WordPressのセキュリティリスク
銀行などの金融機関のWebサイトは、顧客からの信頼性の確保、日々更新される法律改正やルール変更への対応、頻繁な新サービスリリースによる情報更新が必要です。
CMS(Contents Management System)を利用することでWebの専門知識がなくても情報を簡単に情報更新ができます。
世界中で最も多くの人に利用されているCMSはWordPressです。WordPressはオープンソースでカスタマイズ性に優れていますが、セキュリティリスクが高く、以下のような問題があります。
- デフォルトID状態でのパスワードクラック
- プラグインの脆弱性をついた攻撃
- バージョンアップ未実施による脆弱性をついた攻撃
その他にも、WordPressにはさまざまなセキュリティリスクが存在し、それらがセキュリティを最重視する企業にとってはWordPress導入の足かせとなっています。
弊社もこれまで地銀さま向けにWordPress導入を提案していましたが、セキュリティリスクによって、いくつもの地方銀行がWordPressの導入に難色を示していました。
そこで、セキュリティと利便性を総合的に判断して、地銀サイトにとっての最適解が「ヘッドレスCMS」という新しい形のCMSです。
ヘッドレスCMSとは
ヘッドレスCMSはフロントエンドの機能がなく、バックエンドの機能のみを持ったCMSです。
WordPressのような、フロントエンドとバックエンドを併せ持つCMSに存在する、セキュリティリスクを回避できるため、地銀サイトに導入をおすすめします。
簡単に言うと、ヘッドレスCMSはコンテンツ管理システムで、外部から個別に記事情報などのデータをAPIなどを使って呼び出すことができます。また、WordPressのようなデザインや機能の制約に依存することなく、自由にフロントエンドのカスタマイズが可能なのも利点です。
代表的なヘッドレスCMSには、以下のようなものがあります。
Contentful
世界で一番利用者が多い、ヘッドレスCMSのパイオニア的存在です。
豊富な機能と充実したドキュメンテーションが魅力ですが、日本での普及率は高くないためか、日本語の情報は多くありません。価格は他のヘッドレスCMSと比較してやや高めです。
microCMS
こちらは国産のヘッドレスCMSです。シンプルで使いやすいUIが特徴です。特にマーケティングやコンテンツ制作に重点を置いており、パフォーマンスにも優れています。
また、microCMSは画像専用CDN「imgix」が追加料金なしで利用できます。これにより、サーバーにアップロードされた画像データをデータ転送することなく自由に編集できます。ページスピード改善の重要な要素である画像最適化を簡単に行えることは、大きな利点です。
Newt
比較的新しい国産ヘッドレスCMSです。
Newtは、『App』という独自の機能があり、コンテンツ管理に関わる人やデータを適切な粒度にグループ化して、コンテンツ管理を効率化します。
また、簡易的なプレビュー機能があるのも特徴です。価格は他のヘッドレスCMSと比較して中程度です。
これらの中で地銀サイトに最もオススメなのはmicroCMSです。
その理由は国産ヘッドレスCMSの中でも特にセキュリティ水準が高いという点です。
暗号化通信やWAF対応など、ヘッドレスCMSとしての基本的なセキュリティ対策は備わっており、尚且つ情報セキュリティ監査の担当者向けにセキュリティチェックシートが2種類公開されています。
参考:セキュリティ|microCMS|APIベースの日本製ヘッドレスCMS
地方銀行のどんな領域におすすめなの?
更新頻度がそれなりに発生をして、ある程度入力する情報が決まっているコンテンツでの導入がおすすめです。一気に全体に導入するのではなく、まずは1カテゴリなどを選んで、スモールスタートをし、更新方法・手順などで慣れてきたら、領域を広げて行くことがおすすめです。
- 緊急のお知らせエリアの更新
- ニュースリリースの更新
- 記事コンテンツの更新
- キャンペーン情報の更新
- 店舗・ATMの更新
- 金利情報の更新
さらなる高みへ
ヘッドレスCMSはSSG(静的サイトジェネレータ)と組み合わせることで、最適なWeb運用ができます。この開発手法を「Jamstack」といいます。
従来のWebサイトの表示される仕組みは、アクセス毎にWebサーバーを介してページ生成を行います。一方、Jamstackでは、これを行いません。正確にはビルド時にページ生成を行なっています。(ビルド時にページ生成を行うことをpre-renderingといいます)これによってページの高速表示を実現します。
しかし、pre-renderingにはそれなりの時間がかかるため、何度もpre-renderingをする必要がありそうな高頻度更新のサイトや、pre-renderingに大量の時間がかかるページ数が数千〜1万を超える膨大なサイトには不向きです。また、Jamstackは静的なコンテンツに最適化されているため、状況によって表示コンテンツを変える必要がある動的ページがメインのサイトには不向きです。
そんなJamstackは、現在様々な企業で導入されています。
出典:jamstack 採用事例 サイト 一覧|Page1|Check WebTech
地方銀行で導入している例はおそらくまだあまりありませんが、今後先進的なところから導入されていくことが予想されます。
まとめ
メンバーズルーツでは先日、microCMSを利用したWebサイト・アプリ制作ができる、microCMS公認のパートナー企業になり、microCMSの導入支援のサービスも立ち上げました。地方銀行での導入実績などもありますので、ご興味のある企業担当者さまは下記よりお問い合わせください。