第3回さくらのユーザー会～さくらのクラウド活用事例レポート～(2) 「さくらのクラウド」を活用し新サービスを提供、成長を続ける国産CDNサービス

APIやAIの利用が広がるなか、サイバー攻撃に対抗するためのセキュリティ対策がより重要になってきた。2025年3月21日、株式会社さくらインターネットによって「第3回さくらのユーザー会」が開催された。ユーザー会では、合同会社レッドボックスの小川勝久氏が「BOTに立ち向かう! CDNで守る現代のWebセキュリティ」と題して講演を行い、同社のユーザー企業が抱えるセキュリティ課題や、さくらのクラウドを活用した新しいセキュリティ機能について紹介した。

CDNサービスのユーザー企業が抱えるセキュリティ課題とは

2015年3月に設立され、国内初の定額CDN「エッジキャッシュCDN」を提供する企業として成長を続けるレッドボックス。CDNとは、複数拠点に分散配置されたロケーションからコンテンツをコピーし、次回以降のアクセスをCDN内で処理する負荷分散・高速化サービスだ。

エッジキャッシュCDNの特徴は、超過料金なしの完全定額制でサービスを提供すること、独自システムで障害時にエッジサーバーを自動で切り替えるなど高可用性を確保していること、継続的な無料コンサルティングを提供すること、AIを搭載し学習データから最適なロケーションを選定することなどにある。

小川氏は、同社のビジネス概況と近年のセキュリティ動向についてこう話す。

「会社設立から10周年を迎え、多くのお客さまにCDNサービスをご利用いただくことができました。そうしたお客さまから近年よくご相談をいただくのが、セキュリティに関するお悩みです。なかでも、APIやAIの利用が増えるなかで、BOTによる正規ユーザーになりすましたアクセスやスキャンといった過激なアクセスに悩むケースが増えています」(小川氏)

小川氏によると、BOTによる大量アクセスはインフラの負荷やコストの増加につながる。さらに、TCP・UDPセッションの増加によって、ファイアウォール(FW)の処理の上限に達したり、対応できるセッション数が枯渇したりする。また、人間の行動を真似することで検知を回避するなど、悪性BOTはますます高度化しているという。正規ユーザーと同じ振る舞いをするため、不正かどうか判断が難しいといい、小川氏は「無駄なアクセスがインフラコストの増加や負荷に直結するため、適切に判断し防御する必要があります」と警鐘を鳴らす。

こうしたBOTの脅威にはWAF(Webアプリケーションファイアウォール)も有効だが、WAFだけでは限界がある。そこで重要になるのが、CDNを活用したセキュリティ対策だ。

合同会社レッドボックス CEO小川勝久氏

WAFやロードバランサーの機能を含むセキュリティ対策をCDN 1つで実施

CDNを利用するとWAFやロードバランサーが提供するセキュリティ対策と同等の対策が可能だ。

たとえば、WAFと同じようなセキュリティ対策を実現できるCDNの機能としては、L7(アプリケーション層)でのセキュリティ、不正IPブロックなどのBOT対策、国ベース(GEOIP)のアクセス制限がある。また、ロードバランサーでも可能なセキュリティ対策としては、オリジンサーバー(本来のデータがあるサーバー)の隠ぺい、クライアントIPの制限、最新のプロトコルやHTTPの利用(HTTP/3やTLS1.3)などが挙げられる。

CDNはこうしたWAFやロードバランサーで提供するセキュリティ対策に加えて、CDNならではのセキュリティ対策を実施できるという。特にCDNが得意としているのが、DDoS対策、X-forwarded-for(XFF)ヘッダーの偽装防止(正規のクライアントIP判定)、レスポンスヘッダーを隠す/セキュリティ関連ヘッダーを付与する、CDNからのリクエストだけ許可するようセキュリティヘッダーによる制御、レートリミット(頻繁にアクセスするユーザーを独自ルールで排除)、L4防御などだ。

このように、CDNを活用することでWAFやロードバランサーの機能を含めた包括的なセキュリティに対応できる。ただ、これら機能をすべてCDNで処理しようとするとパフォーマンスに影響がでる。そこで、レッドボックスでは「さくらのクラウド」を活用してレイヤーごとにセキュリティ対策を分離し、エッジのパフォーマンスを上げている。

