the static web hosting for all CMS Sites
esparは一石三鳥

通常、セキュリティ(安全性)、パフォーマンス(高速性)、安定稼働(可用性)を確保したい場合、それぞれの用途ごとに全く異なる製品・サービスを個別に導入する必要があります。

例えば、CMSサイトのセキュリティを強化するなら WAF(ウェブアプリケーションファイアーウォール) や IDS(侵入検知システム) や IPS(侵入防御システム) を導入、高速化させるならキャッシュサーバやリバースプロキシの導入といったようにです。

一方で espar であればそれぞれ個別に導入する必要はありません。esparは、あくまでも静的化によって安全性を向上させることを主目的としていますが、静的化の恩恵はサイトの応答性や可用性の向上にも及ぶからです。

WAF リバースプロキシ ロードバランサ espar
(静的化ホスティング)
安全性
応答性
可用性

esparでは、安全性・応答性・可用性を同時にえることができますので、導入費用や運営維持費用をリーズナブルに抑えることができます。

esparとCDN/リバースプロキシの違い

esparが、CDNやリバースプロキシと異なるのはその主目的です。

  主目的 副産物
CDN
リバースプロキシ
サーバの負荷軽減
コンテンツの高速配信
espar セキュリティ サーバの負荷軽減
コンテンツの高速配信

CNSやリバースプロキシをセキュリティのために導入することは余りないでしょう。なぜなら、キャッシュされていないリクエストは、そのまま元サーバに届くからです。この際、CDNやリバースプロキシは基本的に何の防御もしません。

リバースプロキシの設定で特定の攻撃パターンを拒否することもできますが、通常はWAFを導入するのが一般的です。

WAFとの違い

CMSもWebアプリケーションの一種ですので、昨今ではWordPressなどオープンソースなCMSとWAFをセットにして導入する事例が増えています。

WAF導入の図

しかし、WAFは完全ではありません。シグネチャと呼ばれる攻撃パターン文字列の定義にマッチしたhttp/httpsアクセスを遮断することで、攻撃の成立可能性を低くしているにすぎないからです。

残念ながら未知の攻撃やゼロデイ攻撃には対応できません。http/https層でWAFを通り抜ける攻撃が必ず存在します。脆弱性が発覚する度にWAFのシグネチャが更新されるのはこの為で、言わば脆弱性とのイタチごっこです。(これはWAFの費用が下がらない理由でもあります)

静的化によってサイトを守るesparでは、未知の攻撃にもゼロデイ攻撃にも耐性を持つことができます。CMSサイトを静的化してホスティングすることによって、http/https層での第三者攻撃が成立しない状態を作れるからです。

espar導入後の図

esparの導入後、CMSサーバにはIP制限とBasic/Digest認証の両方をかけることができます。また、esparのホスティング環境はプログラムやフレームワークを一切搭載しておらず、指定されたファイルを返すことしか行いません。

つまり、仮にCMSに脆弱性があったとしても論理的に攻撃できないだけでなく、静的ファイルしか返さないホスティング側に対しては論理的に攻撃が成立しないという状態を作り出すのです。

これが、イタチごっこを続けるしかないWAFとesparの違いです。侵入検知システム(IDS)や侵入防止システム(IPS)も同様に、イタチごっこの宿命からは逃れられません。不正は絶対に無くならないからです。これはソフトウェアのコピープロテクトとコピー解除ツールのイタチごっこに似ていると言えるかも知れません。

esparの弱点

静的化も万能ではありません。サイトを静的化する為の時間が弱点になる場合があります。esparでは「サイトを静的化するための物理的時間」を必要としますので、

  • 数千・数万の膨大なページが存在するサイト
  • リアルタイムに更新がしたいサイト
  • 分秒の精度で定刻にサイトを更新する必要があるサイト

このようなサイトには適切でないことがあります。

しかし、その弱点を補うため以下のような機能を提供しています。(または提供予定)

優先指定 特定URLを先行して反映し、ほぼリアルタイムな静的化更新を実現します。
時間指定
(将来実装予定)
あらかじめ定めた時間に静的化する。優先指定と組み合わせることで定刻更新を実現します。
除外指定
(将来実装予定)
明らかに更新しないURLを指定し、膨大なページの静的化に要する所要時間を削減します。