the static web hosting for all CMS Sites
esparの仕組み 〜静的化ホスティングとは〜

esparは、Webサイトへの第三者攻撃による被害を軽減するという発想ではなく、そもそも第三者攻撃を受けない仕組みにすることを目指した新しい発想のWebサイトセキュリティサービスです。

  • 悪意のない第三者からの通常アクセスは全て受け入れたい
  • 悪意のある第三者からの不正アクセスは全て受け入れたくない

esparを導入したサイトでは、この一見不可能な相反する二つの要件を同時に満たすことによって、悪意ある第三者攻撃を無効化します。

どのように実現しているのか、以下、順を追って解説します。(図中の www.example.com はCMSサイトを意味しています)

1. 公開中のCMSサイト (espar導入前)

公開中のCMSサイト

公開中のCMSサイトは、一般の閲覧者によるアクセスに加えて、常に悪意ある第三者からの攻撃にさらされています。存在するCMSサイトの多くがこの状態です。

2. esparによるCMSサイトの静的化

epsarで最適化

esparがCMSサイトの全ページをあらかじめ静的化(html化)し、ページ表示に必要な画像やCSS、JS、PDF等のファイル群と一緒にホスティングします。この時点ではまだ、一般閲覧者も攻撃者も従来のCMSサーバにアクセスしています。

3. アクセス先の切り替え

DNS変更

サイトのDNS設定を変更します。つまり www.example.com へのアクセスをCMSサーバからesparに向くようにします。結果、CMSサーバにはアクセスが一切届かなくなります。代わりに、esparが閲覧者にも攻撃者にも応答を返すようになります。

4. CMSサーバの論理的保護

CMSサーバ保護

CMSサーバにIP制限やBasic/Digest認証をかけ、サイト管理者とesparからのアクセス以外を禁止します。これによって第三者のアクセスは論理的に不可となります。しかし、CMS側を更新する度にesparが静的化しますので(原則手動)、サイトの公開と更新を継続できます。

5. esparサーバ上での攻撃無効化

esparのアクセス拒否

esparのホスティング環境にはプログラムやフレームワークは存在しません。リクエストに対応するファイルが存在すれば返し、無ければエラーを返すだけですので攻撃は論理的に成立しません。このようにして、CMSサーバを狙うhttp/https層の攻撃を事実上無効化します。