セキュリティレベルの高いサイトを工数をかけずに構築可能【ITreview】IT製品のレビュー・比較サイト

CMSで利用

この製品・サービスの良いポイントは何でしょうか？

アプリケーション・DBの仕様が非公開なので、Wordpressの様な既知の脆弱性というものがほぼ存在せず、SQLインジェクションなどのエンジンに起因する攻撃にも対応しているため、WAF・IPSやエンドポイントソフトと組み合わせることで理想に近い多層防御を備えたサイトを少ない工数で構築可能なところが大きい。もちろん、クリックジャッキング攻撃でiframe化を拒否するなど、Webサイト構造そのものに起因するところは従来通り作成側が考慮する必要がある。

改善してほしいポイントは何でしょうか？

アプリケーションサーバーのメモリの使用が大きいこと。一般的な地方都市自治体レベルのサイトで全文検索インデックス5000程度装備すると、tomcatのヒープ設定にもよるが、RHEL上でメモリ8GBで動作させた場合１ヵ月に１回程度はtomcatの再起動をしないとメモリが枯渇する。CPUは２～４コア程度でもECサイトでない限り問題ないが、ECサイトの場合は８コア/16GB以上を単位とした複数サーバーでの構成が望ましい。DBもほぼ同様だがこちらは基本的にバックアップ用途以外で複数持つ必要はない。

どのようなビジネス課題を解決できましたか？あるいは、どのようなメリットが得られましたか？

自治体や官公庁などセキュリティ基準が厳しいサイトでも工数をかけずに構築することが可能であり、メーカーサポートもしっかりしているために相談もしやすい。また、本体自体の完成度が高くエンジンに対するパッチ当てもほとんどないためODやミドルウェアのセキュリティパッチを毎日自動的に適用するだけで高いセキュリティを保てるので、メンテ工数がほとんどかからない。

検討者にお薦めするポイントがあれば記入ください

CMSとしてはWordpressに慣れているユーザーが多いと思われるが、構築手法は完全に別物と考えた方が良い。ただし基本的なサイト構築の知識があればそこまで難しくはなく、サポートも迅速に回答してくれる。何と言っても「アプリケーションの既知の脆弱性」に悩まされずに運用できるメリットは大きなポイントと考える。

続きを開く