先日、Automattic の WordPress.com VIP チームが主催する WordPress in Government というワークショップがワシントン DC にて行われていました。その模様が、多数の写真やスライドを含め公開されています。
アンドリュー・ネイシンのセキュリティセッション
このイベントには WordPress リード開発者のアンドリュー・ネイシン(Andrew Nacin)もゲストスピーカーとして参加していたのですが、以下に彼のセッションの内容を日本語でご紹介します(ちなみに彼は Automattic 所属ではなく、Audrey Capital に雇われています)。限られた時間で伝えた内容ということもあり見た目は地味で短いスライドですが、フルタイムで WordPress のコア開発に関わり、WordPress セキュリティチームとしても活動しているネイシンの視点は参考になるかと思います。
WordPress セキュリティのベーシック
「システム管理者にはつまらなすぎると思うけど」と前置きして政府機関向けの WordPress セキュリティについてネイシンが挙げているのは、
- コア・テーマ・プラグインをマイナーリリースを含め最新版に保つこと
- 専門家によるセキュリティ監査を検討する
- 管理画面からのファイル変更をできなくする(アップグレードは管理画面からではなくバージョン管理システム利用を推奨)
- 管理画面へのアクセスを制限する: SSL/VPN/プロキシ/BASIC 認証/IP 制限など
といった点。特に、最新版へのアップグレードについては背景情報も含めて詳しく説明しています。
WordPress のリリースナンバーについて
誤解としてたまにあるのが「WordPress 3系を使っているから、4.0が出るまでアップグレードしなくていいかな?」という考え方。WordPress は「後方互換性 = ユーザーへのコミットメント」という理念のもと、メジャーアップグレードが過去のバージョンのコードを使えなくするようなことを極力避けて開発されています。LTS(長期サポート)リリースは行っていないため、セキュリティを最大限に高めるためにはリリースをスキップせずアップデートすることを推奨しています。
例えば2.x系と3.x系では使えるプラグインやテンプレートタグが異なるといった CMS もありますが、WordPress はそのような「セマンティックバージョニング」は行っていません。過去のバージョンへの後方互換性を最大限に保ちつつ開発を継続しています。
- 例えばバージョン 3.5.2 の場合、メジャーリリースバージョンは「3.5」マイナーリリースバージョンは「3.5.2」
- 新機能追加を行うメジャーリリースは、半年に一度程度の割合で行っている
- 大きなバグの修正(セキュリティ上の問題も含む)を行うマイナーリリースは、必要に応じて行っている
WordPress セキュリティチームについて
WordPress セキュリティチームは25人の専門家(リード開発者とセキュリティ分野で働く研究者など)が現在参加中。その特性上あまり表に出ていない部分もありますが、外部の信頼が置けるセキュリティ研究者やホスティング会社とも連携して活動しています。
セキュリティ上の問題を指摘する報告がこのチームに届いた場合、通常48時間から72時間以内に内容の重要性を調査し、初期の修正用パッチを作成するとのこと。
政府機関・行政分野での WordPress の活用例
他にも「WordPress in Government」という現在の活用状況の概要を述べたセッション、20年分のデータを含むレガシープラットフォームから WordPress に移行した経験についてのセッションなどもあったようです。
現在のところアメリカとヨーロッパの例のみですが行政関連の WordPress 活用例は WordPress.com VIP の「WordPress for Government」に掲載されています。フィリピン・韓国などでも政府団体・自治体による情報発信のために WordPress の積極的な活用が進んでいるという話も耳にしました。
NASA の「オープンガバメント・イニシアチブ」というプロジェクトについては過去に事例紹介がブログ上で公開されていますので、詳しく知りたい方はそちらもどうぞ。
さらに、WordPress.org ショーケースの「government」タグを見ればブラジル、英国、オーストラリア、チリなどの事例もあります。いずれも、WordPress が広く活用されているという参考リソースになりそうです。
コメントを残す