Malwarebytesは2025年10月17日、同社がデジタルエクスペリエンスプラットフォーム(DXP)のCMSとしてWordPressを採用した理由を公開した。
WordPressはコンテンツ作成ハブとして機能し、Next.js/Reactで構築されたウェブサイト、モバイルアプリ、サポートポータルにAPIを通じて情報を提供するヘッドレス構成を採用している。
同社はSSO、MFA、WAF、CDN、TLS 1.3、HSTS、DDoS緩和制御などのセキュリティ対策を実装し、WordPress管理画面はプライベートネットワークの背後に配置されている。
プラグインは厳格な許可リスト制で管理され、PHPとJavaScriptのコードベースに対してSBOMを生成している。SIEMシステムとEDRソリューションによる監視体制を整え、FedRAMP Moderate、SOC 2 Type 1、GovRAMP Moderate、GDPR、WCAG 2.0 AAなどの認証を取得している。
From: 
Under the engineering hood: Why Malwarebytes chose WordPress as its CMS
【編集部解説】
セキュリティ企業がWordPressを選ぶというのは、一見矛盾しているように思えるかもしれません。WordPressは世界中のウェブサイトの約43%で使用されており、その普及率の高さゆえに攻撃者の標的になりやすいという側面があります。
しかしMalwarebytesの発表は、適切なアーキテクチャ設計とガバナンスがあれば、オープンソースCMSでもエンタープライズグレードのセキュリティを実現できることを示す重要な事例となっています。
最も注目すべきは、ヘッドレスCMS構成の採用です。従来のWordPressでは管理画面とフロントエンドが一体化していましたが、同社はこれらを完全に分離しています。公開されているウェブサイトはCDNとWAFの背後に配置され、WordPress管理画面はプライベートネットワーク内に隔離されています。この構成により、一般ユーザーが管理画面に触れることは物理的に不可能になり、攻撃対象領域が大幅に縮小されます。
技術的な側面で興味深いのは、SBOMの生成とCI/CDパイプラインへのセキュリティゲートの統合です。ソフトウェアサプライチェーン攻撃が増加する中、すべての依存関係を可視化し、自動化されたSASTとDASTでコードの安全性を継続的に検証する体制は、今後の企業システム開発における標準となる可能性があります。
FedRAMP ModerateやSOC 2 Type 1といった認証の取得は、単なるコンプライアンス対応にとどまりません。これらは米国政府機関や大企業との取引において必須要件となっており、WordPressベースのシステムでもこうした厳格な基準をクリアできることを証明しています。
この事例が業界に与える影響は大きいでしょう。多くの企業がプロプライエタリなDXPやヘッドレス専用SaaSに移行していますが、Malwarebytesの選択は「オープンソースでも適切な設計があれば十分」という選択肢を示しています。特に、ベンダーロックインを避けたい企業や、データ主権を重視する組織にとって、重要な参考事例となるはずです。
【用語解説】
DXP(デジタルエクスペリエンスプラットフォーム)
コンテンツ、パーソナライゼーション、アナリティクス、コマースなど複数のシステムを統合し、顧客体験を一元管理するプラットフォーム。単一の製品ではなく、複数のツールを連携させる仕組み全体を指す。
ヘッドレスCMS
コンテンツ管理機能(バックエンド)と表示機能(フロントエンド)を分離したCMSアーキテクチャ。APIを介してコンテンツを配信するため、ウェブサイト、モバイルアプリ、IoTデバイスなど複数のチャネルに同一コンテンツを提供できる。
WAF(ウェブアプリケーションファイアウォール)
ウェブアプリケーションへの攻撃を検知・遮断するセキュリティシステム。SQLインジェクション、XSS、DDoS攻撃などから保護する。
SBOM(ソフトウェア部品表)
ソフトウェアに含まれるすべてのコンポーネント、ライブラリ、依存関係を一覧化した文書。サプライチェーン攻撃対策として重要性が高まっている。
SAST/DAST
SASTは静的アプリケーションセキュリティテストで、ソースコードを解析して脆弱性を検出。DASTは動的テストで、実行中のアプリケーションをテストする。
FedRAMP Moderate
米国連邦政府機関がクラウドサービスを採用する際に求められるセキュリティ認証プログラムの中位レベル。厳格なセキュリティ基準への準拠を証明する。
SOC 2 Type 1
米国公認会計士協会が定めたセキュリティ、可用性、機密性などに関する内部統制の評価基準。システムと制御の設計が基準を満たしていることを証明する。
TLS 1.3
インターネット通信を暗号化するプロトコルの最新バージョン。旧バージョンと比較してセキュリティと速度が向上している。
HSTS(HTTP Strict Transport Security)
ウェブサイトがブラウザに対してHTTPS接続のみを使用するよう強制する仕組み。中間者攻撃やプロトコルダウングレード攻撃を防ぐ。
MFA(多要素認証)
パスワードに加えて、スマートフォンアプリやSMSなど複数の認証要素を組み合わせる認証方式。アカウント乗っ取りのリスクを大幅に低減する。
SIEM(セキュリティ情報イベント管理)
複数のシステムからログとセキュリティイベントを収集・分析し、脅威を検出する統合管理システム。インシデント対応の中核となる。
EDR(エンドポイント検出および対応)
端末上の不審な活動を監視し、マルウェアや攻撃を検出・対応するセキュリティソリューション。従来のアンチウイルスより高度な防御を提供する。
【参考リンク】
Malwarebytes公式サイト(外部)
サイバーセキュリティ企業で、マルウェア対策ソフトウェアやエンドポイント保護ソリューションを個人から企業まで幅広く提供している。
WordPress公式サイト(外部)
世界で最も利用されているオープンソースCMS。全ウェブサイトの約43%で使用され、豊富なプラグインとテーマのエコシステムを持つ。
Next.js公式サイト(外部)
Vercelが開発するReactベースのフロントエンドフレームワーク。サーバーサイドレンダリングや静的サイト生成に対応し、高速なウェブアプリ開発を可能にする。
WPScan(外部)
WordPress専門の脆弱性データベースおよびセキュリティスキャナー。WordPress本体、プラグイン、テーマの既知の脆弱性情報を提供する。
FedRAMP(連邦リスク・認証管理プログラム)(外部)
米国連邦政府のクラウドセキュリティ認証プログラム。政府機関がクラウドサービスを安全に採用するための標準化された評価プロセスを提供する。
WCAG(ウェブコンテンツアクセシビリティガイドライン)(外部)
W3Cが策定するウェブアクセシビリティの国際標準。障害のあるユーザーを含むすべての人がウェブコンテンツを利用できるようにするための指針。
【参考記事】
WordPress Powers 43% of All Websites in 2024(外部)
W3Techsの統計によると、2024年時点でWordPressは全ウェブサイトの43.0%、CMSを使用しているサイトの62.5%で利用されている市場シェアデータを公開。
45 WordPress Security Statistics You Should Know in 2025(外部)
2025年版WordPressセキュリティ統計。攻撃の種類、脆弱性の傾向、セキュリティ対策の効果について包括的なデータを提供している。
【編集部後記】
みなさんの組織では、CMSの選定において「セキュリティ」と「柔軟性」のどちらを優先されているでしょうか。Malwarebytesの事例は、両立が可能であることを示していますが、適切なアーキテクチャ設計には高度な技術力が必要です。
ヘッドレスCMSへの移行を検討されている方、あるいは既存のWordPressサイトのセキュリティ強化を考えている方にとって、今回の記事が一つの参考になれば幸いです。オープンソースの可能性について、ぜひ一緒に考えていきましょう。
