セキュリティ重視のホスティングWADAXに聞く、サーバー側に求められる対策

WADAX

　DDoS攻撃やSQLインジェクション攻撃、「Gumblar」型の攻撃など、Webサーバーを狙った攻撃は近年多発しており、被害報告も後を絶たない。

　Webサーバーを設置するにあたっては、こうした攻撃からWebサーバーを守ることがますます重要となってきている。一方で、インターネットを利用する企業の範囲はさらに拡大しており、巧妙化する攻撃に各企業の側で対応していくことはますます難しくなってきている。

　レンタルサーバーサービス「@Next Style」を提供しているワダックス（WADAX）では、セキュリティとサポートの充実をセールスポイントとしてアピールしている。情報セキュリティサービス会社のセコムトラストシステムズと提携することで、レンタルサーバーサービスにはDoS/DDoS攻撃に対する防御システムと、不正侵入検知防御、定期セキュリティ診断の3つの機能を標準サービスとして提供している。

　サーバー側のセキュリティに今求められているものは何か。ワダックス代表取締役社長兼CEOの和田大氏と取締役兼CTOの増田義弘氏に話を伺った。

●「サーバーを安定稼働させるため」セキュリティ対策を標準で提供

ワダックス代表取締役社長兼CEOの和田大氏

ワダックス取締役兼CTOの増田義弘氏

――ワダックスのサービスでは特にセキュリティを重視されているようですが、具体的にはどのようなサービスを提供しているのでしょうか。

和田氏：「@Next Style」という名称で共用および専用のホスティングサービスを提供していますが、セコムトラストシステムズとの提携により、不正侵入検知防御、大規模DoS/DDoS攻撃防御、定期セキュリティ診断の3つの機能は、すべてのプランで標準対応となっています。

　不正侵入検知防御は、ネットワーク上を流れるすべてのパケットを常時監視し、不正アクセスをリアルタイムに防御します。DoS/DDoS攻撃に対しては専用機器を導入し、サーバーが攻撃対象となっても安定したサービスの提供が維持できます。また、すべてのサーバーは定期的にセコムトラストシステムズが脆弱性などの状況を診断・調査しており、被害を受けにくいようあらかじめ予防しています。

――こうしたセキュリティ対策機能はオプション扱いになっているサービス会社も多いと思うのですが、標準サービスとして提供しているのはなぜですか。

和田氏：セキュリティ対策は何のためにやっているのかと言えば、究極的にはサーバーを安定稼働させるためにやっているわけです。たとえばDoS攻撃の被害に遭えば、お客様はもちろんですが、我々のエンジニアもカスタマーサポートも動かなければならなくなります。それであれば、DoS攻撃はあらかじめ防御した方が、お客様も我々もハッピーです。それがセキュリティ対策を標準で提供しようと思った元々の理由です。

――実際にサーバーにはどのような攻撃が来るのでしょうか。

増田氏：2009年7月には米国や韓国のサイトに対して集中的なサイバーテロ攻撃、大規模なDDoS攻撃がありましたが、この影響は日本にもありました。こうした大規模なケースだけでなく、国内でもDDoS攻撃によるサービス停止は頻発しています。ただ、ワダックスではこうしたDDoS攻撃はすべてブロックできています。

――攻撃の頻度というか、攻撃を受ける可能性・確率というのはどの程度なのでしょうか。例えばトラフィックに占める攻撃の割合ですとか、そういう所で測れるでしょうか。

増田氏：最近の攻撃では、トラフィックに占める割合は実はあまり多くありません。サーバーのリソースを消費させようとする攻撃が多く、パケット数は多いのですが、トラフィックの量としてはあまり多くないですね。

和田氏：たとえば、他社のホスティングを利用している際に攻撃を受けて、ワダックスに乗り換えてこられたユーザーのサーバーに、攻撃も一緒に付いてくるといったケースもあります。こうした特定のユーザーが狙われる攻撃もあれば、無差別攻撃もあるので、どの程度の確率で被害に遭う可能性があるかというのは一概には言えないですね。不正侵入検知のログを見ると、それこそ毎秒のように攻撃の記録が残っています。

●障害情報から見えるセキュリティ対策の有無

攻撃種別の検知比率

――実際に攻撃の被害に遭うのはどのような場合なのでしょうか。

和田氏：他社の例を見ていると、たとえばDDoS攻撃を受けてファイアウォールのセッション数が超過したとか、サーバーのリソースがパンクしたとか、ある意味、普通の攻撃を受けてサービスが停止している例も見受けられます。これはつまり、サーバーの近くまで攻撃が入っていける状況にあるということです。我々のサービスでは、そもそもバックボーンに近い場所からブロックしているので、そこまで攻撃は到達できません。そういう意味では、障害のリリースを見ているときちんと対策ができているのかがわかる部分もあります。

――逆に、攻撃をきちんと防御できていると、表面上は何も起きていないのでユーザーにはわからないですね。

和田氏：そういった情報も、ユーザーの方にはメールマガジンなどで、こういう攻撃があったといったようなことをお知らせしていくことで、危険性を知っていただければと考えています。

増田氏：たとえば、不正侵入検知のシステムではどのくらいの頻度で攻撃を防いでいるのかといったことは、なかなか伝えられていなかったと思っています。日々これだけの攻撃があって、それをブロックしているのかといったことは、今後伝えていきたいですね。

