PowerCMS ブログ

PowerCMS / PowerCMSクラウド に関して、セキュリティ対応についてご質問をいただくことが良くあります。
代表的なものに関して説明していきます。

Apache Tomcatの脆弱性が発見されたが影響があるか？

PowerCMS や PowerCMSクラウド では Java Servlet や JavaServer Pages を利用しません。ご利用いただいているサーバーの http処理を Apache Tomcat に任せている特殊な場合を抜かして影響を受けるようなことはありません。

Apache Sturutsの脆弱性が発見されたが影響があるか？

PowerCMS や PowerCMSクラウド では開発に Apache Struts を、フレームワークとして利用しておりません。

WAFに対応しているか

PowerCMS を導入するサーバーや設置するネットワーク上に、 Web Application Firewall を導入されるケースが増えているようです。
どちらかと言うとこれら WAF製品 は スクラッチの Web Application がセキュリティに対する足りない状態を、ネットワークレベルでブロックする事が目的で導入されるものであり、適切にセキュリティ対応された CMS の正しい動作までもブロックする事が多いことを確認できています。

これら WAF を導入される場合には、WAF動作プロファイルの修正が必要になる可能性も存在することあります。

導入される場合には、WAFがない状態での動作と、WAF導入後の動作状態を比較し、綿密な動作検証の上、適切なWAF動作プロファイルの設定が必要になります。

WAFは導入されているか（PowerCMSクラウド）

PowerCMSクラウド では、オプションとして PowerCMS Security の導入が可能です。
PowerCMS Security は、トレンドマイクロのクラウド型セキュリティーサービスである、 DSaaS(Deep Security as a Service) を、導入するオプションとなります。

製品に対する脆弱性検査を行っているか？

以下のタイミングで脆弱性対応に関する見直し・対策を行っております。

1. JVN脆弱性対策情報や、JPCERT コーディネーションセンターで公開される脆弱性情報を確認
2. PowerCMS をご利用のお客様が実施された診断ツールの結果を確認
3. バージョンアップ版を作成時の確認
4. 日々のサポートへのお問い合わせ内容で確認

項目2 については、診断ツールはさまざまですが年に数回検査報告書と共にお問い合わせがあります。

脆弱性検査を行って構わないか？（PowerCMSクラウド）

以前はマイクロソフトに対する事前申請などが必要でしたが、現在は申請無しで実施が可能となっております。
判明した脆弱性に関して、システム的な対応が必要で対応可能なものについては、適宜対応させていただきます。