昨日、JVNからOneThird CMSに関する脆弱性の発表がありました
これで、外部から指摘された脆弱性は、累積4件となっており
すべて最新版では対策されています
内容は、ディレクトリトラバーサルが1件、XSSが3件です
これは、WordPressなどのCMSに比べて圧倒的に少ないと思います
では、設計的にOneThird CMSが素晴らしいかというとそうとは限りません
単純に、コード量が少ないから脆弱性が入りにくいと考えられます
WordPressのコード量とOneThird CMSのそれでは10倍以上の差があります
OneThird CMSはWordPressの1/10以下だから脆弱性も1/10以下になります
これはソフトウェアの欠陥率(バグ)はコード量に比例すると考えられるからです
しかしながら現状では、WordPressの脆弱性の累計とOneThird CMSの累計は100倍以上の差があると思います
それはWordPressが世界で一番使われているCMSでありとあらゆる人のチェックを受けているからかもしれません
そう考えるとOneThird CMSもユーザーが増えると潜在バグの発見が今後出てくる可能性があります
では、今後増えるかもしれない脆弱性に対してOneThird CMS設計側でどう考えているかを説明します
脆弱性はコードに対してある程度入り込むのは仕方のないことだと考えられます
ですから、できるだけ必要以上の機能を盛り込まない、コード量を増やさないというのが基本的な方針です
しかしながら、コード量とは別にソフトウェア不具合の重篤度という問題があります
要するにバグの発生確率は一定でも、当たりどころが悪いと大事になるということです
それについては、設計側では対応し難いので使う側でしっかりリスク分析を行い適切な対策を取るのが一般的なんですが、保険的対策としてソフトウェアの構造に少し工夫があります
どういった工夫かというと
OneThird CMSでは、外部からの侵入ルートを極力抑えるという設計手法の採用です
攻撃用のURLが多いとそれだけ外部からの攻撃にさらされる確率が増えるので、CMSへのアクセスはすべてindex.phpを通るように設計しています
基本管理用のURL(7種類)だけは別ですが、通常の管理、プラグインなどが使うURLもすべてindex.phpを通ります
重篤な不具合はプラグイン特にユーザーが作成したものにまじりやすいのでこういう対策が有効だと考えています
また、運用方法についても柔軟に選べるようにしています
通常のCMSではWAFを使うと中途半端な動作不良を起こす場合が多いのですが、OneThird CMSでは通常動作するURLとWAF動作するURLを分けることにより、簡単に対応することができます
またWAFを使わなくても、同一サーバー上で同じく入り口を分けて一つも静的アクセス、一つを管理用の動的アクセスといった具合の運用も簡単です
特にこの方式では、管理用のURLで複数チェックを行ったあと、まとめて一気に公開といった方法がとれますので自治体など間違いが許されないページの運用に向いています
OneThird CMSで、WordPressのようなディスカッション機能がないのはこの様な運用を考えているためです
この様に代替えの方法があれば機能は削ぎ落とせると言うことも脆弱性の削減に繋がると考えています
以上の様に適切に運用すると非常に強固なサイトを運用することができますのでぜひご検討をよろしくお願いいたします
なお、運用会社であるSpiQeソフトウェアにおいてOneThird CMSの相談も承っています
お気軽にお問い合わせください