プライム・ストラテジー(中村けん牛代表取締役)は9月4日、WordPress実行時間3ミリ秒台、秒間1000リクエストをページキャッシュ非使用で実現する世界最高速クラスのWordPress実行環境「KUSANAGI」のセキュリティーをさらに強化するアップデートを行ったと発表した。

 KUSANAGIは、これまでもセキュリティーに関して、WordPress上の実行権限や書き込み権限の制御、管理画面へのセキュリティー情報の表示、WordPressコア、テーマ、プラグインの自動更新機能の提供など、さまざまな機能を提供してきたが、KUSANAGIのエンタープライズ企業への採用が進むのに伴い、さらなるセキュリティー要求が発生することも多く、個別に対応を行ってきた。

 今回、エンタープライズ企業で必要とされるセキュリティー要件に標準で対応可能とするため、KUSANAGIのセキュリティー強化アップデートを実施した。アップデートでは、WAF(Web Application Firewall)機能の実装、TLS1.1以下の無効化、脆弱性スキャンツールの導入、IDS/IPSの実装を行った。

 WAF機能は、ウェブサイトに対する攻撃を検知・防御する目的で実装され、kusanagiコマンドで有効化/無効化が可能となる。これによりSQLインジェクション、クロスサイトスクリプティング、パスワードリスト攻撃など、公開ウェブサーバーに対する攻撃に対して対策を講じることが可能となる。また、WordPress用のホワイトリストや設定があらかじめ定義されており、WAF運用の負荷を軽減できる。

 SSL通信を行う際のプロトコルとして、例えばTLS1.0、TLS1.1にはPOODLEと呼ばれる脆弱性があり、TLS1.2への移行が推奨されている。また、クレジットカード情報を利用した取引を行う際に推奨されるセキュリティー要件を定義しているPCI DSS v3.2でも、6月30日までにTLS1.2への移行を求めている。この世界的な状況に対して、KUSANAGIについてもTLS1.1以下の無効化対策を行うこととした。暗号スイートについては、IPAが推奨するSSL/TLS暗号設定ガイドラインに基づいている。

 脆弱性スキャンツールについては、Vuls(VULnerability Scanner)が導入され、kusanagiコマンドで有効化/無効化が可能となる。これによりミドルウェア、パッケージなどに存在する脆弱性をスキャンすることができる。

 IDS/IPSは、ネットワーク層への攻撃を検知・防御することを目的として実装され、kusanagiコマンドで有効化/無効化が可能。これにより、DoS攻撃、Synフラッド攻撃など、ネットワーク上のトラフィックを常に監視し、ファイル改ざん、不正侵入や攻撃に対して対策を講じることが可能となる。