サーバーはウェブサイトのセキュリティ、パフォーマンス、信頼性を左右する重要な役割を果たすため、慎重に選択しなければなりません。

またGDPR(EU一般データ保護規則)やCCPA(カリフォルニア州消費者プライバシー法)、PCI-DSSへの準拠やSOC 2報告書の受領など、多くの業界固有の考慮事項などの規制要件やガイドラインの遵守にもまた、サーバー選びが大きく関わってきます。

サーバーの評価には数々の異なる側面があるため、体系化した監査を行うことでより正しい決断を下すことができます。

そこで今回は、サーバー監査を実施してセキュリティとコンプライアンスを確保する方法をご紹介するとともに、サポートや稼働率、パフォーマンスなどの重要な分野、およびよくある落とし穴や注意すべき点も取り上げます。

サーバー監査で評価すべき主な要素

まずはじめに、サーバー監査で評価すべき重要な要素を見ていきます。サーバーに尋ねるべき質問は多数ありますが、基本的には以下5つの分野に焦点を当ててください。

  1. セキュリティ:認証、暗号化、ファイアウォール、DDoS攻撃対策、バックアップなど、インフラの一般的なセキュリティを評価。また、セキュリティ機能が組織の内部ポリシーにどのように合致するかも要確認。
  2. コンプライアンス:GDPR、SOC 2報告書、その他業界固有のコンプライアンス要件など、重要な規制やフレームワークへの準拠を支援しているか。
  3. パフォーマンスと信頼性:データセンターの所在地、スケーラビリティ、稼働率保証、サービスレベル契約など、パフォーマンスと信頼性に関する詳細を調査。
  4. サポートと透明性:利用可能なサポートチャネル、利用可能時間、応答時間(平均応答時間とサービスレベル契約に裏付けられた最低応答時間)、契約の明確性などを確認。
  5. コストと契約:明示されている価格設定にとどまらず、隠れたコスト(超過料金、アドオンなど)、契約の柔軟性、契約終了条項などの情報も確認。

以下、これらの各分野をどのように評価するか具体的にご紹介していきます。

  • セキュリティとコンプライアンス
  • 稼働率、パフォーマンス、サポートに関するサービスレベル契約
  • 企業のポリシーとサーバーとの連携方法
  • 隠れたコストを含む懸念点と潜在的な落とし穴
  • サーバー監査に関するヒント

また、監査においてサーバーへの重要な質問リストもご覧いただけます。

セキュリティとコンプライアンス

セキュリティとコンプライアンスは、サーバー監査において特に重要な分野です。

サーバーのセキュリティ体制を評価する際には、SOC 2報告書の受領やISO 27001認証のような業界で認知された認証の取得、ファイアウォール、エンタープライズレベルのDDoS攻撃対策自動バックアップ機能などの積極的で先を見越した対策が講じられているかどうかを確認しましょう。Kinstaでは、セキュリティとパフォーマンスを強化する隔離コンテナ技術を採用したインフラを提供しています。

ウェブサイトに必要不可欠なセキュリティ機能のチェックリストはこちらをご覧ください。

Kinstaのコンテナベースのインフラストラクチャ
Kinstaのコンテナベースのインフラストラクチャ

また、サーバーが過去にどのようなセキュリティ問題を経験したかどうかも尋ねましょう。過去にセキュリティ問題が発生した場合、どのように対応し、今後同じ問題が発生しないためにどのようなポリシーを導入したかどうかを知ることも重要です。

セキュリティとコンプライアンスに関する質問リスト

  • セキュリティインフラ:暗号化、ファイアウォール、DDoS攻撃対策、バックアップなど、必要不可欠なセキュリティインフラを提供しているか。
  • 一般的なセキュリティ認証:どのようなセキュリティ認証を取得しているか。業界標準のSOC 2報告書を受領したり、ISO 27001認証を取得したりしているか。
  • プライバシー規制:GDPR、CCPAなどのプライバシー規制への準拠をサポートしてくれるか。
  • 業界特有のコンプライアンス要件:業界独自の特別な要件がある場合は、それを満たしてくれるか。
  • 継続的なコンプライアンス:どのような方針で継続的なコンプライアンスに取り組んでいるか。
  • 先を見越したセキュリティ対策:ゼロデイ攻撃やその他の脅威に対処するためにどのような方針と実践を行っているか。
  • セキュリティ侵害に関するポリシー:セキュリティインシデントが発生した場合の対応方法はどうなっているか。問題への対処から顧客への通知まで、具体的にどのようなプロトコルが用意されているのか。

サービスレベル契約(SLA)とパフォーマンス保証

質の高いサーバーであれば、稼働率、パフォーマンス、カスタマーサポートに関して、なんらかの保証を提供していますが、具体的な保証内容やそれらがどの程度厳密に守られているかについては、サーバーによって異なります。

