アイキャッチ画像: デスクの上でパソコンを使用している

今回は Drupal (ドルーパル)ドキュメントの日本語訳シリーズの一環で、 Drupal の安全性に関して解説した記事を翻訳してご紹介できればと思います。

元となる記事は Drupal.org の「 Is Drupal secure? ( Drupal は安全ですか?)」という記事です。 とても短い文章ではありますが、 Drupal に興味を持って間もない方が共通して抱く「オープンソースってセキュリティ的にどうなの?」「 Drupal ってセキュリティにどうなの?」という質問に端的に答えたわかりやすい内容となっています。 また、詳しく掘り下げたい方のために各トピックの詳細記事へのリンクもありますので、 Drupal のセキュリティについて知りたい場合にまず最初に見ておいて間違いはないページだと思います。

それでは以下、翻訳文となります。 いつものごとく日本語としてのわかりやすさを重視して、ところによっては直訳ところによっては意訳としています。 特に「 secure 」という単語については「安全」と訳した方がいい場合と「セキュア」とそのままにしておいた方がいい場合とがある感じだったので、文脈によって言い回しを変えています。 原文の厳密なニュアンスが知りたい方はぜひ原文の方にあたってみてください。

なお、元にしたのは本記事執筆時点の最新版である 2014 年 11 月 29 日更新のバージョンです。

Drupal は安全ですか?

Drupal にはセキュリティに関して非常によい実績があります。 また、潜在的なセキュリティ問題の調査やチェック、公表に関する体系だったプロセスを持っています。

Drupal のセキュリティチームはセキュリティ問題が生じたときの対応を Drupal コミュニティと協力しながら絶えず行っています。 このプロセスについてのより詳しい情報はハンドブック内の該当するセクションに載っています。

セキュリティチームのメンバーは、 Drupal のコアやコントリビュートプロジェクトのコードにかんたんに見つかる脆弱性がある場合に例外的に解析を行うことがありますが、一般的にはセキュリティチームがコアやコントリビュートモジュールのレビューを行うことはありません。

Drupal を利用している人は皆セキュリティメーリングリストを購読し( drupal.org でアカウントプロフィールを編集すると購読できます)、あらゆるタイプの最新のセキュリティ通知が自動的に入ってくる状態にしておくべきです。

よくある質問:

オープンソース・ソフトウェアは安全ですか?

短い回答としては「オープンソース・ソフトウェアは商用ソフトウェアと同等あるいはそれ以上に安全です。」になります。 これに関連したよいまとめが IBM の記事 The security implications of open source software に載っています。 オープンソースの利用がセキュリティの向上に繋がるということは、ホワイトハウスが Drupal に移行した際の理由のひとつにあげられています。

Drupal は一般的なセキュリティ脆弱性の問題にどう対応していますか?

Drupal の API とデフォルトの設定はそのままの状態で使用したときにセキュアになるように設計されています。 インジェクションやクロスサイトスクリプティング、セッション管理やクロスサイトリクエストフォージェリなどの問題についてはすべて Drupal API において標準的なソリューションが与えられています。 このトピックに関するより詳しいレビューは Drupal セキュリティレポートをご覧ください。

なぜ Drupal のセキュリティ通知は他のプロジェクトよりも多い(あるいは少ない)のですか?

セキュリティ通知の絶対数はまったく意味のない数字であり、比較に使うべきものではありません(コントリビュートプロジェクトを含む場合は特に)。 Drupal には 7000 を越えるコントリビュートプロジェクトがあり、あらゆる潜在的な問題についてユーザたちからくまなくチェックされています。 比較的マイナーな問題に対してセキュリティ通知が出されることもあります。 より詳しい情報は Security Risk Levels をご覧ください。

また、潜在的な問題の発見の指摘やすでに解決済みの問題の周知のためにセキュリティ通知が使われるということも知っておくべきです。 セキュリティ通知でセキュリティフィックスがアナウンスされる前にセキュリティホールが悪用されるのは極めて稀なケースです。 したがって、もっとも重要な自衛策は、あなたが使用している Drupal のコアやコントリビュートコードに関するセキュリティ通知があったときには必ず Drupal を最新の状態に保つということです。

稼働中のサイトで見つかったり悪用されたりした脆弱性としてどのようなものがありますか?

Drupal サイトのプロのセキュリティ監査は一般に、セキュリティホールの大部分( 90% 以上)はサイト開発者のカスタムテーマやカスタムモジュールの中にあるということを確認しています。 カスタムコードは drupal.org にあるコードと同等のコミュニティによる精査を受けることはありません。

加えて、 Drupal (特に Drupal コア)の脆弱性よりもサーバレベルの問題( FTP などのセキュアでないプロトコルの使用など)の方が成功した攻撃において利用されていた傾向が高いといえます。

Drupal のセキュリティの扱い方に関する情報は Drupal 管理ガイドの Securing Your Site をご覧ください。

以上です。

いかがだったでしょうか?

Drupal はいわゆる「 OSS 」、オープンソース・ソフトウェアです。 Drupal が「オープンソース」「無料」と聞くと反射的に「品質が低いんじゃないの?」「セキュリティが弱いんじゃないの?」と考えられる方も多くいらっしゃいますが、実際にはオープンソースだからといって品質が低い、セキュリティが弱いなんてことはありません

また、他の CMS と比較して「 WordPress と比べてどうなの?」「 Joomla! と比べてどうなの?」といったことを聞かれる方もいらっしゃいますが、このあたりは車の機種 A と機種 B の安全性を比較して「どちらの方が事故しにくいですか?」と聞くようなものに近く、なかなか優劣をつけがたいところでもあります(スタジオ・ウミのメンバーとしては「 Drupal の方がいいよ」と言ってしまいたいところですが(笑)、ニュートラルな立場で考えると優劣つけがたいというのが実際です)。 そのあたりのことも含めて Drupal のセキュリティについての正しい認識がこの記事とそのリンク先記事でご確認いただけるのではないかと思います。

自動車を運転するかぎりその事故リスクはゼロにはできないように、ソフトウェアも使うかぎりはそのセキュリティリスクをゼロにすることはできません。 ただ自動車を使う場合には徒歩や自転車、電車などでは得られないそれなりのメリットがあるように、 CMS などのソフトウェアにもそれを利用するメリットがたくさんあります。 このあたりのプラス・マイナス、両面を踏まえて、運転(運用)上の注意すべき点も押さえた上で、ぜひ多くの方に安心して CMS や Drupal を使っていただきたいと思っています。

そして、 Drupal をお選びの際にはスタジオ・ウミがお力になれるかと思いますのでぜひお気軽にお声がけいただければと思います。