Drupalの安全性を支えるコミュニティーの取り組み
Drupal の安全性
Drupalは、その強力なセキュリティー機能と活発なコミュニティーによって、高い安全性を提供するCMSとして広く認知されています。これまで世界中の開発者やセキュリティーの専門家がDrupalのコードをレビューし、発見された脆弱性をコミュニティーが適切な方法で修正・公開してきました。そのため、Drupalはインターネット上の様々なセキュリティーリスクに対して強い耐性を持っています。これは適切な管理体制のもと運営される国際的オープンソースプロジェクトの大きな利点のひとつでしょう。Drupalは金融機関、各国政府、公共機関、医療機関およびFortune 500に名を連ねる大企業など、セキュリティ要件が厳しい業界・組織において世界的に広く採用されています。このポストでは、Drupalのセキュリティーを守る組織的・機能的な仕組みについて簡単に説明します。
Durpalセキュリティーチーム
Drupalには専任のセキュリティーチームが存在し、脆弱性報告の受付・確認・管理や修正手続きのコーディネーション、リリースや勧告の発表などの一連の作業を担っています。脆弱性に対する修正の実施や、複数の専門家によるレビューを経て問題が解決されていることを精査したり、リリースに係る一連の作業の実施や関係者との連携など、適切な手続きをもってセキュリティー問題に対応することでDrupalの高い安全性を確保しています。通常、チームはセキュリティーアップデートの公開を北米時間の水曜日に行います。リリースと同時にセキュリティーアドバイザリー(勧告)も公開します。アドバイザリーには詳細なスコアリングシステムに基づいた脆弱性の深刻度や評価が含まれており、また共通脆弱性識別子(CVE)も付与されています。
セキュリティーチームは外部のライブラリやプラグインのセキュリティー情報にも常に注意を払っています。それらに脆弱性が発見されたり、Drupalが影響を受ける問題が発見された際には、当該コミュニティーと連携してセキュリティーアドバイザリーの公開やアップデートのリリースを行います。また、アップデートを要さないDrupalのセキュリティーに関する情報はPublic Service Announcement(PSA / 公共告知)として公開します。例えばDrupalのEOLに関する告知がこれに当たります。
さらに、発見された問題への対応や勧告・告知の公表だけではなく、Drupalconなどのイベントにおいてセキュリティー問題を未然に防ぐためのベストプラクティスの啓蒙なども行っています。
Drupal Steward
セキュリティーアップデートのリリースは世界共通時の16:00~22:00に行われ、これは日本時間の深夜01:00から朝07:00に当たります。この間に極めて深刻な脆弱性に対するセキュリティーリリースが行われた場合、東アジアやオセアニアのサイトオーナーは既知となった脆弱性に対する防御策を持たないことになります。この時差に基づく不利益・不公平は、長い間コミュニティーにおいて議論されてきた問題でした。
この問題に対する1つの解決策として、
Drupal AssociationとDrupalセキュリティチームが
Drupal Stewardと呼ばれるサービスの提供を開始しました。このサービスを利用することで、セキュリティーリリースの公開後、アップデートがサイトに適用されるまでの間にサイトを保護することが可能になります。これにより、タイムゾーンの問題で速やかにセキュリティアップデートを適用できないサイトオーナーも安心してDrupalサイトを運用でき、また新バージョンに対する十分な動作テストを実施したうえでリリースすることも可能になります。
Drupal Stewardはトラフィックが専用のWAFを経由することで機能し、Drupal
Associationや特定のプラットフォームパートナーが提供しています。Drupal
StewardはWAFルールによる対応が可能な脆弱性にのみ有効であることを留意する必要がありますが、大規模なサイトやセキュリティー要件が厳しいサイトにとって特に有益なサービスでしょう。
さいごに
Drupalセキュリティーチームによるセキュリティー維持の活動により、安全なウェブサイト運営の実現を可能にしています。またDrupalコミュニティーは、Drupal
Stewardを提供することでアップデート対応に時間的猶予を与えるだけでなく、Automatic
Updates
モジュールをコアへ追加することで、技術的知識を持たない比較的小規模のサイトのオーナーでも簡単にセキュリティーアップデートの適用を可能にすることを目指しています。セキュリティーチームをはじめとするコミュニティー全体の努力によって、Drupalのセキュリティーは維持・改善され続けています。