「ITセキュリティ製品を導入すると表示が遅く重くなる」、Webサイトを運営している企業にとっても、大きなジレンマのひとつです。
このような定説に対し異議を唱えるのが、Web制作事業を足がかりにサイト高速化やセキュリティ事業に取り組む、「株式会社ドーモ(以下、ドーモ)」の康 泰景氏。「むしろ、Webサイト高速化とセキュリティは両立させるべき」と断言します。
今回は、セキュリティ対策とパフォーマンス改善を統合し、“守りながら速くする”クラウドセキュリティ「Cloudflare(クラウドフレア)」について康 泰景氏に解説いただきました。
この記事の目次
パフォーマンス改善とセキュリティを両立
サイバーセキュリティ.com
「Cloudflare(クラウドフレア)」の概要を聞かせてください。
康氏
「Cloudflare(クラウドフレア)」は、高機能かつ低コストなCDN(Content Delivery Network)です。
他のCDNでは、Webコンテンツをスピーディーに配信する負荷分散に特化したサービスも多いですが、負荷分散をはじめとするパフォーマンス改善と高機能セキュリティ機能を完全両立しているところが、「Cloudflare」の大きな特長になっています。
セキュリティ機能 | Webサイトに対するDDoS攻撃などのサイバー攻撃をブロック。Webサイトの脆弱性をついた攻撃に対してもWAF(Web Application Firewall)で保護 |
---|---|
パフォーマンス改善機能 | 負荷分散に加え、Webサイト内の画像をキャッシュし、画像容量を軽量化することでWebサイトの表示スピードを高速化 |
加えて、安全なテレワーク環境を提供するテレワーク機能「Cloudflare Access」などをオプションとして付加できるという、クラウド型のトータルソリューションが「Cloudflare」です。
Googleが、Webサイトの表示スピードやユーザビリティをスコア化した「Core Web Vitals(コアウェブバイタル)」を発表。2021年5月からそのスコアを検索ランキングに反映させるとしています。そして、Webサイトによっては、サイバー攻撃を受けていると表示スピードにも影響すると考えられます。
このような背景から、セキュリティ機能とパフォーマンス改善を両立した「Cloudflare」が注目されており、実際、「Cloudflare でCore Web Vitals対策できますか」という問い合わせは増えていますね。
グローバル200拠点・日本国内2拠点の配信ネットワーク
サイバーセキュリティ.com
「Cloudflare」のコンテンツ配信について教えてください。
康氏
各企業のWebサーバーの手前にCDNサービスを置くと、Webサイトへの訪問者は、Webサーバーに直接アクセスするのではなく、世界各国に散らばったCDNのサーバー内のコンテンツにアクセスするようになります。
例えば米国内から日本企業のサイトを閲覧する場合でも、日本国内にあるWebサーバーではなく、物理的に一番近い米国内のCDNのサーバーにアクセスすることで、高速にコンテンツを取得できるわけです。
「Cloudflare」は、グローバル全拠点で200ものデータセンターを構えています。日本国内にも東京と大阪にデータセンターがあります。データセンターの数が多いので、適切に負荷分散できるということです。現在、2800万ほどのWebサイト・API・SaaSサービスが、「Cloudflare」を利用しています。
7つの主要セキュリティ機能で守る
サイバーセキュリティ.com
「Cloudflare」のセキュリティ機能について教えてください。
康氏
DDoSなどWebを狙った攻撃やWebサイトの脆弱性を悪用した攻撃が増えています。Webサイトの構築にWordPressを使っている企業も多いですが、脆弱性が解消していない古いバージョンのWordPressを使い続けている場合も多く、攻撃者はそこを狙っています。
セキュリティソフトは昔からありましたが、Webサイト自体のセキュリティ対策はほとんどの企業が対策の必要性を知らないため、未だにできていないのが現状です。
元々、CDNは負荷分散してWebサイトの表示を速くするという目的で生まれたものですが、「Cloudflare」はユーザーのWebサーバーの前に立つので、そこで訪問者に対しコンテンツを速く返すと同時に、逆にWebサーバーよりも手前で不正なアクセスや攻撃を防ぐことができます。
具体的には、Webサイトへのアクセス要求から、表示を返すまでに、WAF・DDoS Protection・DNSなど様々な機能を通り、要求を検証。不正なIPやアクセスであればブロックします。すべての検証を通過した場合のみ、Webサイトにアクセスできることになります。
なお、「Cloudflare」のセキュリティ機能は、パフォーマンス改善機能に後付けした機能ではありません。安心なネットワークを提供するというのが「Cloudflare」の企業理念でもあり、安定的にWebサイトにアクセスしてもらうためのセキュリティ機能を兼ね備えたCDNサービスとして開発されています。
サイバーセキュリティ.com
セキュリティという観点で見解をお聞かせください。
康氏
昨今、情報漏洩がニュースに取り上げられることが増えています。「サイバーセキュリティ経営ガイドライン」では2017年から”セキュリティ対策は経営者責任に問われる可能性がある”と改正され、各企業ともセキュリティ対策に本腰を入れざるを得なくなっています。
ドーモでも、Webサイトの表示スピード向上が課題というクライアント企業に対し、脆弱性対策が行われていないことが発覚した場合には、セキュリティ対策をしましょうと提案することが多々あります。最近では、パフォーマンス改善だけではなく、セキュリティ対策のソリューションとして「Cloudflare」を導入したいという問い合わせも増えていますね。
サイバーセキュリティ.com
「Cloudflare」はブロックすべきIPの情報をどこから取得しているのですか?
