Blog

Log4jのようなセキュリティの脆弱性がニュースを巡回しているので、デジタルエクスペリエンスプラットフォーム（DXP）にチェックインして、このような脅威に対してどのようにスタックするかを確認する絶好の機会です。

Log4jのセキュリティの脆弱性とは何ですか？

Log4j Javaコンポーネントを利用する一部のWebサイトは、主要な攻撃に対して脆弱です。 Microsoftによると、攻撃者はLog4j 2の脆弱なコンポーネントによって解析および処理される特別に細工された文字列を提供します。これにより、認証されていないリモートコードの実行を可能にする脆弱性がトリガーされます。

すばらしいニュースは、基盤となるアーキテクチャがJavaで構築されていないため、KenticoXperienceを搭載したWebサイトがLog4jの脆弱性の影響を受けないことです。

Kentico XperienceをAzureで実行しますか？詳細については、 Microsoftブログをお読みください。

Kentico Xperienceはどの程度安全ですか？

Kentico Xperienceでは、セキュリティは常に当社の製品の基本的な特徴の1つです。 ISO 27001は、.NETテクノロジで認定および構築されているため、Log4jのような脆弱性について心配する必要はありません。

DXPが定期的なセキュリティテストとセキュリティに焦点を当てたコードレビューを受けることを保証します。これは、Webサイトとデータが脅威から保護されたままであることを保証できることを意味します。

プラットフォーム自体が安全であることに加えて、WebサイトがKentico Xperienceを利用している場合は、次の方法でセキュリティを強化できます。

• アンチCSRFトークン
  
  Anti Cross-Site Request Forgery（CSRF）トークンのおかげで、Webサイトのセキュリティを強化できます。 Webサイトのパフォーマンスを低下させることなく、CSRFから保護します。
  
  
• 複数のセキュリティレイヤー
  
  Kentico Xperienceを使用すると、複数のセキュリティレイヤーを作成して、データ、管理、およびライブサイトを分離し、Webサイト全体のセキュリティを強化できます。
  
  
• 複数の認証方法
  
  データを保護する場合は、標準のASP.NET認証、Windows認証、クレームベース、多要素、またはソーシャルネットワーク認証に基づくフォーム認証を利用できます。既存のユーザーデータベースまたはレガシーシステムにカスタム認証メカニズムを実装することも可能です。
  
  
• 定義されたユーザー、役割、および権限
  
  Webサイトのコンテンツとデータにアクセスできるユーザーを制限します。 Kentico Xperienceを使用すると、さまざまな権限のセットを持つカスタムフィールドを使用してさまざまなユーザープロファイルを簡単に設定できます。外部システムからユーザーをインポートするオプションがあり、訪問者に独自のアカウントを作成させることもできます。さらに、ユーザーが設定されると、パーソナライズベースの権限を利用して、個々のドキュメントやページなどのさまざまなコンテンツタイプへのアクセスを制限できます。
  
  
• ダブルオプトインとreCAPTCHA
  
  ユーザーに電子メールでWebサイトへの登録を確認するように依頼し、Webサイトにサインインする前にユーザーを承認するオプションを選択できます。さらに、自分自身を保護する必要があるのは、Log4jのような脆弱性だけではありません。 Google reCAPTCHAを統合することで、スパムや悪用をある程度軽減できます。
  
  

Webサイトのセキュリティの詳細

Webサイトのセキュリティをチェックすることは、ビジネスの継続性を維持し、経済的損失を軽減したい企業にとって、常に確実な動きです。

KenticoXperienceの最高情報セキュリティ責任者であるJurajKomlosiのこのブログをチェックして、KenticoXperienceを使用したデータ侵害の壊滅的な影響を防ぐ方法について詳しく学んでください。

または、Kentico Xperienceで実行されているWebサイトがあり、それが最新のセキュリティ標準に準拠していることを確認したい場合は、今すぐセキュリティ監査を予約してください。