Drupalの脆弱性とは？自分でできるセキュリティ対策を紹介

Drupalは世界中で利用されているオープンソースのCMSです。セキュリティの高さも評価されているDrupalですが、2018年にはセキュリティリスクの最高レベルに位置づけられる脆弱性が発表されています。今回はDrupalの脆弱性と、自分でできるセキュリティ対策について解説していきます。

Drupalとは？その特徴は？

Drupal（ドルーパル）とは、有名なWordpressと同じくWebサイトを構築するためのCMSです。

Drupalは世界では人気があるCMSですが日本ではそこまでシェア率が高くないため、どのようなCMSなのかわからない人も多いでしょう。

ここではDrupalとは何か、特徴や仕組みについて詳しく解説していきます。

世界中で人気の高いCMS

Drupalは日本ではシェア率が低いものの、世界的に見ると多くのグローバル企業などで採用されているCMSとなっています。実際に世界の100万以上のWebサイトがDrupalで構築されています。

2016年時点ので情報では、特に政府機関・教育機関・企業や団体のWebサイトはDrupalで構築されることが多く、PV数上位1万サイトではDrupalのシェア率は世界で第1位です。（参考：https://www.studio-umi.jp/about-drupal）

拡張性に優れている

DrupalにはCMSとして必要最低限の機能が標準で装備されています。標準装備だけでも十分Webサイトを構築できますが、Drupalにはよりよいサイトを作るために多数の拡張機能が備わっています。

機能を拡張するためには「拡張モジュール」を使います。拡張モジュールには「SNS連携」「お問い合わせフォーム」「バックアップ」などがあり、Webサイトの目的や用途に応じて追加できます。

SEO対策機能が標準装備されている

Drupalには以下のようなSEO対策機能が標準で装備されています。

・コンテンツのURLを最適化する
・コンテンツにtitle・description・ keywordを設定するなどMetaタグを管理する
・検索エンジンへ送信するためのXML Sitemapを生成する
・Google Analyticsと連動しアクセス解析をする

SEOに関する知識が少ない人でも、かんたんに基本的なSEO対策を行えます。

合わせて読みたい記事「Drupalとは？特徴やメリット・デメリットについて詳しく解説」

Drupalの脆弱性とセキュリティ対策

Drupalには専門のセキュリティチームが在籍しています。すべてのセキュリティ監査にも合格するなど安全性が高いため、日本国内の大手企業の公式サイトにも導入されています。

しかし2018年にDrupalの脆弱性が公開されました。ここではDrupalの脆弱性やセキュリティ対策について詳しく解説していきます。

2018年にハイクリティカルの脆弱性を発表

Drupalプロジェクトは2018年3月21日にDrupalの脆弱性「CVE-2018-7600（SA-CORE-2018-002）」を発表しました。

そして4月にはDrupalの脆弱性を元にして、悪用可能な概念実証コードを公開。概念実証コードが公開されたことで容易に攻撃できるようになり、Drupalへの攻撃が急増しています。

Drupalへの攻撃はさまざまな国から行われていて、ファイヤーウォールなどのセキュリティシステムによるIPアドレスのブロックでは、攻撃を完全に防げません。

「クロスサイトスクリプティング」とは？

「クロスサイトスクリプティング」とは、Drupalで作られたインターネット掲示板をはじめとするWebサイトの入力フォームに、攻撃者が脆弱性のあるサイトへ誘導するスクリプトを含んだリンクを設置して、そのリンクをユーザーがクリックすることで、ユーザーのブラウザ上に不正なスクリプトが実行されるという仕組みです

上記のようなスクリプトが実行されると、ユーザーが入力した個人情報やcookieなどが悪意のある第三者へ漏洩したり、コンピューターウイルスへの感染などを引き起こす原因となります。

「クラウド型WAF」を利用する

Drupalの脆弱性を突いた攻撃を防ぐためには、Webアプリケーションの脆弱性に対する攻撃を防ぐ「WAF（Webアプリケーションファイアウォール）」を利用しましょう。

