ANNAIマガジン
Drupal Coreの脆弱性-SA-CORE-2018-006に対するANNAIの対応
この記事の目次

今回のセキュリティアップデートに対する対応につきまして

ANNAIが保守契約を実施している全ての公開システムにおいて、以下の脆弱性に関するセキュリティアップデートはすでに完了しております。

Drupal Coreの脆弱性-SA-CORE-2018-006

セキュリティアップデートに関するANNAIの考え方

日本のシステム運用の現場では、脆弱性が公表された後にそれが自分たちのシステムやサイトの仕様・運用でも影響があるかチェックし、影響があると判断した場合にだけセキュリティパッチを適用する、といったフローが取られることがあります。

しかし、このようなフローには

  1. 影響があるか判断するために非常に高度な技術的知識と個々のシステムの運用に対する深い理解が必要となる
  2. 調査や報告、パッチを適用するための承認などに数日から数週間かかるケースがあり、
    その間に攻撃を受けるリスクが高い

といった問題があります。

昨年、Struts2の脆弱性により多くのシステムが被害を受けましたが、その多くは脆弱性のリスクを理解せず上記のような運用をしていたのではないでしょうか?

このような問題を防ぐにために、ANNAIで保守を実施する際は、原則として脆弱性の重要度に関わらず、すぐにアップデートを適用する運用をしています。

迅速なセキュリティ対応には開発と保守は切り離せません

今回のようなDrupalのcoreに関わる脆弱性が公開された場合には、公開中のシステムは数時間以内に攻撃されるリスクに晒されます。そのため、常にdrupal.orgから提供されるセキュリティ勧告をチェックし、公開前や直後から迅速な対応ができるような体制を組んでおくと良いでしょう。

また、迅速な対応を行うためには、そのシステムの構成や特徴を熟知している必要があります。使用しているモジュールやカスタマイズ内容などによっては、アップデート時に予期しないトラブルが起きる可能性もあります。 これらを考慮した上で、アップデートを滞りなく行うには、開発者自身がアップデートを実施するのが最も合理的です。これは機能追加に関しても同様の事が言えます。

ANNAIでは、上記の理由からDrupalの新規開発のみではなく、インフラ(サーバー)を含めた運用保守や継続した機能追加も積極的にお受けしています。

ANNAIへの保守、システム監査のご依頼は「Drupalの専門家による保守管理・セキュリティ診断サービス KAIZEN 」からお問い合わせください。

この記事を書いた人 : Kentaro Inoue

ANNAI株式会社
経営企画室 室長
サービスの設計・企画、マーケティング、採用戦略の立案などを担当。普段は新潟で猫と一緒に、時々海外からリモートで働いています。好きなモジュールはRulesとFlagです。

関連コンテンツ