ANNAIマガジン
Drupalが最も安全なCMSである理由
この記事は「 https://www.agiledrop.com/blog/why-drupal-most-secure-cms 」の翻訳です。
この記事の目次

Drupalが最も安全なCMSである理由

Drupalはオープンソースシステムなので、多くの人が安全性について心配します。 Drupalは専門家によって慎重にテストされており、非常に安全な状態に保たれています。セキュリティ情報は定期的に送信されますし、パスワードは暗号化されています。また、モジュールはコミュニティによりレビューされています。これがDrupalが世界で最も安全なCMSの1つである理由です。これらの理由から、Drupalはホワイトハウス、ユネスコ、テスラ・モーターズなど機密データを扱う多数の組織で使用されています。

オープンWebアプリケーションセキュリティプロジェクト

オープンWebアプリケーションセキュリティプロジェクト(OWASP)とは、ソフトウェアのセキュリティを規格化し、その改善に注力している非営利の慈善団体です。 DrupalはOWASPの基準を満たすように設計されており、将来発生しうるリスクを防ぐために、積極的に分析されています。

セキュリティチーム

Drupalのセキュリティチームは、3大陸の異なる国出身のセキュリティ専門家40名からなるチームです。彼らはセキュリティを改善するために働いており、脆弱性の特定や、セキュリティパッチの作成をしています。コード中にひそむセキュリティ関連の欠陥を防ぐため、特定された脆弱性とセキュリティ勧告の文書をウェブサイト上で公開しています。

パスワード

Drupalのインストール後、パスワードは暗号化されてデータベースに保存されます。その際、Salt(訳者注:ウェブ用語でパスワード暗号化の際に付与されるデータのこと)と呼ばれる文字がパスワードに追加された上で暗号化されます。これは数学的な一方向性関数で、強力なSHA512機能を利用した複雑なプロセスです。このようにすることで、パスワードを解読することは事実上不可能になります。

安全なコードベース

経験豊富なDrupalセキュリティチームは、オープンソースデータベースとしてのDrupalの信頼性とセキュリティに貢献しています。ユーザーが投稿した各モジュールは、Drupalの保守担当者から事前に承認を受けます。その上で、コミュニティ全体がコードのダウンロードや、エラーを報告することができるようになります。したがって、各モジュールはコミュニティによって隅から隅までにレビューされます。

アクセス制限

Drupalでは、それぞれの状況に応じて、アクセス制限を非常に細かに設定する事ができます。状況に応じて複数のユーザーロールを作成し、ユーザーに割り当てる事ができます。これにより、ユーザーの権限を必要な範囲に制限することが可能になり、セキュリティの高いアプリケーションを開発することができます。

データベースの暗号化

Drupalを使用すると、データベースを暗号化することができます。サイト全体のデータベースまたは特定の部分のみを暗号化するように設定できます。このような暗号化形式により、Drupalの設定はどのようなプライバシー基準、暗号化のルールにも適合します。

セキュリティレポート

正しく設定され,定期的に更新されている場合、CMSは一番安全な状態と言えます。Drupalのアップデート通知では更新内容も通知されますので、潜在的なセキュリティホールを直ちに修正することができます。

(写真:ドミニク・キス氏提供)

 

コミュニティ

Drupalコミュニティは、世界でも最大のオープンソースコミュニティの1つです。開発者、デザイナー、その他のDrupalと関連する人々など100万人以上が参加しています。多くの人々が協力することで、バグが迅速に発見され、Drupal Security Teamに報告されます。そのため、重大な脆弱性を持ったままリリースされることはありません。Drupal.orgは、教材、ニュース、サポートをなどDrupalに関するあらゆる情報を得ることができる黄金の洞窟です。あなたも発見した、エラーをdrupal.orgに報告することで、Drupalをより良いものとし、他のコミュニティーのメンバーも恩恵を得ることができます。これらの活動により、あなたのサイトは危険にさらされる前に、安全な状態に保たれています。

この記事を書いた人 : Yoshikazu Aoyama

ANNAI株式会社の出社しないCTO。
昔は回線交換やL2/L3のプロトコルスタックの開発をしてました。その後、組み込みLinuxやJava/Ruby on RailsなどのWebシステム開発などを経て現職。
インフラからDrupalのモジュール開発、Drupal以外の開発までなんでもやります。
普段は札幌で猫と一緒にリモートワークしています。 好きなモジュールは Restful Web Services と Rules

関連コンテンツ