セキュリティについて

名称変更について

2025年3月に espar から espar vault (エスパーボルト)へ名称が変更されました。サービスの機能・仕様・価格に変更はありません。詳しくはこちらをご覧下さい。

共用公開サーバプラン・専用公開サーバプランでは、以下のようなセキュリティ対策や設定を行っています。(独自公開サーバプランは案件毎に異なります）

必要最低限の構成

espar vault の公開サーバは、静的Webサイトのホスティングに必要なもののみで構成されています。そのため、セキュリティインシデントの主たる原因である以下のものが存在しません。

• PHP等のサーバサイドプログラム言語の実行環境
• MySQL等のデータベースシステム
• WordPress等のCMSシステム
• 上記に関連して必要となるソフトウェア群の全て

上記の不存在を理由に、espar vault 公開サーバに対するSQLインジェクションやディレクトリトラバーサル等の攻撃は成立することがないと言えます。

他システムと espar vault の決定的な違い

Webシステムにおける最大の防御は、セキュリティインシデントの原因となるものを使わないことです。これを上回る防御方法は存在しません。以下のどちらが安全でしょうか？

• 攻撃を受ける前提で、各種の防衛手段を導入してシステムを構築する
• そもそも攻撃が成立しないシステムになることを最優先にして構築する

後者がより安全なシステムとなることに反論の余地はないでしょう。システムとして攻撃対象面(Attack Surface)が圧倒的に狭くなるからです。これは安全性を高める合理的な選択です。

espar vault は、前者方針を採る WAF や IPS/IDS とは対照的に、後者の戦術を採用しています。セキュリティインシデントの原因となるものを元より排除したシステムとなっています。

WAFとの比較について

espar vault の静的化がWAFに対してどのような優位性を持つかについては、WAFとの違いで詳しく解説しています。企業のセキュリティ要件として「WAFに相当するセキュリティ対策」が求められる場合の参考資料としてご活用ください。

必要最低限のポート

悪意ある第三者からのアクセスを阻止するために以下の設定としています。

• TCP/80 および TCP/443 以外の全アクセスを拒否
• 例外的に弊社管理用ssh(TCP/22)を以下制限付きで許可
  • 弊社IPでないIPからの接続は全て拒否
  • root権限でのログイン試みは全て拒否
  • root権限以外でもパスワード認証は不可
  • 公開鍵認証による接続必須 (楕円曲線暗号Ed25519を採用)
  • 弊社担当エンジニアが使う特定端末以外からのアクセスは全て拒否
  • 特定端末は弊社担当エンジニアの生体認証が必要
  • 特定端末にはOSとして脆弱なWindowsの使用を禁止

上記の対策を行う事により、espar vault 公開サーバに不正にアクセスされる事が原理的にないと言える環境を構築しています。

徹底したアクセス制限

たとえ、エンドユーザ企業様・制作会社様・その関係者様であっても、espar vault 公開サーバへの http(TCP/80) と https(TCP/443) 以外のアクセスは全て禁止しています。いかなる事情があっても例外は一切許容していません。以下もご覧ください。

• Q. 公開サーバにFTP接続できますか？
• Q. 公開側サーバ上に CGI やプログラム等を設置できますか？

堅牢さを脅かすCMS実装起因の例外

espar vault 公開サーバのセキュリティに、穴をあけてしまう要素が存在します。

• リバースプロキシ
• 脆弱なJavaScript実装

いずれもCMSの実装に起因する要素です。前者はリバースプロキシや制作時のコツや留意点についてのページをご覧頂き、できる限りサイトから動的要素を排除することが推奨されます。espar vault 導入時にリバースプロキシ設定箇所はお伝えしていますが、不明な場合はお問い合わせ下さい。

後者は、JavaScript実装にXSS対策を施すようにして下さい。CMS側に対して脆弱性診断を行い診断レポートに従い対応することを検討しても良いでしょう。

TLSバージョン

espar vaultの公開サーバではSSLやTLS1.0/1.1による通信を受け付けていません。espar vault 導入サイトを閲覧するにはTLS1.2以降で接続するブラウザが必要となります。TLS1.2に対応していないブラウザを使う閲覧者は、サイト表示ができなくなります。

TLS1.2以降に対応していないブラウザでは以下のような表示になります。

2024年現在、上記の表示となるブラウザはほぼありません。IE9やIE10などは上記表示となる可能性がありますが、提供元のMicrosoft社がサポートを終了しています。もし当該ブラウザ利用者にもサイトを表示させたい場合、espar vault の導入は推奨しません。

また espar vault 公開サーバは、SSL/TLS終端の接続許容バージョンを継続的に引き上げています。

証明書

espar vault の公開サーバでは、サーバ証明書として Let’s Encrypt のDV証明書を使用しています。

公開サーバ用証明書の新規発行・設置・更新の全てを弊社が行います。ただし導入初期の新規発行時には、ご協力が必要となる場合があります。詳しくは以下ページをご覧下さい。

• 同一ドメイン方式での導入
• 別ドメイン方式での導入
• 証明書について

導入後の定期的な更新作業も弊社が行います。証明書種別(DV/OV/EV)によるセキュリティレベルの差に懸念がある場合、 Q. Let’s Encrypt のDV証明書でセキュリティ的に大丈夫なのでしょうか？ をご覧下さい。

独自証明書について

espar vault 公開サーバに独自取得の証明書を設置することが可能です。独自証明書の設置は、導入初期に加え導入後の更新の度に有償対応となります。

更新の際は弊社からCSRをご提供します。当該CSRを使った証明書発行業者への申し込み・購入・お支払いに弊社が関与することはありません。

負荷対策

公開サーバは、ロードバランサと複数台のWebサーバ群で構成しており、過度なアクセスに対する負荷分散を行っています。

共用公開サーバプランにおける負荷分散用のサーバ台数はセキュリティ観点で非公開としています。専用公開サーバプランや独自公開サーバプランでは、基本構成を2台としていますが、詳細は個別の契約によって異なります。

常時監視

公開サーバは、弊社独自の監視システムにより24時間365日の監視を行なっています。サーバ群に異常が検出された場合、担当エンジニアにアラートが送出され、早期の異常解消を図る体制を整えています。

セキュリティパッチ適用等

最新のセキュリティ情報を常時チェックし、最新となるよう定期的なアップデートを行っています。