企業向けに数十のWordPressサイトを開発・保守管理している場合、セキュリティの確保はプラグインの導入だけでは不十分。

特に企業サイトの場合、脅威がサイトに到達する前に阻止してくれるような、インフラ自体に組み込まれているセキュリティ機能が必要になります。Kinstaのインフラには、隔離コンテナ技術、エンタープライズWAF、コンプライアンス認証などが含まれています。

今回は、企業クライアントの要件に応えるKinstaの高度なセキュリティ機能を掘り下げてご紹介します。

高度なセキュリティアーキテクチャ

企業向けWordPressセキュリティには、独立して機能する複数の防御層が必要です。複数の防御層を確保することで、何かしらの問題が発生してもサイトへの影響を阻止することができます。

Kinstaでは、戦略的なインフラストラクチャ、隔離コンテナ、および高度に厳しいコンプライアンス要件を満たすセキュリティ制御を通じてこれを提供しています。

KinstaのWordPress専用マネージドクラウドサーバーのインフラ
KinstaのWordPress専用マネージドクラウドサーバーのインフラ

各WordPressサイトには、専用のコンピュート、メモリ、ネットワークを備えた独自の隔離LXDコンテナを割り当てます。

このアーキテクチャは、複数のクライアントサイトを管理するWeb制作会社、ミッションクリティカルなアプリケーションを構築する開発チーム、厳格なコンプライアンス要件に対処する企業など、さまざまな種類の企業サイトに理想的です。

また多くの場合、企業のWordPressサイトはデータの安全性を証明しなければなりません。これを考慮し、KinstaではSOC 2報告書(タイプ2)の受領、ISO 27001認証の取得も行っています。

インフラレベルの保護

企業サイトのセキュリティは、プラグインだけでは不十分です。隔離、暗号化、そして積極的な防御により、問題がWordPressサイトに到達する前に阻止しなければなりません。

これを念頭に置いて設計されたKinstaのアーキテクチャでは、各WordPressサイトが専用リソースを備えた隔離コンテナの中で実行されます。各LXDコンテナには独自のファイルシステム、プロセススペース、ネットワークスタックが付属するため、他のサイトの脆弱性によって自社やクライアントサイトが危険に晒されることはありません。

さらに、暗号化されたストレージと物理レイヤーのネットワーク分離をデフォルトで提供しており、サイトが機密コンピューティングの高性能仮想マシン上で実行されます。これにより、データは厳格な物理的セキュリティ要件を満たすデーターセンターのグローバルネットワーク上で処理され、常に暗号化された状態が保たれます。

Kinstaのデータセンター
Kinstaのデータセンター

また、エンタープライズレベルのCloudflare統合により、すべてのサイトに高度なエッジセキュリティを標準提供しています。ウェブアプリケーションファイアウォール(WAF)にはOWASP Core Ruleset(v3.3)を適用し、WordPress到達前にすべてのリクエストを検査します。スコアベースの脅威検出を使用して、330都市からなるCloudflareのグローバルネットワーク全体で不審なトラフィックを3秒以内にブロックします。

スマートDDoS(分散型サービス拒否)攻撃対策は、クライアントの製品発表のような正当に急増することが予想されるトラフィックを攻撃と区別。また、エニーキャストルーティングにより、トラフィックが複数のデータセンターに分散されるため、単一のデータセンターが圧倒されることはありません。正当なユーザーにはサイトを迅速に提供しながら、サイトを攻撃から守ります。

例えば、Kinstaのお客様である感情知能の教育・応用サイトEQ Appliedは、コンテンツが話題になりアクセスが殺到した際にも、速度を落とすことなくトラフィックの急増に柔軟に対応することができました。創設者のJustin Bariso氏は、これによりオンライン講座とメンバーシップの収益が15万ドルを超え、何千もの新規見込み顧客を獲得できたと述べています。

バイラルコンテンツ公開時にも何十万ものトラフィックを処理してくれました。Kinstaはいつも期待に応えてくれます

MyKinstaのセキュリティ管理機能

Kinstaが独自開発したコントロールパネルのMyKinstaには、アクセスルールやユーザー管理、操作履歴の確認など、セキュリティ部門が毎日使用する機能を1箇所に集約されています。