康氏
不正なアクセス要求に関する情報が、「Cloudflare」のデータベースに蓄積しています。ここで活かされているのが、全世界で2800万のサイトに採用されているという「Cloudflare」の情報網です。しかも登録サイトは、全世界に散らばっています。
実は、「Cloudflare」は、有料版の他、個人ユーザーでも手軽に利用できる無料版のサービスを機能制限付きで公開しています。無料でサービスを提供する代わりに、無料版ユーザーのWebサイトに対して実際に行われた攻撃に関する情報を得て、「Cloudflare」側に蓄積しています。
サイト自体を軽量化して速く
サイバーセキュリティ.com
独自機能Webサイト表示の高速化とは?
康氏
負荷分散とは別に、「Cloudflare」のサーバーの中に、Webサイトの表示を高速化する機能があります。
一般的に、セキュリティ機能があると、その分負荷がかかるので、サイトの表示速度は低下します。「Cloudflare」のセキュリティ機能でも、若干、1秒未満とかいうレベルで遅くなるでしょうか。ただ「Cloudflare」の中には、高速化の機能が組み込まれているので、セキュリティ機能による遅延を挽回し、さらに高速化もします。
「Cloudflare」独自の高速化は、サイト自体を軽量化することで行います。Webサイトには画像も組み込まれています。例えば、アパレル関連のWebサイトの場合、トップページや商品詳細に大量の写真が使われていますね。Webサイト1ページに使用されるデータ容量は、2MB以内というのがGoogleの推奨という話がありますが、実際は、無駄に大きく重い画像を使っているなどの理由により、1ページ10MBいうサイトも少なくありません。
「Cloudflare」は、Webサイトの手前でWebサーバー内の画像を次世代画像フォーマットのwebpや AVIFに自動的に変換して軽量化、「Cloudflare」のサーバー上にキャッシュします。これにより、Webサイトの訪問者は、「Cloudflare」上の軽い画像にアクセスできるようになります。ページが軽くなるので表示スピードも速くなる。これまで表示が完了するまで10秒かかっていたサイトを、5秒で見られるようになるということです。
Web制作できる代理店からこそWeb高速化&セキュリティに強い
サイバーセキュリティ.com
ドーモが「Cloudflare」の代理店になった経緯は?
康氏
ドーモは元々Web制作の事業を展開していた企業ですが、6~7年前からWebサイトの高速化に関する事業を展開しています。顧客企業のWebサイトの表示スピードを計測し、どの部分が遅延の原因なのか、競合他社のWebサイトよりどのくらい表示が速いのかなどを分析しています。
顧客企業には、通販を行う企業が多かったのですが、通販サイトは画像を多用しているのが特徴。Webサイトの表示スピードが遅いと、少なからずSEOにも影響してしまうし、ユーザー体験も損なってしまいます。
Webサイトの表示が遅延する原因が分かったら、HTMLをチューニングするなどして高速化していました。その中で、「Cloudflare」がWebサイト高速化に非常に有効だということが分かったのです。
スピードを計測して、「Cloudflare」が有効なお客様には導入を提案するようになりました。Webサイトの高速化の方法は複数ありますが、「Cloudflare」は、グローバル展開で独自のネットワークを持つだけでなく、導入しやすい価格帯のサービスです。
パフォーマンスを改善するだけでなく、セキュリティも同時に対策できるという本当に優れたサービスなので、これであれば多くのお客様におすすめできるということで、2019年に「Cloudflare」の代理店になりました。
サイトを稼働したまま最短1時間で導入完了
サイバーセキュリティ.com
「Cloudflare」はどのように導入しますか?
