「【MT東京-05】MovableTypeとセキュリティ」終了

昨日(2014年8月24日)、MT東京主催のイベント「【MT東京-05】MovableTypeとセキュリティ」が開催されました。

イケテルエンジニアが使ってるSplunk、MTサイトのサイバーセキュリティ対策最新事例紹介

1つ目のセッションとして、マクニカネットワークス株式会社の鈴木富士雄様より、「Splunk」という製品のご紹介をいただきました。

WebサイトやWebサービスに対する不正アクセスは非常に多く、見つけ次第早急に対策することが必要です。
ただ、莫大なログの中から手作業で不正アクセスを探し出すのは、かなり難しいです。

このようなときに役立つのがSplunkです。
Splunkを使うと、各種のログを分析して、様々な情報を素早く見つけ出すことができます。
企業、政府機関、教育機関など、さまざまな分野でSplunkは活用されています。
Movable Typeをインストールしているサーバーのログ監視にも役立ちますので、利用を検討してみると良いと思います。

Webサービスの利用規約を作るときに絶対に押さえないといけない10のポイント

2つ目のセッションとして、弁護士の藤井総様より、利用規約についてお話をいただきました。

Webサービス等を作る際に、利用規約は重要です。
しかし、利用規約をチェックしてみると、内容が不十分だったり、法的に無効だったりすることが多いとのことです。
そのため、何か問題が起こった時に、多額の賠償金が発生して会社が倒産してしまうこともあります。
また、ユーザーに不利すぎる利用規約にしたために炎上が起こって、会社のイメージが悪化することもあります。
このようなことを防ぐために、以下の10個のポイントを解説していただきました。

  1. 利用規約は必要だが流用はいけない
  2. Webサービスを規制する法律を押さえる
  3. サービス上に送信されたデータの権利関係を処理する
  4. 準拠法と管轄裁判所は日本にする
  5. ユーザーが起こしたトラブルには対処しなければならない
  6. ユーザーの問題行動には禁止行為とペナルティで対処する
  7. 免責規定は必要だが違法で無効にならないようにする
  8. 利用規約への同意を有効に取る
  9. 利用規約の変更を可能にする規定を入れておく
  10. ユーザー目線に立った利用規約にする

MTで学ぶセキュアプログラミング

3つ目のセッションとして、アルファサード株式会社の野田純生様より、Movable Typeをセキュアに利用する際の注意点として、以下のようなことをお話しいただきました。

  • サイトの各ページをPHP化する際の注意点
  • 検索結果テンプレートのMTSearchStringタグの問題
  • APIやORマッパーを利用する
  • オブジェクトの作成や削除の際のチェックをしっかり行う

Movable Type と CMSのセキュリティ

最後のセッションとして、シックス・アパート株式会社の長内毅志様より、Movable Typeのセキュリティ全般についてのお話しをいただきました。

最近では、CMSの脆弱性を狙った攻撃が多いです。
CMSによる特徴(例:WordPressだと「wp-content」ディレクトリにCSSや画像のファイルがある)を元に、CMSを識別して攻撃してきます。
このような攻撃に対する、Movable Typeの優位性についてお話しいただきました。
また、Movable Typeをセキュアに運用するためのTipsもいくつかお話しいただきました。

懇親会&LT

本編終了後に懇親会も行いました。
今回も多くの方にご参加いただきました。

また、懇親会の中でLT(Lightning Talks)も行いました。
LTでは7名の方に発表していただきました。

次回予告

次回のMT東京のイベントは、9月26日(金)の夜を予定しています。
プラグインをテーマにする予定です。

MT Cloud Starter Kit
Movable Typeのプラグイン集「MT Cloud Starter Kit」をぜひご利用ください