――ユーザーから求められるセキュリティのレベルは上がっているのでしょうか。

増田氏：むしろ逆に、どうしたらいいのかわからない、といった相談を受けることの方が増えてます。

和田氏：数年前までは、ある程度セキュリティについては知識のあるユーザーからの問い合わせが多かったのですが、今はむしろこれまでITとは縁のなかったような企業も顧客として増えていますので。

――それは共用サーバーでも専用サーバーでも同じでしょうか。

和田氏：数として多いのは共用サーバーの方ですが、もちろん専用サーバーでも同様に増えています。そういうこともあって、専用サーバーサービスではサーバーの監視や運用をすべて我々の側で行うフルマネージドサービスをオプションで提供しています。社内にサーバーやネットワークのエンジニアがいなくても、フルマネージドサービスを利用していただければ、安心して専用サーバーが使えますということで案内しています。

●巧妙化する攻撃、「何をすればいいのかわからない」ユーザーへのサポートが重要

WADAX・共用サーバーのセキュリティ機能

――攻撃はますます高度化していると言われていますが、防ぐ側から見てもそう思いますか。

増田氏：巧妙になっているなとは感じますね。Gumnlarも「そうきたか」「そこから攻撃するか」と正直思いました。

――サーバーを提供する業者として、Gumblarへの対策は難しいですか。

和田氏：そうですね。ただ単にサーバーを防御すればいいという攻撃ではないですからね。ある程度、これまでよりも踏み込んだサービスを提供していかないといけません。たとえば、コンテンツが改ざんされていないかを定期的にチェックするようなサービスも出ていて、それは我々も検討しているのですが、さらにもう一歩踏み込んで、そもそもこうした問題を発生させないためのセキュアなサービスを提供できないかという観点で現在検討しています。イメージとしては、サーバー側とユーザー側で連携することで、攻撃を防ごうというサービスになります。実現すれば、Gumblarについてはまず心配が無くなるサービスになると思います。

――Gumblarが話題になって、ユーザーからの問い合わせは増えましたか。

増田氏：増えましたね。「うちのサイトは大丈夫でしょうか」といった問い合わせや、「何をすればいいのでしょうか」といった質問もたくさん来ました。

――そうした問い合わせにも対応するのですか。

和田氏：確かにサーバーの問題ではないケースも多いのですが、たとえばGumblarに対する質問であれば、ソフトのアップデートは行っていますかとか、ウイルス感染のチェックはしていますかとか、そういった部分まで対応するようにしています。我々は「No!と言わないサポート」と呼んでいますが、ユーザーの方は実際に困って電話をかけてきているので、そこを「サポート範囲外ですので対応できません」というのはおかしいじゃないかということで、必ず答えるようにしています。

増田氏：昨年、東京と大阪でセキュリティのセミナーをやらせていただいたところ、非常に多くの質問をいただきました。こういうセキュリティ対策で大丈夫なのかとか、こういう事例があったがこれは攻撃を受けたのではないかとか、そういった質問がものすごく多かった。セキュリティに対する意識はあっても、どうすればいいのかわからないで困っている方は非常に多いと感じました。

和田氏：セコムトラストシステムズとの提携で、たとえば社内にウイルスが広まっているかもしれないので確認してほしいといったリクエストにも、24時間即時に対応できます。「うちのサポートはここまで」と線を引くのではなくて、困っていることがあればまずご相談くださいという形で窓口を設けています。

●セキュリティ対策は機器を導入すればいいというものではなく、経験が重要

――ホスティングサービスを選ぶ側からすると、セキュリティ対策についてはどういった基準で選べばいいのでしょうか。最低限、こういう機能は無いと厳しいといったようなものは？

和田氏：過去には他社から乗り換えてきたお客様から「ファイアウォールも入ってなかった」といった話を聞いたこともありました。今はさすがにそういう所は無いと思うのですが。少なくとも今ならやはりDoS対策と不正侵入検知はしていないと厳しいのではないでしょうか。

　ただ、そういう装置は買ってきて入れればいいというものではなく、運用経験もとても重要です。たとえば不正侵入検知のシステムも、ただ買って入れたのでは、大量の誤検知が出るだけです。その企業やトラフィックの状況に応じてポリシーを決めていくといったノウハウは、運用経験がなければなかなか身に付かないものです。こうした部分に長年力を入れているかどうかが、判断のポイントになるのではないでしょうか。

――セキュリティ対策は大事ですが、一方ではやはりそうした対策にはコストもかかります。ITコストはなるべく抑えたいという要望もあるのではないでしょうか。

和田氏：セキュリティ対策をすれば価格に反映されるというのは当然のことなのですが、我々の規模であればボリュームメリットがありますので、全体で導入すれば1ユーザーあたりのコストはそれほどかかりません。自社でこうした設備を導入しようとすれば、数千万円レベルになるものもあります。セキュリティとコストという話では、むしろアウトソーシングが進む流れになるのではないかと思います。

　我々としては、この価格でこれだけのサービスを提供しているところは無いと自負していますが、やはり何かが無いサービスは当然安くなります。1ユーザーあたりにすればコストは数十円単位だとしても、料金が数百円のいわゆる格安サーバーですと料金に占める割合が大きくなるので、導入は難しいかもしれませんね。ただ、高いサービスならきちんとしているかというと、そうとも限らないのが悩ましいところで、お客様からするとわかりにくいところでもあるのですが。ともあれ、ホスティング業社が何を強みとしてアピールしているのかといったところを良く見ていただいて、セキュリティに力を入れている業者を選んでいただければと思います。そうしたところを怠った業者は、これからは排除されていくしかないのかなとも思いますが。セキュリティは突然始められない分野なので、経験もすごく大事になると思います。

――ありがとうございました。