無料でWAFを提供――「さくらの専用サーバ」が導入したセキュリティ強化施策とは?インフラではなく「顧客のWebサービス」を守る

「クラウドの使い勝手」と「物理サーバーの性能」の両立をうたう「さくらの専用サーバ」がリニューアルされた。エンタープライズのニーズに応えるべく、専用サーバーサービスとしては珍しいSLAを導入した他、ジェイピー・セキュアのWebアプリケーションファイアウオールを追加コストなしで導入できるようにし、「性能」「安定性」「セキュリティ」「コストパフォーマンス」などを同時に満たすサービス提供を目指す。

» 2015年12月07日 10時00分 公開
[PR/@IT]
PR

仮想サーバーに満足できないエンタープライズを意識したリニューアル

さくらインターネット プラットフォーム事業部 部長 加藤直人氏

 「過大でもなく過小でもなく、必要十分な性能を適正なコストで提供する」というコンセプトとサービスの品質に加え、ユーザーとの活発なコミュニケーションなども評価されているさくらインターネット。同社は2015年10月20日に、専有型のホスティングサービス「さくらの専用サーバ」をリニューアルした。

 さくらの専用サーバは、「クラウドの使い勝手」と「物理サーバーの性能」の両立をうたう専用サーバーサービス。物理サーバーを顧客が専有できる形で提供し、高い性能を安定して提供する。また、申し込みから最短10分程度で利用可能というスピードも特徴となっている。

 しかし、さくらインターネットといえば、IaaSサービスの「さくらのクラウド」やVPS(Virtual Private Server)サービスの「さくらのVPS」といったメニューも取りそろえている。さらにIT業界全体を見渡せば、クラウド全盛、仮想化全盛ともいえる状況の中で、物理サーバーを使った専用サーバーサービスの刷新を続け、今回リニューアルに至った理由は何なのだろうか。

 「仮想環境ではどうしても満足できるパフォーマンスが得られないというケースがある。より高速なI/Oやメモリ、大容量のストレージを求めるお客さまにとっては、必要なリソースをすぐに利用できるサービスが必要だ」と、さくらインターネット プラットフォーム事業部 部長の加藤直人氏は語る。

 今回のリニューアルでは、そうしたユーザーのニーズに応えるべく「エンタープライズ向けのラインアップを強化し、パフォーマンス、安定性などの面でより高いレベルの要求に応えられるようになった」(加藤氏)という。具体的には、サービスメニューを一新し、中小規模のサイトに適した「スタンダードシリーズ」、スケールアップを見越した「パフォーマンスシリーズ」、高い信頼性が求められるサービス向けの「エンタープライズシリーズ」に再編した。

 同時に、ネットワーク稼働率については99.95%、ハードウエア交換時間は4時間以内を保証するSLA(Service Level Agreement)を設定し、より高い要求水準に応える体制を整えた。

パフォーマンスや安定性と並ぶ重要な要件である「セキュリティ」

さくらインターネット プラットフォーム事業部 インフラ開発チーム リーダー 古澤輝氏

 さくらの専用サーバのリニューアルにおいて、もう一つ特筆すべきなのは、全シリーズ、全モデルでWebアプリケーションファイアウオール(WAF)を追加料金なしで利用できるようにした点だ。これにより顧客は、SQLインジェクションやクロスサイトスクリプティング(XSS)といった脆弱(ぜいじゃく)性を狙う攻撃から、Webサービスを保護する手段を、追加料金なしで導入することが可能になった。

 そもそも、ホスティングサービス事業者にとってセキュリティは、パフォーマンスや安定性と並ぶ重要な要件だ。さくらインターネットではこれまで、DDoS攻撃検知やARPスプーフィング対策といった複数のインフラ保護策を通じて、セキュアな環境を安定的に提供することに取り組んできた。

 しかし、Webサービス全体を保護するには、ホスティングサービス事業者側の努力に加え、利用者側での対策も必要だ。サイバー攻撃が横行する現在、オンプレミスであろうとホスティングサービス上のサーバーであろうと、攻撃者にとってターゲットであることに変わりはない。

 「お客さまごとに、セキュリティ意識や開発体制に差があるというのが実情だ。厳密に運用しているところもあれば、開発会社に全て任せているところもある。こうしたばらつきがある中で、どこまでセキュリティを担保できるかが、事業者としての課題だと捉えている」(古澤氏)。

「国産で導入が容易なWAF」。要件にフィットしたのは?

