Satoshi Kino
Drupalはセキュリティに関して非常に優れた実績があります。潜在的な脆弱性を調査、検証、勧告するための組織化された体制を備えています。
Drupalのセキュリティチームは、発生したセキュリティ問題に対処するために、コミュニティと常に協力しています。詳しくはあなたのサイトを守る方法をお読みください。
Drupalのセキュリティチームは、主に以下の役割を担っています。
- セキュリティーアドバイザリーとして報告された脆弱性の解決
- 寄与モジュールのメンテナーに対する、脆弱性の解決支援
- 安全なコードの書き方のドキュメントの提供
- drupal.orgのインフラをセキュアに保つため、インフラストラクチャーチームへの支援
セキュリティチームは、コアや寄与されたプロジェクトのコードに対する簡単なスキャンで脆弱性が発見された場合には、分析を行うことがありますが、基本的にはレビューを行いません。
Drupalを使用している方は、常に最新のセキュリティーアドバイザリーを受け取るため、drupal.orgのセキュリティメーリングリストに登録してください。メーリングリストは あなたのアカウントプロファイルから登録できます。
よくある質問
オープンソースソフトウェアは安全ですか?
オープンソースソフトウェアは、(ソースコードが公開されていない)商用ソフトウェアと同等もしくは、一般的にそれより安全であると言われています。これについては、IBMの記事「 The security implications of open source software」参照にしてください。 ホワイトハウスがDrupalに切り替えた理由の1つとして、オープンソースソフトウェアのセキュリティの向上が挙げられます。
Drupalはどのように一般的なセキュリティ脆弱性に対処するのですか?
Drupal APIやDrupalをデフォルト設定で使用する際には、特にセキュリティ上の問題はありません。 インジェクション、クロスサイトスクリプティング、セッション管理、クロスサイトリクエストフォージェリーなどの問題に対しては、基本的にDrupal APIで対処可能です。これについての詳細は Drupal Security Reportを参照してください。
Drupalは他のプロジェクトよりもセキュリティアドバイザリーが多い(または少ない)のはなぜですか?
企業が所有する多くの商用プロジェクトとは異なり、Drupalのようなコミュニティ主導のオープンソースプロジェクトでは、セキュリティ上の脆弱性や潜在的な脆弱性を隠そうとする風潮がありません。 コミュニティの最大の関心は、ビジネスへの影響ではなく、潜在的なセキュリティ上の問題を明らかにする事だからです。
Drupalには29,000件を超える寄与プロジェクトがあります。コミュニティーメンバーは、これらのプロジェクトに存在する潜在的な、あらゆる問題に対して精査を行います。また、比較的軽微な問題に対しても、セキュリティアドバイザリーが公開される場合もあります。そのため、セキュリティアドバイザリーの数は多くなる傾向があります。
セキュリティアドバイザリーの絶対数は(特に寄与プロジェクトを含む場合)意味のない数字であり、この数字を他のプロジェクトとの比較のために使用すべきではありません。
詳細については、 セキュリティリスクレベルを参照してください。
セキュリティーアドバイザリーには、潜在的な問題の発見や、すでに解決されている問題を勧告する場合もあります。セキュリティアドバイザリーで公開された脆弱性に対するセキュリティ修正プログラムが発表される前に、そのセキュリティホールが悪用されることは滅多にありません。
そのため、サイトを守るために最も重要なことはDrupalのコアまたは寄与モジュールやコードに対して、セキュリティアドバイザリーが発行される度にアップデートを行い、システムを最新の状態に保つことです。
ライブサイトでは、どの脆弱性が発見または悪用されましたか?
Drupalサイトの専門的なセキュリティ監査では、一般に、セキュリティホールの大部分(90%以上)が、そのサイトの開発者が作成したカスタムテーマまたはモジュールに存在することが判明しています。 そのコードは、drupal.orgのすべてのコードが通過するセキュリティ審査を経ていませんでした。
さらに、サーバーレベルの問題(FTPなどの安全でないプロトコルを使用するなど)は、Drupalの脆弱性、特にDrupalコアに対する攻撃よりも、危険性が高くなります。
Drupalでセキュリティを管理する方法については、「Drupal管理ガイド」の「サイトの保護 」を参照してください。
終わりに
この記事で重要なポイントは次の2点です。
- セキュリティーアドバイザリーが多い = 危険、ということではない
- 統計的に、大部分の脆弱性はDrupal自体ではなくユーザーや開発者がカスタマイズした部分で発生する
Drupalは世界中のエキスパート達によってメンテナンスされている素晴らしいソフトウェアですが、セキュアに運用するには、それを使う私達がしっかりとDrupalの思想を学ぶ必要があります。とは言っても、ほとんどは一般的なソフトウェア開発やWebサイト管理で行われていることですので、難しく考える必要はありません。
Drupalのセキュリティについてその他の情報をお求めの方は、こちらの「Drupalの高いセキュリティ」もご覧ください。
この記事を書いた人 : Satoshi Kino
ANNAI 株式会社 CEO
関連コンテンツ
- Drupal Coreの脆弱性について(SA-CORE-2019-009)
- Drupal Coreの脆弱性について(SA-CORE-2019-011)
- Drupal Coreの脆弱性について(SA-CORE-2019-010)
- Drupal Coreの脆弱性について(SA-CORE-2019-012)
- Drupal Core(SA-CORE-2019-008)の脆弱性について
- Drupal Core(SA-CORE-2019-007)の脆弱性について
- Drupal Core(SA-CORE-2019-006)および複数のモジュールの脆弱性について
- Drupal Core(SA-CORE-2019-005)の脆弱性について
- Drupal サイトのコード品質をチェックするには
- Drupal Core(SA-CORE-2019-004)および複数のモジュールの脆弱性について
Drupal 8初心者講座バックナンバー
Drupal初心者講座について 
第1回 歴史に見るDrupal のDNA 
第2回 Drupalはフレームワークか?CMSか? 
第3回 Drupalの特徴 
第4回 Drupal 8のインストール(1) 
第5回 Drupal 8のインストール(2)
第6回 コンテンツを投稿してみる
第7回 ボキャブラリとタクソノミーを使う
第8回 コンテンツ管理におけるDrupalと他のCMSとの比較
第9回 Drupal 8のブロックシステム
第10回 Drupalの標準クエリービルダ Views
第11回 Drupalと他のCMSのクエリビルダー機能を比較
第12回 Drupal 8の多言語機能と他のCMSやサービスとの比較
第13回 Drupalの権限設定とWordPressやMovable Typeとの比較
第14回 Drupalのテーマシステムについて
第15回 Drupalの拡張モジュールの選定と利用方法
第16回 Drupalをもっと知りたい方に向けた各種情報