地理的およびIPベースのアクセス制御

時には個々のユーザーだけでなく、パフォーマンス分析やセキュリティログに基づいて、国全体をブロックしなければならないことがあります。

Kinstaでは、以下のような方法を提供しています。

  • IPジオロケーション:国または都市単位のリダイレクトとキャッシュルールをMyKinstaで直接設定可能です。高パフォーマンスを維持しながら、ローカライズされたバージョンのサイトに訪問者を誘導するのに便利です。
  • IP制限:特定のIPアドレスまたは範囲全体を即座にブロックします。これらのルールは、数秒以内にインフラ全体に伝播し、さらに個々のIPとCIDR範囲の両方に対応しているため、確実に制御することができます。
  • ジオブロッキング(サポート経由):国や地域全体からのトラフィックをブロックしたい場合、カスタマーサポートサーバーサイドでのジオブロッキングの設定を依頼することができます。

またいずれもKinstaのエッジキャッシュとシームレスに機能するため、静的コンテンツはCloudflareのエッジロケーションから提供され、WordPressへのリクエストが削減されます。

これらすべての最適化は、セキュリティルールを維持したまま実現可能です。HTTP/3対応、103 Early Hints、Brotli圧縮などの最新技術により、セキュリティ機能を損なうことなく、TTFB(Time to First Byte)を大幅に短縮します。

ID管理とアクセス制限─二要素認証と役割ベースのアクセス制御

MyKinstaは、セキュリティ強化の一環として二要素認証(2FA)を義務化しています。個々のサイトに対して簡単に設定でき、Google AuthenticatorやAuthyなど、任意のパスワードマネージャーに接続可能です。これにより、第三者がサイトの認証情報を入手したとしても、2つ目の要素なしではアクセスできなくなります。

また、役割ベースのアクセス制御も以下のようにわかりやすく簡単に扱うことができます。

  • 企業の所有者:請求やインフラの意思決定を担当
  • 管理者:サイトとユーザーを管理
  • 開発者:開発とは無関係な設定にはアクセスできず、技術的な側面にのみアクセス可能

アクティビティログには、ログイン試行、設定の変更、管理者の操作など、すべての行動にタイムスタンプ付きの監査証跡が記録されます。

企業クライアントのセキュリティ担当者から、誰がいつ何を実行したかを確認されてもすぐに対応できます。全体として、潜在的な問題を素早く検出することができます。

MyKinstaのセキュリティログ例
MyKinstaのセキュリティログ例

最後に、稼働状況監視は、複数のグローバルロケーションから行われ、何か問題があれば数分以内に警告を送信します。さらに高度な機能として、パフォーマンスの異常検知により、セキュリティ上の問題を示す可能性のある異常なパターンも特定します。例えば、仮想通貨(暗号資産)のマイニングによる突然のトラフィックの急増や、総当たり攻撃によるリソースの流出が発生した場合にもすぐに把握可能です。

バックアップとディザスタリカバリ

Kinstaの自動バックアップは、毎日サイトに接続されているすべてをキャプチャします。

バックアップは月額プランでは14日間、より上位のプランでは30日間保存されます。また、バックアップは本番サイトとは切り離されて実行されるため、パフォーマンスへの影響はありません。

バックアップの復元も簡単
バックアップの復元も簡単

災害はいつ発生するか予測することができません。したがって、事前に計画を立てることが重要になります。Kinstaのシステムでは、ワンクリックで任意のバックアップポイントに復元可能です。バックアップストレージからすべてを取り出すこともできますが、個々のコンポーネントを選択して復元することも。例えば、1つのファイルやデータベーステーブルが必要であっても、本番サイトに触れることなくダウンロードできます。

WordPressサイトのダウンロード可能なバックアップの中身
WordPressサイトのダウンロード可能なバックアップの中身

また、ステージング環境もすべてのサイトに1つ付属しています。本番サイトを壊すことなくプラグインの更新をテストしたり、新たな機能を試したり、セキュリティテストを実行したりするのに最適な環境です。

