Drupal サイトを保護する Drupal Steward とは？

Drupal は堅牢なセキュリティーを誇り、世界中の政府機関をはじめ大企業や教育機関等などに採用され、世界のウェブサイトの 2% 以上のシェアを占めています。また、Drupal セキュリティーチームが中心となり、Drupal に関連する脆弱性情報の管理や対応が休み無しに行われており、セキュリティーアップデートがリリースされる日付をあらかじめ定めることで、管理者の脆弱性への対応を容易にしています。

しかし Drupal は全てのタイムゾーンにまたがって世界中で利用されているため、セキュリティーアップデートを何曜日の何時にリリースしたとしても、即座に対応できない管理者が世界のどこかで必ず出てきてしまうという課題があります。そして非常に稀ではあるものの、脆弱性によってはセキュリティーアップデートのリリース直後に対応しなければサイトが危険に晒されるものもあります。

このようなジレンマを解決すべく誕生したのが Drupal Steward です。Drupal Steward はウェブアプリケーションファイアウォール（WAF）で、悪意のあるリクエストが Drupal  サイトに対して送られた際、それがサーバーに届く前に破棄することでサイトを既知の深刻な脆弱性から守ります。

以下は Drupal プロジェクトの本家サイト上に掲載された Drpual Steward についてのアナウンスメントです：

ーーー

Drupal サイトを保護する Drupal Steward が誰でも利用可能に

数年にわたる Drupal Association と Drupal セキュリティーチームの努力の結果、Drupal Steward を誰でもご利用いただけるようになりましたことをお知らせします。

Drupal Stewardとは？

Drupal Steward は、セキュリティーリリースが発表されてから、サイトが新しいセキュリティーパッチで完全に更新されるまでのギャップを埋めるウェブアプリケーションファイアウォールです。Drupal セキュリティーチームと Drupal Association が全世界的に提供するこのサービスは、手頃な価格でウェブサイトを保護すると同時に、Drupal サイトの保守を担当する IT チームがかかえるタスクの優先順位に影響を与えることなくサイトの更新を実施することを可能にします。

Drupal Steward はどのように役立ちますか？

Drupal のセキュリティーリリースは毎週水曜日に行われます。善良なサイトオーナーと、サイトをハッキングしようとする悪意を持った犯罪者の両方が、同時に脆弱性について知ることになります。稀に発見される非常に重要な脆弱性は、リリースから 4 時間以内に悪用される可能性があります。そのため、重要度の高い脆弱性については、通常セキュリティリリースが行われる期間は常に警戒し、可能な限り早くサイトを更新する必要があります。

しかし、Drupal Steward を使えば、自分たちに合ったタイミングで更新することができます。

重要度の高い脆弱性が発生した場合は、Drupal セキュリティチームが事前に通知（PSA（訳注：パブリック・サービス・アナウンスメントの略））を発行し、ユーザーに警告を発します。サイトが Drupal Steward により保護されていれば、サイトオーナーは厳重警戒態勢を敷いたり、待機するためにスタッフに残業代を支払う必要はありません。セキュリティーアップデートのテストと実装を、自分の都合に合わせてスケジュールすることができます。

注意：Drupal Steward プログラムは、すべての脆弱性を保護できるわけではありませんが、大規模な一斉攻撃の対象となる可能性がある脆弱性からお客様を保護するのに最適なプログラムです。Drupal Steward は、ウェブサーバーへのリクエストを悪用する脆弱性にのみ適用することができ、一部のセキュリティー問題には適用できない場合があります。また、ゼロデイ脆弱性（セキュリティーチームが知らないうちに発見され、公表されてしまうもの）が悪用される可能性は常に存在します。

料金はいくらですか？どのように申し込むのですか？

Drupal Steward は、できるだけ多くのサイトオーナーが利用できるように、費用を抑える努力をしています。Drupal Steward はリクエストの数に応じて料金が変動するので、drupalsteward.org の計算機で料金をご確認ください。

サービスへのサインアップは、drupalsteward.org でアカウントを作成し、対象となるドメイン名を追加し、Drupal Steward サービスを介してリクエストを転送するように DNS 設定を更新するだけで完了します。

詳細はこちら

サインアップ

なぜ Drupal Steward は無料ではないのですか？Drupal Stewardは、セキュリティーチームやコミュニティーをどのようにサポートしていますか？

Drupal プロジェクトでは、コードは常に無料で提供されていますが、サービスはその性質上、無料ではありません。

Drupal Steward は、セキュリティー層による遅延を防ぎ、世界中のユーザーの体験を低下させないために、グローバルに分散したインフラを必要としています。

Drupal Steward からの資金は、Drupal Association と、Drupal を構築するコミュニティーを支援するという我々のミッションを直接サポートすることに充てられます。さらに、資金の一部は、Drupal セキュリティーチームに代わって Security Working Group が提案を行う用途で確保されます。

パートナーへの謝辞

創業パートナーであるアクイアと Pantheon に感謝の意を表します。アクイアと Pantheon のプラットフォームには Drupal Steward の保護機能が全体に渡って実装されており、両社のクライアントはもれなくこのプログラムの対象となっています。両社による初期サポートのおかげで、このコミュニティ向けプランを誰もが利用できるようになりました。

また、Drupal Steward を Drupal Association のコミュニティーレベルの優先的な価格で顧客に提供できる協賛パートナーにも感謝の意を表します。