導入事例NPO法人ベーサー・ファウンデーション様

オープンソースでも許されない脆弱性、
ユーザに安心して利用してもらうためにVAddyを導入

属人的な対策からの移行
NPO法人ベーサー・ファウンデーション 江頭竜二氏
主な業務
OSS CMS開発
サービスの規模
ダウンロード数: 167,965 回
脆弱性検査での課題
事後対応がほとんどで、事前の対策はあまり取ることができていなかった。

本日、クラウド型Web脆弱性検査サービスVAddyのOSSコミュニティへのサポート開始を発表いたしました。今回は本取組の第一弾としてVAddyを導入いただいた「baserCMS」を支援しているNPO法人ベーサー・ファウンデーション理事長の江頭竜二様にお話をうかがいました。
なお、baserCMSプロジェクトではTravisCIとVAddyを組み合わせた継続的な脆弱性検査体制ができており、既にVAddyでいくつかの脆弱性が発見され、8月にリリースされたbaserCMS 4.0.6で修正が完了しています。

baserCMSは企業サイトの構築に強みをもつオープンソース・ソフトウェアの国産CMSです、現在ではNPO法人ベーサー・ファウンデーションがコミュニティの支援を行っており、理事長の江頭様は株式会社キャッチアップの代表も務められています。

※インタビューは株式会社キャッチアップ社内で行われました。

baserCMSとは

baserCMS(ベーサーシーエムエス)は日本人のために開発した国産CMSです。実案件の中で育てられたCMSなので、企業Webサイトの構築に最低限必要な機能を標準で装備しています。カスタマイズ性が高く、少しの学習でパソコンに不慣れな方でも更新ができるような仕組みを作ることができます。

baserCMSは私個人のプロジェクトとして2009年12月にリリースしましたが、ユーザーに長く安心して使っていただくために2014年にNPO法人ベーサー・ファウンデーションを設立し、baserCMSの支援をそちらに移管しました。現在はbaserCMSユーザー会が開発を行っております。

OSS(オープンソース・ソフトウェア)でのセキュリティの課題

少し前まではOSSに対するセキュリティ意識はそれほど高く無かったと思います。何か問題があったとしても「タダだからしょうがない」といったように許してもらえてたというか。しかしながら、最近はOSSに含まれる脆弱性に起因する事故が頻発しているため、ユーザーのOSSに対するセキュリティ意識はかなり高まってきました。先日私たちが発表した脆弱性もSNSを中心にかなり話題になりましたし、実案件でbaserCMSを提案する際も「他のCMSとくらべてセキュリティは大丈夫?」といった質問をされることも増えてきました。

OSSにおけるセキュリティ対策は開発メンバー個人の力量に依存することがほとんどで、セキュリティエンジニアが網羅的にチェックしたり、リリースの度に診断会社に依頼したりすることは稀なのではないでしょうか。baserCMSではリリース前にメンバー内でコードレビューをしていますが、セキュリティ面でのチェックという意味では、どうしても漏れは出てきてしまいます。おそらくCMSに限らず他のOSSでも同じ問題を抱えているのではないでしょうか?きちんと続いているOSSはどこかの企業が担いでいるケースが多いので、一概にはそうとも言えないかもしれませんが。

baserCMSにおけるこれまでのセキュリティ対策

私が代表を務める株式会社キャッチアップではbaserCMSを実案件に投入しています。案件によってお客様の方で脆弱性検査を実施することがあるので、そこで何らかの脆弱性が発見された場合はbaserCMSにフィードバックしています。また、IPA(情報処理推進機構)とかJVN(Japan Vulnerability Notes)と連携していて、baserCMSに何か問題があれば報告が上がってくる体制が整っています。

過去にWebサイトのフロント側を検査するツールは使ったこともありますが、自動検査系のツールはログインが必要なアプリケーションに対応していないこともあり、管理画面側のセキュリティ検査にまで手が回っていませんでした。baserCMSは基本的に企業の方が使うことが多いので、管理画面を利用するユーザーを信用するというスタンスだったのですが、結果的にIPA経由で管理画面系の脆弱性がいくつか報告されてしまいました。

これまでのbaserCMSのセキュリティ対策は事後対応がほとんどで、事前の対策はあまり取ることができませんでした。日本国内市場にのみ提供しているbaserCMSは海外の有名CMSツールに比べると狙われにくいというのもありましたので、基本的には外部から何らかの報告が上がってから対応するというやり方でした。

VAddyを導入してみて

今回VAddyの有償プランを提供いただいたので、さっそくbaserCMSを検査したところ、いくつかの脆弱性が発見されました。少し驚きましたが、VAddyが有効なツールだという確信を得ることができました。
ちなみに、8月にリリースしたbaserCMS4.0.6はVAddyで発見された脆弱性を修正したものになりますので、ユーザーの皆様は最新版へのバージョンアップをお願いいたします。
編注)2017年10月6日現在の最新バージョンは4.0.7になります。

先ほどこれまでのセキュリティ対策は事後対応だったとお話しましたが、これからはVAddyを使って事前のセキュリティ対策を実施することができます。OSSでもセキュリティを確保しているというのは強みであると同時に運営側の責務でもあると考えています。

今後baserCMSでリリースされる機能は全てVAddyでの検査をクリアしたものになる予定です。私たちは「セキュリティ対策がされているOSS」という側面をアピールして行きたいと思っていますし、そうすることで現在のbaserCMSのユーザーの方々も安心していただけるのではないかと考えています。

また、今回のNPO法人ベーサー・ファウンデーションの代表理事としての立場でお話しましたが、株式会社キャッチアップの代表という立場からもVAddyを提案していきたいと思っています。baserCMSの実案件ではOSSレイヤーと独自開発レイヤーがあります。OSSレイヤーのセキュリティが担保されていても、独自開発レイヤーに脆弱性が混入する可能性もありますので。

特定非営利活動法人ベーサー・ファウンデーション

設立
2014年四月
理事長
江頭 竜二
活動内容
  1. baserCMS の普及事業
  2. baserCMS の活用促進事業,及び教育事業
  3. baserCMS の研究事業
  4. baserCMS に関するユーザー・開発者・ベンダー等相互間のシステム活用及びビジネスに関するアライアンス推進事業
  5. baserCMS の各種メディアへの情報発信事業

他の導入事例を見る