the static web hosting for all CMS Sites
esparが選ばれる理由

esparによって得られるメリットは多くありますが、代表的なものは以下の3つです。

![3つのメリット]()

セキュリティも高速化も、それぞれ実現してくれる既製品が多くありますが、そんな中でなぜ espar が選ばれるのでしょうか。それは、

  • セキュリティ以外の性質が異なる他のメリットも同時に得られるから
  • 第三者攻撃を論理的に排除できるから

です。以下に詳しく見ていきましょう。

esparはサイトのポテンシャルを多面的に向上させる

通常、セキュリティ(安全性)、パフォーマンス(高速性)、安定稼働(可用性)を確保したい場合、それぞれの用途ごとに全く異なる製品・サービスを個別に導入する必要があります。

例えば、CMSサイトのセキュリティを強化するなら WAF(ウェブアプリケーションファイアーウォール) や IDS(侵入検知システム) や IPS(侵入防御システム) を導入、高速化させるならキャッシュサーバやリバースプロキシの導入といったようにです。

一方で espar であればそれぞれ個別に考える必要はありません。静的化によって、安全性の向上も一度に担保されるからです。

WAF リバースプロキシ ロードバランサ espar
(静的化ホスティング)
安全性
応答性
可用性

Webページの静的化ができるなら、セキュリティ的にもパフォーマンス的にも、安定してサイトを公開し続ける意味においても、最もコストパフォーマンスが高い選択肢であると言えます。

esparは論理的な第三者攻撃を排除する

esparが選ばれる2つ目の理由である「論理的に第三者攻撃を完全に排除できるから」という点について、以下に詳しくご説明します。

インターネット初期は、不正アクセスからWebサーバを守る為、ファイアーウォールで http/https 通信以外の通信を遮断する措置が多く取られました。

![ファイアーウォールの図]()

しかし、Webアプリケーションは http/https通信上で展開されますのでファイアーウォールでは防御できません。http/https通信を使用する以上、ファイアーウォールからすると正当な通信だからです。

そこで、http/https上でなされる攻撃からWebサーバを守るため、WAF(Webアプリケーション ファイアーウォール)が開発されました。CMSもWebアプリケーションの一種ですので、昨今ではWordPressなどCMSとセットにしてWAFを導入する事例が増えています。

![WAF導入の図]()

しかし、WAFも完全ではありません。WAFは、シグネチャと呼ばれる攻撃パターンの定義にマッチしたhttp/httpsアクセスを遮断することで、攻撃の成立可能性を低くしているに過ぎないからです。WAFをもってしても、未知の攻撃は防ぐことができませんし、既知であってもゼロデイ攻撃は防げません。

esparは未知の攻撃にもゼロデイ攻撃にも耐性を持っています。コンテンツの「管理」と「配信」の役割を分断することで、http/https層で論理的に第三者攻撃が成立しない状態を作り出すからです。

![espar導入後の図]()

espar導入後は、CMSサーバにはIP制限とBasic/Digest認証がかけられ、esparのホスティング環境は、http/https層の攻撃成立の要(かなめ)であるPOSTやPUTやDELETEなどの更新/削除系のリクエストを一切受け付けません。

つまり、脆弱性のあるCMSプログラムを論理的に攻撃できない上に、公開サイト上では攻撃(POSTリクエスト等)は全て拒否されるという訳です。