任意のCMSを静的化して第三者攻撃を無効化できるサービス「espar」をリリース！【写真詳細】

情報セキュリティ対策の株式会社フィードテイラーは、任意のCMSサイトを静的化することで第三者攻撃を事実上無効化し、CMSサイトのセキュリティを大幅に強化するSaaS型の静的化ホスティングサービス「espar」を2017年5月11日にローンチしました。既存のCMSサイトに簡単に導入でき、年間1万円(または5万円)という低価格で、「CMSサイトに第三者攻撃がそもそも届かないようにする」という新しいアプローチで安全性を担保するセキュリティサービスです。静的化によって安全性が担保されるだけでなく、パフォーマンス向上やCMSメンテナンス省力化、常時SSL化の無償対応など、昨今のWebサイトの課題を一度に解決することができます。問合せフォーム等の動的要素を静的化したり、動的要素を残しつつ部分的に静的化するプロキシ機能を備えていることもesparの特長です。

株式会社フィードテイラー(大阪市北区、代表取締役 大石裕一。以下、当社)は、任意のCMSサイトを静的化することで第三者攻撃を事実上無効化し、CMSサイトのセキュリティを大幅に強化するSaaS型の静的化ホスティングサービス「espar」を2017年5月11日より提供開始したことを発表致します。

CMSサイトでは常々、悪意ある第三者攻撃によるサイト改ざんや情報漏洩などの脅威にさらされています。WordPress v4.7 に重大な脆弱性が発覚し全世界155万以上のサイトが改ざんされた事件(*1)は記憶に新しく、CMSサイトのセキュリティ対策は喫緊の課題であるといえます。

esparは、従来の第三者攻撃の被害を軽減しようとするセキュリティ対策とは異なり、CMSのサーバに第三者攻撃がそもそも届かないようにして無効化するという新しいアプローチのセキュリティサービスです。

esparを導入することにより、CMSサーバに第三者攻撃を受けない状態で運用することが可能となります。任意のCMSサイトを外部から高品位にhtml化する静的化エンジンと、静的化されたコンテンツの配信に特化したホスティング環境を組み合わせることでこれを実現しました。

どのようなCMSでも、サーバ移転やプラグインインストール等を全く必要とせず、DNSやCMSの設定を変更するだけの非常に簡単な手続きで導入が可能となっています。


■ CMSに対する第三者攻撃を無効化する仕組み
(添付の画像ファイルの図を参照)

(1) CMSでの更新に応じて適宜esparがCMSサイトを静的化しホスティングする
(2) DNS設定変更を行い、サイト訪問者はesparのホスティング環境から応答を受けとる
(3) CMSサーバは管理者とesparのアクセス以外を全て拒否することができる(IP制限/Basic認証など)
(4) 攻撃者はホスティング環境を攻撃することになるが、esparのホスティング環境はサーバサイドプログラムやフレームワークが一切存在しないため脆弱性を狙った攻撃は論理的に成立しない(*2)
(5) DNS設定変更によって攻撃者はCMSサーバの所在が分からなくなる。仮にIPアドレスを入手したとしても 3.の制限設定により攻撃者は論理的にアクセスができない

当社では、脆弱性による被害の根本原因は『サーバ側のプログラムを悪意ある第三者に意図しない形で動作させられること』にあると考えています。これは、サーバサイドプログラム(やフレームワーク)が存在しないサーバがサイト公開の役割を担えれば、多くの攻撃は論理的に成立しないということを意味します。(*2)


■ esparのその他の特徴
1. サイト応答速度の向上
静的化(html化)されたものを代理配信しますので、サイトの応答速度を約1.5倍〜20倍程度高速化することができます

2. CMSのメンテナンス省力化
CMSサーバには悪意ある第三者の攻撃がhttp/https層レベルで届かなくなるため、万が一CMSのメンテナンスを行えない場合でもリスクは最小化されます。

3. 常時SSL化の無償対応(https化)
esparのホスティング環境では Let's Encrypt による https 化に無償対応しています。証明書の取得や更新の手間や費用が不要となります。

4. プロキシ機能による部分静的化
サイトの一部に動的要素を残して静的化ができます。特定パスのアクセスのみ元のCMSサーバに転送する仕組みを備えています。また転送を行う際には、epsarが内蔵するWAF機能で最低限の防御を行います。

5. 問合せフォームを静的化するライブラリの提供
Javascriptによって実装された問合せフォームの仕組みも提供しており、PHPやperlなどサーバサイドプログラムを必要としない問合せフォームを簡単に設置することができます。

6. CMS故障時にもサイトの公開を継続
CMSのシステムに万が一の事があってもサイトの公開を継続することができます。


■ esparの提供価格
□ Liteプラン
初期費用 : ¥50,000
年間費用 : ¥10,000
問合せフォーム : 有

□ Basicプラン
初期費用 : ¥70,000
年間費用 : ¥50,000
問合せフォーム : 無

いずれも税別。詳しくはesparの価格表(https://www.feedtailor.jp/product_espar_price)をご覧下さい。


当社は本espar事業を通して、Webサイトのセキュリティ施策導入を促進すると共にサイトの高速性や常時SSL化などの静的化による付加価値を提供し、多くのWebサイトの快適さと安全性を底上げしていくことに貢献してまいります。esparの詳しい情報はサービス解説ページ(https://www.feedtailor.jp/product_espar_about)を御覧下さい。


※ 脚注
(*1) 2017年2月9日、米セキュリティベンダーFeedjit発表
(*2) 攻撃を受ける可能性が全てに渡りゼロ化することを担保するものではありません。TCP層のhttp/https層のリクエストを使った攻撃に限るものであり、IP層や他種の攻撃を受ける可能性はあります。無論、esparホスティング環境が不正アクセスや侵入の被害を受けないような施策は実施済みで継続的にセキュアな運用を行ってまいります。


■ 株式会社フィードテイラーについて
企業や組織の情報セキュリティレベルを容易かつ安価に引き上げることを目指すテクノロジーカンパニー。静的化によりCMSサイトのセキュリティを向上させるSaaS型サービス「espar」の開発・運営を行う。

□ 連絡先
株式会社フィードテイラー
大阪市北区南森町2-2-9南森町八千代ビル7階
info+espar [at] feedtailor.jp

プレスリリース情報提供元：ValuePress!