ブログ
個人情報と WP を低コストで物理的に分離するセキュリティ対策 – 初めての microCMS その1
システム部の渡辺です。
先日、お客様からこういった感じのご相談を受けまして
「個人情報が漏れないか不安なので、個人情報データベースと、Wordpress のデータベースを分離してほしい。でも運用コストは抑えたい」
そのサイトは会員登録があり、個人情報の取り扱いには慎重にする必要があります。
同時に wordpress も導入するので、「個人情報と wordpress は全く別のサーバーにおきたい」というのがオーダーでした。
運用費に制限がなければ、サーバーを複数用意して構築すればよい話になるのですが、運用費を安く抑える方法を考えると、サーバーを用意しない方法がないだろうか、
「それならば microCMS を利用するのがよいのではないか」と思い、提案をさせていただきました。
この辺りについて少し説明したいと思いますが、その前に 弊社サイト制作の費用感過去例情報公開しておりますので、ご興味ありましたらこちらからどうぞ
Webサーバーは攻撃される
最近でいえば、Webサイトとして攻撃された例とは少し違うでしょうがニコニコ動画が攻撃され、データを人質にとられてしまった件は、とても身近に感じる恐ろしい出来事でした。病院系サイトも標的にされることは多く、セキュリティ対策の重要性を改めて感じます。
WordPress はさらに攻撃されやすい
WordPress についてはだいたいの方がご存じのことだと思いますが、とても使いやすく普及している、管理画面からサイトを更新できるWeb ソフトです。
便利で普及しているが故に、その構造を推測されやすく、攻撃方法も生み出されやすい、というのは仕方がないことです。
具体的には、WordPressの既知の脆弱性を狙った攻撃や、プラグインの更新が遅れている場合のセキュリティリスクが指摘されています。こうした攻撃を防ぐためには、こまめな更新やセキュリティ対策が欠かせません。
サーバー1つのみでWebサイト運用する場合では、Webサーバーとデータベースは同じサーバーの中に置く (ということが多い)
Webサーバーは、公開されいている特性上、IPアドレス含めて色々な情報を公開する必要があります。
守るべき個人情報データが同じ、Webサーバー上にあること自体がそもそも危険だ、というのはあります。
個人情報だけ物理的に違うサーバーに置いて、個人情報の保存場所も隠す
安全に個人情報を守ることを考えると、危険な Webサーバーとは違う場所、ユーザーからは通信先が隠されており秘密のサーバーに置く、というのは根本的に有益なセキュリティ対策です。
microCMSの利点と簡単さ
データベースを外部に安全に保管しつつ、運用コストを抑えるための方法として「microCMS」を利用は魅力的にみえます。microCMSは、サーバーレスなヘッドレスCMSとして、フロントエンドとバックエンドを分離して管理することが可能です。
microCMS とは?
実は私も初めて今回利用したのですが、microCMS は無料から使えるサービスで、外観の見た目や操作感は WordPress が扱える方なら、とっつきやすくすぐに慣れることができるでしょう。
microCMS のアカウントを作ると、すぐに API を作成することができ、その API を通して「情報の保存・編集」「情報の検索」「情報の削除」などができるようになります。
- データベースを用意する
- データベース・テーブルを設計する
- データベースと通信するプログラムを書く
この辺りを、省略してわかりやすいインターフェース管理画面で簡単に済ますことができます。
WordPress の ACF プラグインでカスタムフィールドを設定するのに似ていて、その経験がある方ならすぐに理解できることでしょう。
「3. データベースと通信するプログラムを書く」はいくつかの言語で通信する方法が用意されてまして、今回は wordpress 導入サイトということで同じ PHP を使って開発、 php 用の sdk をインストールして行ったのですが、それもまた簡単に扱えたので、プログラム例などは次回ブログで紹介したいと思います。