「たとえば、DDoSやL4防御、GEOIP、クライアント制限などはフロント側のエッジサーバーで処理し、WAF、BOT対策、各種ヘッダー制御、レートリミットなどは中間キャッシュサーバー側で処理します。その際、フロント側で悪影響を及ぼすBOTを判定し、内容のあったバックエンドに振り分けることで、パフォーマンスを落さずに効率良くセキュリティ対策を実施できます」(小川氏)

これらは、さくらのクラウドが提供するサービス「エンハンスドロードバランサ」が担っている。

「さくらのクラウド」をCDNサービスに導入する決め手になった3つのポイント

レッドボックスでは、さまざまな領域でさくらのクラウドを活用しているが、新たにCDNセキュリティの「盲点」を解消するための機能もさくらのクラウドで開発した。

「CDNセキュリティの課題の1つは、CDNを入れていてもオリジンに直接アクセスできることです。公開FQDN(ドメイン名)からはオリジンは見えませんが、悪意のあるユーザーが直接オリジンのサーバーのIPアドレスにアクセスすると、CDNのセキュリティをスルーできてしまいます。この対策としては、CDNが付与するHTTPヘッダーをオリジンで判断できるようにし、独自ヘッダーがないとアクセスを拒否するという方法があります。しかし、環境によっては、Webサーバーやネットワークアプライアンスの制約でHTTPヘッダーを付与できない場合があります。また、CDNを使いながらIPアドレスでアクセス制限したいという要望もあります。こうしたケースに対応するために、さくらのクラウドで開発したのが、STATICバックエンドIPオプションです」(小川氏)

「STATICバックエンドIPオプション」は、オリジンサーバーに着信するIPアドレスを固定化できるオプションであり、CDN利用時に従来の運用をかえることなくIPの判定ができる。中間キャッシュ側で複数IPを割り当て、契約毎に決められたIPでオリジンへリクエストする。また、アプライアンスなどHTTPヘッダーを識別できないインフラでも従来のIPアドレス判定方式がそのまま利用でき、ピュアなIPアドレスによる送信でXFFヘッダー偽装防止も可能だ。

そのうえで小川氏はさくらのクラウドを導入した理由をこう説明した。

「導入の決め手は大きく3つあります。1つめは隠れたコストがゼロの料金体系、2つめは国内での複数リージョンの展開、3つめは仮想アプライアンスの充実と柔軟なIP追加です」(小川氏)

1つめの「隠れたコストがゼロの料金体系」とは、わかりやすい料金体系であり、一般的なクラウドのように「見えないコスト」に悩まされるケースがないことを指している。

「時間ベースの単価課金で、データ転送量による従量課金が一切ありません。その代わりに、使用量目安がきっちり記載されています。いつ利用を開始していつ止めても損することがありません。費用の算出と見積が簡単に行えます」(小川氏)

2つめの「国内での複数リージョンの展開」は、複数拠点でデータセンターを持つことだ。

「外資ベンダーでは、東京リージョンに複数ゾーンで構成することが多いです。一方、さくらのクラウドは、早い段階から東京以外の別リージョンとして石狩リージョンを提供していました。それぞれのリージョンで、第1、第2のゾーンも提供しています」(小川氏)

そして3つめの「仮想アプライアンスの充実と柔軟なIP追加」は、エンハンスドロードバランサをはじめ、さまざまな機能を仮想アプライアンスとして提供し、簡単に利用できることだ。

「エンハンスドロードバランサの機能が優れていて、価格と機能のバランスが非常によいです。リージョンに依存せず、グローバルで利用できることも魅力です」(小川氏)

セキュリティ・Web高速化・負荷分散を同時に提供するレッドボックス

こうしたさくらのクラウドならではの特徴が、エッジキャッシュCDNのサービス価値向上を後押ししている。

最後に小川氏は、近年のセキュリティ対策の難しさと、それを解決する同社の強みをこう訴えた。

「近年のBOTや不正アクセスはより賢くなっており、人件費、広告費、インフラコストなど見えない所でコストを発生させています。セキュリティ対策は予算が取りにくいものですが、 CDNを利用することで、セキュリティ＋Web高速化＋負荷分散を同時に実施できます。レッドボックスでは、Web高速化、セキュリティ対策、突発的なアクセス対策をワンストップで提供することで、お客さまを支援していきます」(小川氏)