CMS - Web Meister - コンテンツマーケティングシステム

  1. HOME
  2. ソリューション
  3. セキュリティ

企業が選ぶべきセキュリティ対策としての静的CMS

CMS - Web Meisterは、Webサイトのコンテンツを静的なHTMLファイルとして生成する静的CMSです。静的CMSは、動的なコンテンツ生成を使用しないため、セキュリティ面でのリスクが少ないとされています。CMSサーバとWebサーバを分離したシステム構成にすることによって、公開前の情報漏えいリスク、万が一の障害が発生した場合のリスクを軽減することができます。

静的CMSのセキュリティメリット

静的CMSは、外部からの入力を一切受け付けないため、SQLインジェクションやクロスサイトスクリプティングなどの攻撃を受けにくいです。また、静的ファイルは読み込み専用であるため、不正アクセスによるファイルの書き換えや削除といった攻撃も防ぐことができます。このようなセキュリティメリットを持つ静的CMSは、企業の情報を集約・公開するWebサイトにおいて、重要な役割を果たすことができます。さらに静的CMSは、高速なパフォーマンスや耐負荷性があり、大規模なWebサイトに適しています。

パフォーマンスや耐負荷性の向上とセキュリティの強化を期待することができる静的CMSの導入をご検討ください。

静的CMSの中で日時指定デプロイ型が望ましい理由

日経新聞に以下のような記事が掲載されていました。
「決算公表前に情報 投資家ら20社超、サイト閲覧 株売買し利益 監視委が調査」
http://www.nikkei.com/article/DGXNASDG13036_T10C13A3MM8000/

記事によると

閲覧されていた企業は同時掲載の準備として、公表の数時間から数十分前に、アクセス制限をかけた保存先にある重要情報のデータを外部からの接続が可能な別の保存先へ移動。公表と同時にHP上にリンクが表示されるよう、タイマーをかけていた。

それをその企業サイトにアクセスしたユーザが

新たなデータが保存されたことを表示が出る前に把握。過去に重要情報を掲載したページのアドレスの日付部分などを書き換える方法でアドレスを割り出し、データにアクセスしていた。

そうです。なぜ、このようなことになったのでしょうか?

静的CMSの種類

Web担当者Forumの記事で次のような警告がされていました。

御社は大丈夫? 公開前のはずの重要情報がWebサイトから漏洩、CMSの公開予定でもダメな場合がある?
http://web-tan.forum.impressrd.jp/e/2013/02/05/14598

この記事ではCMSの時限公開には4つのパターンがあるとしています。

  1. リンク自動掲載型
  2. ページアクセス制御型
  3. 全アセットアクセス制御型
  4. 日時指定デプロイ型

このうち、

  1. リンク自動掲載型
  2. ページアクセス制御型

は日経新聞の記事の問題に該当し、非常に危険です。

Web Meister は静的CMSの4. 日時指定デプロイ型です。静的CMSの日時指定デプロイ型はCMSと公開サーバーが別で、そもそも指定日時にならないとファイルやコンテンツ自体が公開サーバーにアップロード(デプロイ)されません。Web担当者Forumの記事でも公開セキュリティに関してほぼ完璧であると記載されています。

一度、社内のコンテンツ公開プロセスについて確認してみてはいかがでしょうか?

CMS - Web Meister の資料請求やデモのご要望、導入ご検討のご質問などは下記のフォームよりお問い合わせください。

資料請求・お問合せ