こんにちは!スパイラル株式会社でインターンをしている学生です。
今回は、WPビジネスカンファレンスの「WordPressで個人情報を扱う認証サイトを安全に構築する方法」パートを視聴し、得られた気づきや学びをレポートします!
■この記事で伝えたいこと
「WordPressを使って情報発信しているけれど、個人情報を扱うのはちょっと不安…」
「認証機能を追加したいけれど、自前で開発するのは難しそう…」
そんな悩みに対して
「WordPress × SPIRAL」で、安全な認証サイトを構築できる
というセミナーでの提案を、インターン目線でより詳しくお伝えしていきます!
■セミナー視聴のきっかけ
社内情報で上司である三谷さんがセミナーに登壇された、という話を見かけたのがセミナー視聴のきっかけです。
興味本位で覗いてみると、登壇者の方々からWordPressが ”選ばれている理由” が多方面から熱説されており興味がわきました。
「WordPress=安い」「セキュリティが不安」
ーーそんなイメージはもう過去のもの。
と題打たれたなかで特に目を引いたのが太田裕一さんが登壇されたセッションで紹介されていた、
「WordPressで個人情報を扱う認証サイトを安全に構築する方法」 です。
■こんな人におすすめの内容
- WordPressで会員限定ページを作りたい
- イベント申込者や顧客の情報を管理したい
- 認証・セキュリティ部分を自前で開発するのが難しいと感じている
- ノーコード/ローコードでもっと楽に開発したい
■そもそもWordPressで個人情報を扱うときの不安
セミナーでの話によると、現場ではスクラッチ開発や運用・保守体制の整備が必要になることから、コスト面などの観点で「WordPressで個人情報を扱うサイトの構築は避けるべき」という認識があるようです…
➡「WordPress×個人情報」をとりまく現場のイメージを知ることで、認証サイトの安全な構築(本テーマ)の必要性を学生ながらに実感しました。
■WordPressで顧客専用サイトを安全に構築する方法
1.WordPressのセキュリティを強化
セキュリティ強化の4つの視点として以下が紹介されています。
・管理画面への不正ログイン対策
・ユーザー管理とコメント保護
・改ざんなど不正アクセス対策
・投稿の秘匿性対策
スパイラル株式会社では「XO Security」と「Solid Security Pro」の2つを推奨しているようです。それぞれ得意な対策領域が異なるため、役割を分担して併用することで、より効果的なセキュリティ対策が可能とのことでした。
XO Security
・ログイン時の試行回数制限(管理画面不正ログイン対策)
・スパム保護(ユーザー管理・コメント保護)
・XML-RPC(改ざん等不正アクセス対策)
…etc
Solid Security Pro
・二要素認証(管理画面不正ログイン対策)
・404検知(ユーザー管理・コメント保護)
・ファイル変更検知(改ざん等不正アクセス対策)
…etc
2.個人情報を扱うための環境と対策
本セミナーでは、セキュリティ設計と運用設計の両面から、WordPressを用いた会員サイト構築における重要な考慮点が紹介されました。
中でも、強調されていた注意すべき点は「個人情報をどこに保管するか」でした。下図のSPIRALのように、個人情報をWordPress環境と別環境(外部)に置くことで、侵入された際の個人情報漏洩のリスクを大幅に軽減することができます。
この外部に置くデータベースを選定するうえで、金融機関や官公庁にも多くの導入実績を持つセキュリティを持ったSPIRALは、最適なクラウドサービスの一つです。
3.顧客専用サイトを安全に構築するプラグイン
セキュリティを確保しながら短期導入を目指すために、プラグインの選定を行います。
以下の図はSPIRAL公式サイトから引用した他社プラグインとその機能を比較した表です。
「2.個人情報を扱うための環境と対策」でも触れましたが、会員サイトを構築する場合、個人情報はWordPress環境と別環境に置くことが最も重要です。
また、過去侵入されたケースがないか、脆弱性の観点も選定における重要なポイントです。
本セミナーでは、個人情報の保管場所、脆弱性の2点をクリアするプラグインとして 「SPIRALセキュアセッションマネージャー」 が紹介されています。
▽SPIRALのトライアルはこちらから!
■SPIRALセキュアセッションマネージャー
「SPIRALセキュアセッションマネージャー」は、セキュアな会員サイトを短期間かつ安全に構築できるWordPressプラグインです。
このプラグインを使うことで、会員属性に応じてWebコンテンツの表示内容を切り替えることが可能になります。例えば、「非会員には記事の冒頭や導入部分のみが表示され、会員がログインすると記事の全文が閲覧できる」といった段階的なコンテンツ公開が実現できます。
これらは「2.個人情報を扱うための環境と対策」でご紹介した構成図の通り、プラグインがログイン機能をすべて管理します。
この分担によって、WordPressの柔軟な表現力はそのままに、セキュアな認証・データ処理が実現できます。
■学生インターンとしての気づき
- WordPressは“なんでもできそう”に見えるけれど、「なんでも自分でやる」と事故のリスクがある
- 認証や個人情報管理など重要度が高い部分は、 「できるツールに任せる」 という発想が重要。セキュリティ面やデータ保管の責任は重いため、担保できる仕組みを選ぶことが安心につながる。
■まとめ:認証は“任せる”時代
このセミナーを見て、「認証まわりは、安全な基盤に任せる」という選択肢の価値に気付けたことが一番の収穫でした。
セキュリティ強化や個人情報の保管環境、プラグインなど、用途と適正がマッチする外部サービスの選定に注力しようと思います。
インターン生としてSPIRALを使用した構築を普段行っていますが、改めてSPIRALのようなセキュリティが担保されたローコードプラットフォームを使用することで、無理なく「安心できる会員サイト」が構築できると実感しました。
■関連リンク・参考資料
・WPビジネスカンファレンス:
https://www.spiral-platform.co.jp/sp/event/wpbc/
・SPIRAL公式サイト:
https://www.spiral-platform.co.jp/
・関連Qiita記事:
https://qiita.com/ys_kmr/items/2a04e9c85470b8776f07
https://qiita.com/asahide/items/9d59ec1d41020580a464
私がインターンしているスパイラル株式会社は、ローコードプラットフォーム、SPIRAL ver.1のトライアルアカウントを無償提供しています。このアカウントの記事でも紹介するように、たくさんの機能がございます。
▶︎ フォーム
▶︎ 認証エリア
▶︎ ログイン
▶︎ メール送信
▶︎ カスタムプログラム
などの作成ができますので、ぜひ試してみてください!!
そして、今チームでトライアル登録者向けに、オンボーディングコンテンツを作成しています。SPIRAL ver.1にご興味のある方、ぜひこちらもご覧ください👇
無料トライアル申込(入力)|お問い合わせ|スパイラル株式会社
スパイラルの無料トライアル利用お申し込み受付ページ。SPIRAL(スパイラル)はスパイラル株式会社がクラウド形式で提供するセキュアなデータベースを軸にしたソリューションプラットフォームです。様々な機能・アプリケーションの組み合わせも自由!ビジネスシーンにあわせた課題解決にご活用下さい。