ネットサービス基盤を支える3つの掟：インターネットサービスの新基準（1/2 ページ）

24時間稼働が当たり前のインターネットサービス。その基盤となるサーバには、最低限満たしておかなければならない“掟（おきて）”がある。無用な訪問者によってダウンされないよう、運用ポリシーに加えておくべき事項を解説しよう。

[大澤文孝，ITmedia]

　インターネットサービスとひと口に言っても、その表現には多くの要素が含まれている。ショッピング（EC）やメディア、会員制、そしてメーカーサイトなど、それぞれにはさらに多様な分類があり、異なった目的で運用されている。しかし、一様に言えることは、公道を走る場合の車と同じく、ルールを守り他者に迷惑が掛からないよう運用する必要性があるということだ。

　オンライン・ムック「インターネットサービスの新基準」の今回は、インターネットサービスの根底を支える基盤に求めるべき、最もベーシックなルールについて解説する。前回のサービス指向とは多少路線が異なると思われるが、アプリケーション運用の際には、基盤の運用ポリシーも踏まえた上で構築する必要があるのだ。

　Webアプリケーションには、構築した後の運用形態こそが重要だと言える。そして、事前に基盤構成と運用ポリシーを考えずやみくもに構築したインターネットサービスは、クラッキングされる可能性が高まる。

　運用上、欠かせないことには2つある。1つは「セキュリティ対策」。インターネットに接続してサービスを提供し始めれば、悪意あるユーザーからの攻撃は必ずあるものだ。もう一つは「安定運用のためのポリシー」確立だ。プログラムは不具合で停止することもあるため、死活監視とその復帰手段も重要視しなければならない。

最も外側にファイアウォールを配する理由

　インターネットサービスを運用するうえで欠かせない1つ目がセキュリティ対策だ。セキュリティ対策には、（1）ファイアウォールを使ってサーバを守る、（2）サーバ自身のセキュリティ強化、の2つに大きく分類できる（図1）。

図1■サーバのセキュリティ対策

　ファイアウォールは、ネットワークを介した攻撃を守る、一つ目の砦となる。ファイアウォールを設けずに、Webサーバのセキュリティ設定だけで攻撃から守ることも不可能ではない。しかし、それは極めて危険な行為だ。その理由として、Webサーバの設定上の誤りによって、不正なアクセスを許してしまう可能性も挙げられるが、それ以上に問題なのは、「多数の攻撃トラフィックを処理できず、Webサーバソフト自体がダウンする可能性」だ。

　そこでWebサーバに接続する前段階として、現代ではファイアウォールが不可欠なものとなった。ファイアウォールは、用途によって、どのような通信を許したいのかが異なるため、その設定は、カスタマイズされるのが一般的だ。どのようなアクセス要求を許可し、あるいは要求を排除するかなど、詳細にルール決めすることが可能だ。

　ほとんどのホスティングサービス業者は、ファイアウォール機能を提供しているが、その料金や設定の柔軟性は異なる。また、ファイアウォールを選択する場合に注目したいのが、IDS（不正侵入検知システム）の有無だ。

　IDSの大きなメリットは、無差別な攻撃からサーバを守ることができるという点である。IDSは到達する通信データが攻撃だと判断すると、該当ホストからの通信を設定内容に従って一時遮断をする。そのため、何度も繰り返して攻撃され、いずれ知らないうちに侵入されてしまったという事態を防ぐことが可能なのだ。もちろんこれには、先に述べた不正な大量のトラフィックによってサーバやネットワーク機器がダウンしてしまう事態を防ぐ効果もある。

　またIDSは、攻撃が続くとメール通知機能を行えるものがほとんどだ。そのため、攻撃があった時に迅速な対応ができる。

セキュリティアップデートはホスティングに任せる選択肢

　ファイアウォールだけではサーバを守り切ることはできない。その理由は、サーバ上で稼働する個々のソフトウェアがセキュリティホールを抱えている可能性があるからだ。

　例えば、OSやWebサーバソフト自身、そして、Webアプリケーションが利用している単体のライブラリ群がセキュリティホールを抱える場合など、このような要素が1つでもあると不正侵入される可能性がある。そのため、適切なタイミングでサーバ上のOSやソフトをアップデートし、セキュリティホールを表面化させない作業が必要だ。しかし、実際のところ意外と手間が掛かるものだろう。

　そこで検討したいのが、アップデートをホスティングサービスに任せてしまう方法だ。近年は、セキュリティアップデートを代行してくれるホスティングサービスが多く、このサービスを利用しない手はないだろう。