WAFにはソフトウェア型とクラウド型がありますが、ソフトウェア型よりもクラウド型WAFは価格が抑えられます。

セキュリティアップデートを定期的に実施する

DrupalプロジェクトはDrupalの脆弱性情報とともに、脆弱性に対する修正プログラムも公開しています。

今回公開された脆弱性は重要なものだったので、すでにサポートが終わっている古いバージョンのDrupalにも修正プログラムが提供されました。

とはいえ古いバージョンを使っているとセキュリティ面だけでなく、運用する上でさまざまな影響がでるので、最新バージョンのDrupalにアップデートしてください。

具体的にアップデートする必要があるバージョンとは？

Drupalの発見された脆弱性とは、Drupalのモジュールまたはカスタムコードを利用して、第三者に悪用される恐れがあるとされています。
具体的にアップデートが必要なバージョンについて、以下に記載します。

• Drupal 9.3を使用している場合は、Drupal 9.3.3にアップデート
• Drupal 9.2を使用している場合は、Drupal 9.2.11にアップデート
• Drupal 7を使用している場合は、Drupal 7.86にアップデート

これらのアップデートを行うことで、Drupalに含まれるjQueryバージョンに他の変更を加えることなく、前述した「クロスサイトスクリプティング」に対処することができるとされています。

Drupalの導入手順

Drupalを使ってWebサイトを構築したいのであれば、まずAcquia Dev Desktopのダウンロード・インストールを行いサイトの基本設定をしてから、Drupalをインストールする必要があります。

ここではDrupalを導入する際の手順について詳しく解説していきます。

Acquia Dev Desktopのダウンロード・インストールを行う

まず「Acquia Dev Desktop」のダウンロードページからインストールを行いましょう。

インストールが完了しAcquia Dev Desktopが起動した最初の画面では「next」をクリックしてください。

Select Components画面に移動するので、チェック項目は何も触らず初期設定のまま「next」をクリックします。

Overview画面でも「next」をクリックして、License Agreement画面に移動します。

License Agreement画面ではAcquia Dev Desktopに関する規約が表示されているので「I accept the terms of this license agreement」で「Yes」を選び「next」をクリックします。

Choose Install Locations画面ではAcquia Dev Desktopをインストールするフォルダを選んでください。Ready to Install画面で「next」をクリックすると、インストールが開始されます。

サイトの基本的な設定をする

Acquia Dev Desktopを起動して、左下の「+」をクリックし「New Drupal Site…」を選びましょう。

Install a Drupal distributionの画面に移動するので、Drupal8の右にある「Install」をクリックし、サイトの名前やコードを格納する場所を設定してください。

サイトの基本的な設定が完了すると、Acquia Dev Desktopの初期画面に設定したサイトが表示されます。

Drupalをインストールして、Webサイト作りを開始する

Drupalをインストールしサイト作りを開始します。まずAcquiaAcquia Dev Desktopの一覧から「Local site」のURLをクリックしてブラウザを開いてください。

するとChoose languageの画面に移るので「日本語」になっているのを確認できた「Save and continue」をクリックします。

プロフィールの選択画面に移動します。初心者の人は「標準」を選択して「保存して次へ」をクリックします。

サイトの環境設定に移動するので、サイト名やサイトのメールアドレスなどを入力します。これでDrupalのインストールは完了です。

合わせて読みたい記事「Drupalの使い方とWebサイトを構築する方法」

圧倒的な柔軟性とセキュリティで思い通りの会員向けサイト・サービスを構築するなら

当社のご提供する 「会員管理・会員サイト構築ソリューション」は、会員向けのサイトやサービスに必要とな要素をワンストップで提供するシステムです。

会員データ管理からマイページ作成・ログインなどの基本機能から、メール配信やアンケート作成、問い合わせ、フォーム作成、決済連携まで、会員管理・運営に必要な機能が充実。また、金融機関・官公庁でも採用されている高いセキュリティで会員の大切なデータを管理します。WordPressやMovableTypeを始めとした各種CMSや基幹システム等とのAPI連携も可能です。

ファンクラブやユーザーサポートサイト、学会・協会サイト、申請受付サイト、キャンペーン受付サイト、イベント受付管理、入居者サイトなど様々な業界・用途・シーンで延べ11,000以上のご利用実績がございます。

サービスの詳細については「会員管理・会員サイト構築ソリューション」のページをご覧いただくか、サービス導入をご検討中の方はこちらからぜひお問い合わせください。

まとめ

今回は世界で人気の高いCMS「Drupal」の脆弱性について詳しく解説しました。Drupalは基本的にセキュリティ性の高いCMSですが脆弱性も確認されているので、自分でできるセキュリティ対策は徹底して行いましょう。

またセキュリティ性の高いSPIRAL®などを併用して、より安心できるWebサイトを構築することをおすすめします。