 こうした背景からさくらインターネットでは、ジェイピー・セキュアが開発するソフトウエアWAF製品「SiteGuard Lite」を採用し、簡単に導入できる環境を整えた。

 SiteGuard Liteは、ホワイトリスト方式ではなく、ブラックリスト方式を採用することで運用の手間を減らしたWAF製品だ。ジェイピー・セキュアが作成する「トラステッド・シグネチャ」という定義ファイルに基づき、SQLインジェクションやXSS、OSコマンドインジェクションといったWebアプリケーションに対する攻撃を検出する。

 「実はこれまでも、お客さまの要望に応じて個別にジェイピー・セキュアのWAFを導入していた。特に公共系・学術系のお客さまでは、セキュリティに関する要望を多くいただいていた」(加藤氏)。

 では、数あるWAF製品の中で、SiteGuard Liteを選択した理由は何だったのだろうか。まず、専用サーバーサービスという形態を考えると、トラフィック量に応じて課金が変動するSaaS型のWAFは使いにくいということがあった。また、導入の柔軟性を考えると、ハードウエアプライアンスも難しい。従って、サーバーにインストールするソフトウエア型のWAFがベストな選択肢となる。

 そうした点を考えたとき、広く利用されているWebサーバーソフトウエア「Apache」のモジュールとして動作するSiteGuard Liteが第一候補に挙がった。「Linux + Apache」という代表的な組み合わせに対して導入するのに最適で、既存のネットワーク構成に変更を加える必要もない。「スクリプトを一つ書いておけばOKで、非常に導入しやすかった。お客さまの側から見ても、ガイドに従うだけで導入でき、難しい設定をしなくても使えることは大きなメリットだろう」(古澤氏)。

 もう一つの決め手は、国産のWAF製品であったことだ。セキュリティ製品は海外ベンダー製のものも多いが、製品の日本語対応やサポートという点で、常に満足のいく製品ばかりではない。この点でも、国産のSiteGuard Liteは最適だった。「お客さまから『日本語のドキュメントが欲しい』という声をいただくことは多く、過去には自分たちでドキュメントを翻訳せざるを得ないケースもあった。その場合、どこまで内容を保証できるかという懸念が残る。SiteGuard Liteは、日本語ドキュメントが完備されており、サポートも日本語で行われるので、安心感がある」(古澤氏)。

 また、SiteGuard Liteは、WAF製品に何よりも求められる脆弱性対応の迅速さも強みとしている。ジェイピー・セキュアでは独自の情報収集に加え、協力関係にあるセキュリティ企業や研究者と協力しながら、トラステッド・シグネチャを更新・配布している。2014年には、「Apache Struts」に関する脆弱性や、「ShellShock」といった深刻な脆弱性が相次いで公表されたが、ジェイピー・セキュアはその日のうちに対応した。

 脆弱性が明らかになったのに、「次のアップデートはしばらく先です」では困ってしまう。「脆弱性にはなるべく早く対応したい。ジェイピー・セキュアとの間では、重要な脆弱性については迅速に連絡を取り、対応できるスキームを整えている」と古澤氏は説明した。

オールジャパンのタッグが、顧客のWebサービスを支援

 さくらインターネットではリニューアルを機に、さくらの専用サーバを支えるバックエンドの運用体制やプロセスも見直し、SLAを順守できる仕組みを整えた。「サービスのリニューアルは、これまでベストエフォートで提供してきた運用のスタイルや意識を変えるきっかけになった。物理サーバーのメンテナンスや入れ替えは面倒なものだが、手順を見直し、保守用部材の確保も万全を期すなど、SLAを守る体制が整った」と加藤氏は述べる。

 これにより「高いパフォーマンスを安定して提供する物理サーバーならではのメリットを引き続き提供し、お客さまがやりたいことに専念できるよう支援していきたい」(加藤氏)。さらに今後は、長期にわたってサービスを利用している顧客が、より多くのメリットを享受できるようなサービスも検討していく方針だ。

 高性能なサーバーを安定して提供するさくらインターネットと、国産WAFでセキュリティレベルを確保するジェイピー・セキュア。オールジャパンのタッグが、顧客のWebサービス展開を支援していく。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:株式会社ジェイピー・セキュア
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2015年12月31日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。