守や継続した機能追加も積極的にお受けしています。

ANNAIへの保守、システム監査のご依頼はこちらからお問い合わせください。