Smart Communication Design Company
ホーム > ナレッジ > コラム > 2017年 > これからの企業サイト向け Web基盤の選び方

これからの企業サイト向け Web基盤の選び方

2017年10月13日

システム本部 第二部 マネージャー
榛葉 裕幸

昨今のリニューアルプロジェクトでは、コミュニケーションツールとしてWebサイト再構築に取り組むのはもちろんのこと、CMS(コンテンツ管理システム)やサーバーインフラといったWebサイトを運営する仕組み=”Web基盤”の再構築も重要なテーマになっています。

本コラムでは、サイトリニューアルをご検討中の皆さまに、いま多くの組織がリニューアルプロジェクトを機にWeb基盤をリプレースする背景と、企業サイトに求められるWeb基盤のポイントをご紹介します。

どうする、企業Webの“野良サイト”

企業のクラウド利用が一般的となるなか、クラウド上に放置された、管理不行き届きの仮想サーバー=“野良サーバー”が、セキュリティの問題を引き起こしかねない存在として話題です※1。管理されていないサーバーやCMSなどのWebアプリケーションは、不正アクセスによる情報漏えいや第三者への不正アクセスの踏み台となるなど大変危険です。

実は、企業が開設し運営するWebサイトにおいても、管理者が存在せずに放置されたWebサイト、まさに“野良サイト”が以前から問題になっています。消費者やステークホルダーとのコミュニケーションをWeb起点で考えるのがあたり前になり、多くの企業が公式サイトだけでなく、ターゲットユーザーや用途の違いでさまざまなWeb媒体を開設し運営しています。そして、安価なホスティングサービスやオープンソースCMSの利用拡大など、専門的な知識なしに比較的容易にWebサイトを立ち上げることも可能となりました。

開設するだけ、作るだけは容易になった反面、セキュリティ上の不備、作った後の運用・保守が考慮できていないなど、多くの企業でガバナンス面のルールや体制が追いつけていないのが実情です。最近の調査でも、企業の約半分は自社が管理すべきWebサイトすら把握できていない、という結果があります※2

また、自社で管理すべきWebサイトのリスト化はできていても、個々のWebサイトで利用しているサーバー環境、CMSなどのソフトウェアの種類やバージョンを把握し、適切なメンテナンスまで実施できているのは、まだ一部の組織に限られます。例えば、CMS利用サイトの6割近くが脆弱性をかかえた古いバージョンのCMS利用、といった調査結果もあります※3

つまり、“守る以前に、守る対象すら把握できていない”というのが、多くの企業Webサイトの運営実態といえるでしょう。

  • ※1 ITpro(2017-07-31)「どうする、クラウドの“野良サーバー”
  • ※2 NRIセキュアテクノロジーズ(2016-08-18)「サイバーセキュリティ傾向分析レポート2016」
  • ※3 NRIセキュアテクノロジーズ(2017-07-26)「サイバーセキュリティ傾向分析レポート2017」

ポイントは「インベントリ管理」と「パッチ適用容易性」

それでは、どうすればよいのでしょうか。これからのWeb基盤が備えるべきポイントは「インベントリ管理」と「パッチ適用容易性」です。

まず「インベントリ管理」とは、一般に組織が保有し管理するIT資産に関するリストのことです。企業のWebサイトにおいてもインベントリ管理の徹底が重要です。自社が管理すべきWebサイトがいくつあり、個々のWebサイトはどんなサーバー環境で、どんなソフトウェアを使っていて、そのバージョンが最新かどうかなどを管理できていないと、脆弱性などのセキュリティインシデントが発生しても対策が打てません。つまり、インベントリ管理は、企業のWebガバナンスを担保する基礎であり前提です。

また、単にExcel管理台帳などでリスト化するだけでは不十分であり、インベントリ管理の実効性を担保するWeb基盤の整備が重要です。頻繁に発生するWebサイトの新設や改廃、ソフトウェアアップデートを個別にフォローし続けるのはムリがあります。近年、複数のWeb媒体を保有する組織では、共通のプラットフォームとCMSにすべてのWeb媒体を集約して一元管理することで、ガバナンス向上と維持にかかるコストの最適化に取り組む事例が増えています。

次に「パッチ適用容易性」とは、セキュリティ専門家の徳丸浩さんが提唱しているコンセプト※4ですが、ソフトウェアのバージョンアップやパッチ適用を容易にする事前の検討、設計が重要とされます。「パッチ適用容易性」の視点で、企業サイトのためのWeb基盤を整備する際に考慮すべきポイントは2つです。

1つは、CMSなどWebサイトで利用するアプリケーションを選定する基準。脆弱性を修補するためにソフトウェアベンダーが提供するパッチ(修正プログラム)を適用するときに、ソフトウェア上で動作しているアドオン機能やカスタマイズ機能を含めた機能要素にできるだけ影響がでない製品、導入手法を採用することです。例えば、CMS製品のなかには、独自に作りこんだカスタマイズ箇所や第三者製造のアドオン機能が、パッチ適用後に動作しなくなる、といった不具合が発生することがあります。このような製品を採用してしまうと、パッチ適用のつど動作検証が必要となり、想定外のコストと時間が必要になります。

もう1つは、システム構成を考える基準です。ソフトウェアにパッチを適用しても、エンドユーザーが閲覧するWebサイトそのものには影響がでないシステム構成とすることが重要です。例えば、CMSやサーバーのミドルウェアのアップデートのたびに、システム全体を停止しなければいけないような構成では、その間はWebサイトもクローズしなければいけません。そうしたシステム構成のまま、複数のWeb媒体を集約するならば、すべてのWeb媒体が利用停止に陥ることになります。自社の消費者やステークホルダーがサイト閲覧できないことは、企業にとっては機会損失です。

  • ※4 徳丸浩(2015-10-26)『徳丸浩のWebセキュリティ教室』日経BP社

これからのWebサイトリニューアルプロジェクトがわかる・学べる セミナーのお知らせ

2017年11月10日に、「【CMSセミナー】成功事例に学ぶ! 2018年サイトリニューアルの課題と対策」を開催します。

企業のWebサイト運営に適した、これからのWeb基盤 の詳細をお知りになりたい方は、ぜひご参加ください。ご好評につき、同じ内容で 11月10日(金)と 12月5日(火)の2回開催予定です。

数多くのリニューアルプロジェクトの現場で見聞きした「リニューアルプロジェクトあるある」をご紹介しながら、イマドキの企業サイトリニューアルの最新手法からCMS乗り換えパターンまで、リニューアルプロジェクトを成功に導くベストプラクティスを解説いたします。

また、国内トップクラスの導入実績を誇るCMS「WebRelease」の製造元であるフレームワークスソフトウェア・桝室様をお迎えし、デモンストレーションや事例を交えて、企業サイトに最適なCMSソリューションをご紹介します。

WebReleaseは、株式会社フレームワークスソフトウェアが開発した国産の企業向け商用CMSです。企業ウェブサイトの構築・運用に求められる機能をパッケージソフトウェアでご提供します。2000年7月の出荷開始以来、大手メーカーや金融機関、官公庁や大学など、680社を超えるお客様に採用されています。

ご多用かとは存じますが、皆さまのご参加を心よりお待ちしております。セミナー終了後の個別相談会も承ります。

今すぐ登録!お申し込みはこちら(参加無料・事前登録制)