Yoshikazu Aoyama
セキュリティアップデートに関するANNAIの考え方
日本のシステム運用の現場では、脆弱性が公表された後にそれが自分たちのシステムやサイトの仕様・運用でも影響があるかチェックし、影響があると判断した場合にだけセキュリティパッチを適用する、といったフローが取られることがあります。
しかし、このようなフローには
- 影響があるか判断するために非常に高度な技術的知識と個々のシステムの運用に対する深い理解が必要となる
- 調査や報告、パッチを適用するための承認などに数日から数週間かかるケースがあり、
その間に攻撃を受けるリスクが高い
といった問題があります。
昨年、Struts2の脆弱性により多くのシステムが被害を受けましたが、その多くは脆弱性のリスクを理解せず上記のような運用をしていたのではないでしょうか?
このような問題を防ぐにために、ANNAIで保守を実施する際は、原則として脆弱性の重要度に関わらず、すぐにアップデートを適用する運用をしています。
迅速なセキュリティ対応には開発と保守は切り離せません
今回のようなDrupalのcoreに関わる深刻な脆弱性が公開された場合には、公開中のシステムは数時間以内に攻撃されるリスクに晒されます。そのため、常にdrupal.orgから提供されるセキュリティ勧告をチェックし、公開前や直後から迅速な対応ができるような体制を組んでおくと良いでしょう。
また、迅速な対応を行うためには、そのシステムの構成や特徴を熟知している必要があります。使用しているモジュールやカスタマイズ内容などによっては、アップデート時に予期しないトラブルが起きる可能性もあります。 これらを考慮した上で、アップデートを滞りなく行うには、開発者自身がアップデートを実施するのが最も合理的です。これは機能追加に関しても同様の事が言えます。
ANNAIでは、上記の理由からDrupalの新規開発のみではなく、インフラ(サーバー)を含めた運用保守や継続した機能追加も積極的にお受けしています。
ANNAIへの保守、システム監査のご依頼はこちらからお問い合わせください。
この記事を書いた人 : Yoshikazu Aoyama
昔は回線交換やL2/L3のプロトコルスタックの開発をしてました。その後、組み込みLinuxやJava/Ruby on RailsなどのWebシステム開発などを経て現職。
インフラからDrupalのモジュール開発、Drupal以外の開発までなんでもやります。
普段は札幌で猫と一緒にリモートワークしています。 好きなモジュールは Restful Web Services と Rules。
関連コンテンツ
- Drupal Core の脆弱性について (SA-CORE-2021-001)
- Drupal Coreの脆弱性について(SA-CORE-2019-009)
- Drupal Coreの脆弱性について(SA-CORE-2019-011)
- Drupal Coreの脆弱性について(SA-CORE-2019-010)
- Drupal Coreの脆弱性について(SA-CORE-2019-012)
- ANNAIからのお知らせ 脆弱性SA-CORE-2018-004 に関しまして
- ANNAIからのお知らせ 脆弱性SA-CORE-2018-002 に関しまして
- 脆弱性SA-CORE-2018-002に関するFAQ
- Drupal 8導入前に必ず考えたい「保守」のこと
- Drupalでの開発時に避けるべき5つの間違い - セキュリティー編
Drupal 8初心者講座バックナンバー
Drupal初心者講座について 
第1回 歴史に見るDrupal のDNA 
第2回 Drupalはフレームワークか?CMSか? 
第3回 Drupalの特徴 
第4回 Drupal 8のインストール(1) 
第5回 Drupal 8のインストール(2)
第6回 コンテンツを投稿してみる
第7回 ボキャブラリとタクソノミーを使う
第8回 コンテンツ管理におけるDrupalと他のCMSとの比較
第9回 Drupal 8のブロックシステム
第10回 Drupalの標準クエリービルダ Views
第11回 Drupalと他のCMSのクエリビルダー機能を比較
第12回 Drupal 8の多言語機能と他のCMSやサービスとの比較
第13回 Drupalの権限設定とWordPressやMovable Typeとの比較
第14回 Drupalのテーマシステムについて
第15回 Drupalの拡張モジュールの選定と利用方法
第16回 Drupalをもっと知りたい方に向けた各種情報