セキュリティ事故は、いつ誰の身にも起こりうる
「WordPress、使っていますか」。スパイラルでプラットフォーム活用推進本部長を務める三谷章太郎氏は、そう会場に語りかけた。オープンソースのCMSとして広く普及するWordPressは、テーマやプラグインによる拡張性、PHPベースの柔軟なカスタマイズ、MySQLとの親和性などが強みとされている。ドキュメントやナレッジも豊富で、開発者・デザイナーにとっては扱いやすい存在だ。しかし、その使いやすさの裏にセキュリティ面の脆弱さが潜むことを、三谷氏は身をもって経験している。
話は10年以上前にさかのぼる。三谷氏は前職でとある顧客のWebサイトを手掛けた。Webサイト自体はWebデザイナーが構築したが、そのバックエンドとしてWordPressを連携させて、記事情報を別途静的ページに吐き出す仕組みを作っていた。そのWebサイトについて、あるとき営業担当者から「トップページの表示がおかしい」との連絡があった。最初は、納品後に顧客側で何かファイルをいじったせいだろうと三谷氏は思い、しぶしぶ確認してみたところ、見慣れないバナーが表示されていた。それは、フィッシングサイトへ誘導する不正広告だった。
そこで、問題のHTMLから不審な記述を削除する形で修正し、バナーを消して営業担当者に報告した。
だが、営業担当者から再び「まだ表示されている」との連絡があった。再度対応したが、何度更新してもバナーはすぐに復活した。何かが裏で動いているかもしれない。マルウェアの可能性に震えた三谷氏は、ファイルの更新履歴をもとに調査を開始した。異常が発生したとされる時刻以降に更新されたファイルを洗い出し、その中から明らかに不要なファイルを特定。削除したところ、ようやくバナーの再表示は止まった。
原因は何だったのか。実は三谷氏にもはっきり分からない。「こうした事態を想定していなかったため、ログを取るなどの仕組みを実装しておらず、何が起きたのか、なぜ起きたのかを明確に説明できませんでした」。三谷氏は大きな反省を口にする。
加えて、三谷氏が痛感したのは、アクセス数の多寡に関係なく攻撃は発生するという事実である。「アクセスが特に多いわけでもなかったので、まさか被害に遭うとは思いませんでした」。サイバー攻撃が対岸の火事ではないと痛感した瞬間だった。
三谷氏は情報処理推進機構(IPA)が公開する「脆弱性対策情報データベース JVN iPedia」の2025年第2四半期レポートを取り上げて、ここ数年でアプリケーション関連の脆弱性報告が急増していると述べた。さらに、JVN iPediaの脆弱性対策情報へのアクセス数ランキング上位はすべてWordPress関連であり、セキュリティリスクへの懸念は未だに高いと同氏は分析する。
安心・安全な運用のために“仕組み”を整える
幸いなことに、同事例では問い合わせ対応などのやり取りをすべてメールで行っており、サーバー側に個人情報を保管していなかったことで個人情報漏洩という最悪の事態は免れることができた。だが、ユーザーの属性や行動履歴などのデータを適切に利活用することが、Webサービスにおける付加価値のひとつとなっている現在、そのような構造は今の時代に合わないと述べる。
とはいえ、セキュリティ対策の強化はエンジニア側からすれば実装や運用の手間が増える“面倒くささ”がある。そんな悩みに対して、安全性と利便性のバランスがとれたWebサイト運用を実現する方法として、三谷氏は同社のローコード開発プラットフォーム「SPIRAL®」を紹介する。SPIRAL®は、Webフォームをローコードで開発できるクラウドサービスで、データベースを中心にWebフォームやメール配信機能、PHP/JavaScriptによるカスタマイズ、API連携などの機能を備えている。官公庁や金融機関、自治体などでの導入実績もある。
事例として、三谷氏はスパイラル福岡支店の10周年記念キャンペーンサイトを紹介。同サイトでは、ログインして閲覧できる会員限定コンテンツのほか、投票機能や抽選機能といったユーザー参加型のコンテンツを備えており、セキュリティ面でも一定の強度が求められる構成だった。このWebサイトを、三谷氏と当時の制作リーダーの2名で構築したのだが、着手から初回リリースまで、わずか5日で完成させたと明かす。
主に使用したのは、WordPressと有料テーマのSwell、そしてSPIRAL®。WordPressをフロントエンドに据えてSPIRAL®を連携させることで、UIの自由度とデータ管理の堅牢性を両立させながら短期間での構築を成功させた。
スピードと品質の両立は、生成AIなどを活用した近年の開発スタイルとも通じるものがある。ただ、AIだけでは担保できない領域も存在する。特に個人情報を扱う場合、運用者や利用者が安心できる仕組みがあるかどうかは大きな分岐点になる。人の手が入ることでAI丸投げの不安感が払拭され、加えて機能面でセキュリティが担保できることは、AI時代においても価値があると三谷氏は強調する。
セキュアなWebサイト運用を支えるSPIRALの仕組み
では、実際にSPIRAL®ではどのようにしてセキュリティを担保しているのか。三谷氏は、同社が提供するセキュリティ支援機能の具体例として、いくつかのソリューションを紹介した。
まず挙げたのが「SPIRALセキュアセッションマネージャー」である。これは、前述の記念サイトに実装した会員機能をよりリッチにしたイメージと三谷氏は説明する。仕組みは、認証セッションサーバを用いて個人情報を安全にキャッシュし、高速かつ安全に会員専用サイトを作成できるようにするというものだ。
セキュアセッションマネージャーの概要
2つめは、「SPIRALマネージドクラウド for WordPress」。こちらは、WordPress専用のホスティングサービスで、「コストをかけてもいいから安心したい」という層を対象にしたものだという。特徴は、ステージング環境と本番環境を1つのホスティング内に標準で備えている点にある。
WordPressユーザーにとって、本番環境でのアップデートが原因で画面が真っ白になったという苦い経験は少なくない。三谷氏も「最近はそうした事故が減っているとはいえ、心配な人は多い」と言及。この機能では、あらかじめステージング環境でアップデート内容を確認し、問題がなければボタンひとつで本番環境へ反映できる。さらに、プラグインの評価や月次点検レポートの可視化といった運用支援機能も提供する。
フォームまわりの安全性に関しては、「WP Safety CF7 by SPIRAL」(「SPIRAL Connector for Contact Form 7」に名称変更)という新しい仕組みも紹介された。これは、WordPressで広く使われているWebフォームプラグイン「Contact Form 7」(CF7)と連携し、フォームで入力された個人情報の送信先をSPIRAL側に切り替えるというもの。これにより、WordPress側には個人情報を一切持たせず、SPIRALのセキュアな環境に直接格納することが可能になる。現在はベータ版であり、正式リリースに向けた開発が進められている。
さらに、SPIRALグループ内の専門組織「スパイラル アイギス株式会社」が作成した「WordPressセキュリティチェックシート」も無料で提供している。エシカルハッキング、システムテスト、Webアクセシビリティ検査といった専門領域に携わる同社が監修したもので、WordPress運用における自己点検の指針として活用できる。環境によっては、SPIRAL®の機能を試せる無料トライアルも用意されている。WordPressの利便性を保ちながらセキュリティを強化するには、適切なツールの選択と運用体制の整備が欠かせない。三谷氏の事例は、その重要性を改めて教えてくれる。
エンジニア向け特別アカウントを配布中!
SPIRALの機能を深く理解し、実践で試すことができるエンジニア向けの特別アカウントを配布中です。SPIRALを体験したい方はエンジニアβ無料登録フォームからお申込みください。