必要な操作をテストした後は、選択的プッシュで必要な変更のみをデプロイ。最小限のクリックでDevKinstaから本番サイトに変更を反映することも可能です。

セキュリティ機能はすべてのプランに標準付帯

Kinstaの企業向けセキュリティ機能は上位プランだけでなく、すべてのプランに標準で付帯します。

  • エッジキャッシュ:静的コンテンツをCloudflareのグローバルネットワークから配信することで、WordPressへのリクエストを削減。リクエストが減ることで、攻撃の被害に遭う可能性も低減します。認証を尊重し、ログインユーザーと動的コンテンツはシームレスに動作します。
  • SSL/TLS証明書:すべてのサイトにワイルドカードSSL証明書が自動導入され(更新も自動のため操作不要)、ルートドメインとすべてのサブドメインに256ビットの暗号化が適用されます。最新のTLSプロトコルを標準採用し、どうしても必要な場合にのみ後方互換性もサポートしています。
  • 継続的なマルウェアスキャン:24時間365日サイトのスキャンを行い、疑わしいファイルやコードパターンを検出します。脅威データベースは常に最新の状態に保たれており、新たな新しいマルウェアの亜種をキャッチ。何かが検出された場合は、明確な対処法とともに即座に警告が送信されます。
  • 鍵認証のみによるSSHアクセス:パスワードログインはデフォルトで無効になっており、代わりにRSA、DSA、ECDSAなどの鍵認証をサポート。既存の安全なワークフローを維持しながら利用可能です。
  • 開発者向けツール(WP-CLI + API)WP-CLIは、更新からwp core verify-checksumsによるファイルの完全性の検証まで、自動化とセキュリティタスク用に事前にインストールされています。また、Kinsta APIを使ってコマンドラインから直接サイトとサーバーを管理することができます。

これらの機能により、すべてのプランで組み込みの企業向けセキュリティを手にすることができます。

コンプライアンスとデータ主権

Kinsta Trust Centerページ
Kinsta Trust Centerページ

セキュリティとコンプライアンス認証にもこだわっています。こちらのページでKinstaが取得している認証やパフォーマンスに関する詳細情報を提供しています(日本語での解説もご用意しています)。

以下2つの認証の取得は特筆に値します。

  • SOC 2報告書タイプ2:受領にはセキュリティ、可用性、処理の完全性、機密性、およびプライバシーをチェックするために、独立した第三者機関による年次監査が必要。また、毎年管理体制が機能していることを証明しなければならない。
  • ISO 27001認証:情報セキュリティマネジメントシステム全体が対象。これには国際基準を満たす方針、手順、運用管理などが含まれる。

この2つは企業クライアントの間でも認識されており、厳守を求められます。

GDPR(EU一般データ保護規則)への準拠も同様に重要です。Kinstaは適切なデータ処理契約を提供しており、実際に機能するプライバシー管理機能や、特定の地域にあるデータセンターを選択できる機能も備えています。例えば、データをヨーロッパやアジアに限定して保存する必要がある場合にも対応可能です。規制が求めるデータの移行、削除、アクセス要求に対応するほぼすべてのツールを提供しています。

まとめ

製品により多くのツールを詰め込むことにも一理ありますが、Kinstaでは、最初から適切な基盤を備えた包括的な企業向けセキュリティをご用意しています。

先にご紹介したEQ Appliedは、サイトをダウンさせることなくバイラルコンテンツを数千万円規模の売り上げに変えることに成功しており、これを実際のデータで裏付けています。

WordPressのセキュリティを徹底するなら、KinstaのWordPress専用マネージドクラウドサーバーにお任せください。堅牢なインフラストラクチャにより、その違いをすぐに実感していただけるはずです。

Jeremy Holcombe Kinsta

Kinstaのコンテンツ&マーケティングエディター、WordPress開発者、コンテンツライター。WordPress以外の趣味は、ビーチでのんびりすること、ゴルフ、映画。高身長が特徴。