Invent Future with Inovative Idea.

任意のCMSを静的化して第三者攻撃を無効化できるサービス「espar」をリリース!

2017年5月11日
株式会社フィードテイラー
代表取締役 大石裕一

 

株式会社フィードテイラー(大阪市北区、代表取締役 大石裕一。以下、当社)は、任意のCMSサイトを静的化することで第三者攻撃を事実上無効化し、CMSサイトのセキュリティを大幅に強化するSaaS型の静的化ホスティングサービス「espar」を2017年5月11日より提供開始したことを発表致します。

CMSサイトでは常々、悪意ある第三者攻撃によるサイト改ざんや情報漏洩などの脅威にさらされています。WordPress v4.7 に重大な脆弱性が発覚し全世界155万以上のサイトが改ざんされた事件(*1)は記憶に新しく、CMSサイトのセキュリティ対策は喫緊の課題であるといえます。

esparは、従来の第三者攻撃の被害を軽減しようとするセキュリティ対策とは異なり、CMSのサーバに第三者攻撃がそもそも届かないようにして無効化するという新しいアプローチのセキュリティサービスです。

esparを導入することにより、CMSサーバに第三者攻撃を受けない状態で運用することが可能となります。任意のCMSサイトを外部から高品位にhtml化する静的化エンジンと、静的化されたコンテンツの配信に特化したホスティング環境を組み合わせることでこれを実現しました。

どのようなCMSでも、サーバ移転やプラグインインストール等を全く必要とせず、DNSやCMSの設定を変更するだけの非常に簡単な手続きで導入が可能となっています。

CMSに対する第三者攻撃を無効化する仕組み

esparはCMSサイトと連携して動作します。その仕組みは以下の通りです。

  1. CMSでの更新に応じて適宜esparがCMSサイトを静的化しホスティングする
  2. DNS設定変更を行い、サイト訪問者はesparのホスティング環境から応答を受けとる
  3. CMSサーバは管理者とesparのアクセス以外を全て拒否することができる(IP制限/Basic認証など)
  4. 攻撃者はホスティング環境を攻撃することになるが、esparのホスティング環境はサーバサイドプログラムやフレームワークが一切存在しないため脆弱性を狙った攻撃は論理的に成立しない(*2)
  5. DNS設定変更によって攻撃者はCMSサーバの所在が分からなくなる。仮にIPアドレスを入手したとしても 3.の制限設定により攻撃者は論理的にアクセスができない

当社では、脆弱性による被害の根本原因は『サーバ側のプログラムを悪意ある第三者に意図しない形で動作させられること』にあると考えています。これは、サーバサイドプログラム(やフレームワーク)が存在しないサーバがサイト公開の役割を担えれば、多くの攻撃は論理的に成立しないということを意味します。(*2)

esparのその他の特徴

  1. サイト応答速度の向上
    • 静的化(html化)されたものを代理配信しますので、サイトの応答速度を約1.5倍〜20倍程度高速化することができます
  2. CMSのメンテナンス省力化
    • CMSサーバには悪意ある第三者の攻撃がhttp/https層レベルで届かなくなるため、万が一CMSのメンテナンスを行えない場合でもリスクは最小化されます。
  3. 常時SSL化の無償対応(https化)
    • esparのホスティング環境では Let’s Encrypt による https 化に無償対応しています。証明書の取得や更新の手間や費用が不要となります。
  4. プロキシ機能による部分静的化
    • サイトの一部に動的要素を残して静的化ができます。特定パスのアクセスのみ元のCMSサーバに転送する仕組みを備えています。また転送を行う際には、epsarが内蔵するWAF機能で最低限の防御を行います。
  5. 問合せフォームを静的化するライブラリの提供
    • Javascriptによって実装された問合せフォームの仕組みも提供しており、PHPやperlなどサーバサイドプログラムを必要としない問合せフォームを簡単に設置することができます。
  6. CMS故障時にもサイトの公開を継続
    • CMSのシステムに万が一の事があってもサイトの公開を継続することができます。

esparの提供価格

Lite Basic
初期費用 ¥50,000 ¥70,000
年間費用 ¥10,000 ¥50,000
サイト容量 1GB 5GB
月間転送量 10GB 50GB
(価格は税別です。詳細な価格表は価格表のページをご覧下さい。)

当社は本espar事業を通して、Webサイトのセキュリティ施策導入を促進すると共にサイトの高速性や常時SSL化などの静的化による付加価値を提供し、多くのWebサイトの快適さと安全性を底上げしていくことに貢献してまいります。esparの詳しい情報はサービス解説ページを御覧下さい。

  • (*1)2017年2月9日、米セキュリティベンダーFeedjit発表
  • (*2)攻撃を受ける可能性が全てに渡りゼロ化することを担保するものではありません。TCP層のhttp/https層のリクエストを使った攻撃に限るものであり、IP層や他種の攻撃を受ける可能性はあります。無論、esparホスティング環境が不正アクセスや侵入の被害を受けないような施策は実施済みです

 

■ 株式会社フィードテイラーについて

企業や組織の情報セキュリティレベルを容易かつ安価に引き上げることを目指すテクノロジーカンパニー。静的化によりCMSサイトのセキュリティを向上させるSaaS型サービス「espar」の開発・運営を行う。

□ 連絡先
株式会社フィードテイラー
大阪市北区南森町2-2-9南森町八千代ビル7階
info+espar [at] feedtailor.jp