GOLD PLAN加入企業が100件を突破しました!

サーバサイドのセキュリティについて

security アイキャッチ
この記事は約5分で読めます。

セキュリティに関する関心はますます高まっており、様々な方からセキュリティに関する質問を頂きます。

質問の中には、Nipoが該当しないセキュリティ・リスクもあり、改めて本ページにてセキュリティリスクとNipoの運営するサーバについてご案内します

サーバの在り方も変わってきている

「サーバ」と一言に言っても、さまざまな形態があります。多様化するサーバを少し棚卸してみましょう。分類方法も色々ありますが、一つの例としてご提示します。

共用サーバは管理会社にお任せなお手軽サーバです

ホームページを持っている方は、レンタルサーバを使ってホームページを運営されている方が多いのではありませんか?その中でも、特に「共用サーバ」が多いはずです。例えば、このホームページはXserverというレンタルサーバ(共用サーバ)を利用して、運営されています。

「共用」の名の通り、1台のサーバに複数のホームページを詰め込むスタイルで、さながらマンションのようです。マンションに管理会社があるように、共用サーバも土台となる部分はサーバの管理会社がやってくれます。

ただし制限も多く、高い負荷をかけ続けたり、Webアプリとして利用することを禁止されていたりします。

例えばこんな制限があるよ

  • プログラムはPHPしか動かない共用サーバが多い(NipoはNodeJSを使っている)
  • 使えるデータベースはMySQL(MariaDB)であることが多い(NipoはNoSQL型DBの拡張性を必要としている)

専用サーバ(構築)は玄人向けです

サーバを自分で構築するケースもあります。AWS EC2GoogleのGCEが有名です。どちらも仮想サーバと呼ばれるもので、必要なCPUやメモリの量などを選択するだけでサーバが立ち上がる面白い仕組みのサーバです。

仮想サーバと言っても、実際のサーバと同じです。WebサーバとしてApacheを使うか?NGINXを使うかの選択に始まり、データベースのセットアップ、バックアップの仕組みづくり、ドメインとサーバの紐づけなど、非常に大変な作業です。初期のセットアップだけでは終わりません。バージョンアップしてセキュリティホールをふさぐといった基本的なことも、全部自分でやる必要があります。

そのため、サーバの知識に精通した専門のスタッフが必要になります。

サーバレス・新しい考え方のサービスです

「共用サーバ」はお手軽だけどできることが少ない。

「専用サーバ」は自由だけど設定や管理が大変。

そんな中、アプリ開発だけに必要な機能を貸し出す新しいサービスが生まれました。共用サーバが「ホームページ開設だけに必要な機能」を貸し出すように、サーバレスは「システム開発だけに必要な機能」を提供したのです。

これはシステム開発者が長年求めていた物でした。

例えばAWSのLambdaは有名です。これはプログラムを設置して、要求があったときだけサーバが動くというものです。24時間動き続ける従来のサーバと全然違いますね。しかも開発者はサーバの仕組みを一切気にする必要はありません。全部AWSにお任せです。

Lambdaはプログラムだけを提供するサーバですが、更に拡張して、ログイン認証の仕組み・データ保管の仕組みなど、アプリ開発に必要なものを1つのパッケージにして提供するサービスこそ、Nipoが利用しているFirebaseなのです。

Firebaseは、Googleが運用しているレンタルサーバで(Backend as a service)と呼ばれることもあります。後ろ盾としてGoogleほど心強いものはありません。

サーバの管理はFirebaseが行うので安心です

前置きが長くなりました。

Nipoは「サーバレス」という考え方に大変感銘を受け、従来の「専用サーバ」と手を切りFirebaseを採用しました。

そのため、セキュリティに関するお問合せでもNipoに該当しない項目が結構多く寄せられます。

サーバは国内にあるのか?という問いはNOですが、安全な場所に管理されています

Nipoはマルチリージョンという設定のため、データは国内を含む複数の拠点にデータが保管、複製されます。海外も含みますが、Googleはすべての生産データを物理的に安全な場所に保管するとしています。

Firebase利用規約(英語)

サーバの脆弱性に関するガイドラインや対策については、「全てFirebaseに任せています」

サーバの管理が無いからこそ「サーバレス」と呼ばれます。サーバに発見されたセキュリティリスクはFirebaseが修正を行うため、安心です。

専用サーバで運営していたら、こうはいきません。直近では、2018年12月31日にPHP5.6のサポートがきれ、PHP7シリーズに切り替えが推奨されていますが、いまだにPHP5.6(ひどいところはさらに古いバージョンも)を利用し続けているサーバが非常にたくさんあります。Windows XPのサポートが切れても使い続けるという個人ユースのレベルではなく、サーバの世界で日常的にこのようなずさんな管理が横行しているのが現状です。

サーバの性能を拡張できない恐れはありますか?大丈夫です

Firebaseはオートスケーリングのため、負荷が増えれば自動でCPUの速度が上がったり、データの保存量が増えれば自動で保存容量が拡張されます。これを手動で管理する必要はありません。全部自動です。

Google(Firebase利用料)からの請求書の金額が増額するだけです・・・。だからお客様はNipoのサーバの限界を考える必要は一切ありません。

専用サーバでも、AWS EC2やGCEのような仮想サーバなら容量追加とか簡単にできます。
実際にサーバを購入して運営する場合はこのリスクが高まります。社内サーバなどでよくあるトラブルですね。

Nipoのセキュリティについてもう少し詳しく知りたいですか?

このページの他、セキュリティに関するページへのリンクを用意しました。

「会社の日報を安全に守るセキュリティ対策」

Nipoを使う上であなた自身が気を付けなければならないセキュリティガイドライン

 

コメント