康氏
「Cloudflare」を導入するときに行うことは、Webサーバーのドメインネーム(DNS)を変えることだけです。
契約しているドメイン取得サービスの管理画面に入り、「Cloudflare」が発行するレコード情報を追加するだけです。
最速で1時間もかからず「Cloudflare」を有効化できる。既存のシステムを変更する必要もなく、稼働中のWebサイトを止める必要もありません。
なお、ファイアウォールやUTMが入っている場合は、「Cloudflare」のIPを許可する設定が必要になることがあります。
サイバーセキュリティ.com
「Cloudflare」と重複する機能を持つソリューションは停止すべきですか?
康氏
システム構成によりますが、例えば、不正なアクセスを遮断するファイアウォールをすでに運用中の場合でも、既存のファイアウォールを活かしたまま、「Cloudflare」を追加することは有効です。「Cloudflare」の持つファイアウォール機能とで、ダブルチェックできることになります。
「Cloudflare」は、独自に不正IP情報を持っており、しかも常に最新の情報を得ているので、既存のファイアウォールの前段に「Cloudflare」を追加することで、安全性が増します。
ゼロトラスト化で安全なテレワークを
サイバーセキュリティ.com
テレワーク機能「Cloudflare Access」について教えてください。
康氏
「Cloudflare」には、オプションで「Cloudflare Access」というテレワーク機能が追加できます。「Cloudflare Access」は、ユーザーやアプリケーションごとにアクセスを認証・監視。企業の各従業員に対し、社内イントラなど内部リソースへの安全なアクセスを提供するサービスです。
テレワークのために、VPNを導入している企業も多いですが、VPNはアクセスが集中すると、VPNサーバーに負荷がかかり重くなったりするのが欠点です。「Cloudflare Access」には、VPNと同じ機能がありますが、「Cloudflare」のクラウド内で提供するVPNなので、いくらアクセスが集中しても重くなることがありません。
「Cloudflare Access」は、ソフトウェアをインストールすることなく使用できるため、どこにいてもブラウザを介して安全に社内リソースにアクセスできます。
効果測定レポート付き1ヶ月の無料トライアル
サイバーセキュリティ.com
「Cloudflare」には1か月間の無料トライアルがあるようですね。
康氏
はい。稼働中のWebサイトには影響を与えない形で、「Cloudflare」の適用効果を検証いただけます。
具体的には、Webサイトの表示速度を計測し、「Cloudflare」でどれくらい速くなるのか、Webサイトのどこが重いのかが分かるレポートを発行します。そして、「Cloudflare」を導入すると翌日にはWebサイトが高速化するので、導入直後の実測値もレポートします。
また、セキュリティ機能に関するレポートも発行します。何の対策もしていない状態では、どのWebサイトも何らかの攻撃を受けているものです。ログデータを見れば、「月間10万アクセスのうち5000件は米国からの疑わしいアクセスでした」など、実際に受けた攻撃が数値で分かります。無料トライアルでは、攻撃を見える化するレポートを提示しています。
サイバーセキュリティ.com
ドーモテクニカルサポートとは?
康氏
「Cloudflare」には、無料版を除きPro・Business・Enterpriseと3つプランがありますが、Enterprise以外は、基本的に導入企業がセルフで設定や運用をする必要があります。また、Cloudflare社が提供するサポートでは、Enterprise以外は、基本的にチャットベースでのサポートになります。
ドーモでは、代理店としてEnterprise以外のプランの顧客企業に対しても、ドーモテクニカルサポートで、設定代行や設定支援初期対応を提供しています。
サイバーセキュリティ.com
最後に「Cloudflare」に興味がある方へのメッセージをお聞かせください。
康氏
これからは、5G(第5世代移動通信システム)が拡大していくはずなので、高速化の施策をしなくても、重いサイトを速く表示できるようになります。
ただ、通信がリッチになることで、今度は動画を埋め込んでくる。「Cloudflare」は動画もキャッシュできますので、高速なストリーミングの配信ができる点を強調したいです。
セキュリティに関しては、多くの企業でWebのセキュリティが疎かになっている現実を改めて知って欲しいです。「Cloudflare」は企業規模や業種を問わないサービスです。Webサイトを運用している企業であれば、今すぐにでも導入していただきたいですね。