サーバーの保証内容を監査する際は、以下の点に注目してみてください。

  • サービスレベル契約(SLA):保証を裏付ける具体的な要件や救済措置がなければ、その「保証」は意味をなさない。サーバーの分野では、SLAとは具体的な責任、測定基準、救済策を定義したサーバーとの契約を意味するため、サーバーが明確で透明性の高いSLAを提供していない場合は要注意。
  • 稼働率保証:稼働率に関しては、「99.9%の稼働率保証」というセールスコピーだけでは不十分。稼働率保証が何に適用されるのか、また「稼働率」はどのように計算されるのか、保証が満たされなかった場合にどのような救済措置があるのかを事前に確認することが重要。
  • 規模に応じたパフォーマンス:サーバーがトラフィックの急増にどのように対応するかと共に、サーバーが負荷のかかった状態でどのようなパフォーマンスを発揮するかを理解する。自動スケーリングを提供しているか、または大規模なトラフィックの急増が生じた場合、サイトが遅くなったり、応答しなくなったりしないかを確認。
  • 隠れた制限:すぐにはわからないような制限がないかもよく確認すること。例えば、パフォーマンスの絞り込み、多額の超過料金、予期せぬダウン(スケーリング機能がない場合など)が挙げられる。
  • サポートの応答性: 24時間年中無休体制のサポート(必須)はもちろん、平均返答時間などが保障されているかなども確認しておく。複数のサポート階層がある場合は、各階層間で実際の応答時間がどのように変化するかも把握しておきたい。

全体として、明確な稼働率保証と積極的なインシデントレスポンスで透明性の高いSLAを提供するサーバーを探すことをおすすめします。優れたサーバーはまた、リアルタイム監視、自動スケーリング、および遅延を削減するためのグローバルネットワークを提供してくれます。

SLAがどのようなものであるべきかを示す例として、KinstaのSLAに裏付けられた99.9%の稼働率、および99.99%の稼働率保証をご紹介します。

2025年4月現在のKinstaの稼働率保証
2025年4月現在のKinstaの稼働率保証

SLAとパフォーマンス保証に関する質問リスト

  • 稼働率とパフォーマンスの保証:稼働率とパフォーマンスに関する具体的な保証はどのような内容なのか。
  • 保証される稼働率のレベルどのレベルの稼働率を保証してくれるのか。99.9%以上(99.99%)の保証もあるのか。
  • トラフィックの急増:トラフィックの急増はどのように処理されるのか。高トラフィック期間にはどのようなパフォーマンス保証を受けることができるのか。
  • 救済措置:保証が満たされなかった場合の対応策は用意されているか。返金の場合には、返金ポリシーとその計算方法も確認する。
  • サポート対応の保証:各階層のサポートに対するSLA保証の平均返答時間はどのくらいなのか。
  • 契約の明確性:SLAやその他の契約上の義務が明確で具体的であるかどうか。広範な免責事項や曖昧な表現が含まれていないか。

サーバーの能力と組織のポリシーとの整合性

サーバーが必要な規制に準拠していることだけでなく、利用するサーバーが組織の内部ポリシーや基準にも合致していることも確認しましょう。

企業ごとに独自の要件があるものですが、例えば以下のような点が挙げられます。

  • 社内のセキュリティおよびITポリシー:サーバーが組織のポリシーや基準に適合することを確認する。例えば、役割ベースのアクセス制限、アクティビティログなどが必要かもしれない。
  • データレジデンシー要件:あなたは、データを特定の物理的な場所(GDPRへの対応を簡素化するためにEU域内など)や、特定の方法で保存する必要がある場合、サーバーがこれらの要件を満たすことができるかを確認する。例えば、Kinstaでは世界37箇所のデータセンターから選択可能。
  • 第三者のリスク管理:ほとんどのサーバーは、特定のサードパーティサービスに依存しているため、サーバーが自社のサプライヤーをどのように管理しているか、またこれらの関係が組織の内部基準に準拠しているかどうかも確認する。

その他、重要な組織方針について質問がある場合は、サーバーに問い合わせて具体的な回答をもらいましょう。

組織の整合性に関する質問リスト

  • コンプライアンス文書:サーバーが組織が求める関連認証や規制への準拠を証明する文書を提供してくれるか。
  • データローカライゼーション:組織のデータローカライゼーション要件に準拠するためにサーバーはどのようなツールや機能を提供してくれるか。
  • サードパーティとの統合:サーバーがどのようなサードパーティサービスと統合しているか。どのように管理され、どのようなセキュリティ対策が講じられているかを確認する。
  • サーバーアカウントへのアクセス:サーバーアカウントへのアクセスを制御し、組織の役割ベースの制限を実装するのにどのような機能を提供しているか。
  • ログ機能:サーバーアカウント内でユーザーの行動は記録されるか。組織のアカウントへのアクセスを管理するその他のツールは組み込まれているか。

よくある落とし穴と注意点

ここまでは、主にサーバー監査における「サーバーの良い面」に焦点を当ててきましたが、以下のような点は「危険信号」にも同様に注目してみてください。

  • サービスレベル契約の曖昧さ:SLAの重要性は前述した通り。SLAが曖昧であったり、意味のある保証や救済措置を提供していないサーバーには注意が必要。
  • 懲罰的な超過料金やその他の追加コスト:超過料金が本質的に問題になるわけではないが、組織が直面する可能性のある状況に対して過度に懲罰的な料金が発生するようになっている場合は問題。他にもアドオン料金、解約料金、その他支払う必要のある料金など、潜在的なコストが生じる可能性がある。
  • スケーラビリティの問題:使用量の多い時間帯にリソースを拡張できない場合は、トラフィックの急増時やリソースの集中する時間帯にサイトの速度が低下したりサイトがダウンしたりする可能性がある。
  • 透明性の欠如:質の高いサーバーは、自社のインフラとセキュリティ文書について透明であるもの。たとえばKinstaでは、コンプライアンス、インフラ、セキュリティなどの詳細を共有するVanta Trustページを公開している(日本語による解説ページはこちら)。
インフラとコンプライアンスに関する詳細を確認できるKinstaの Vanta Trustページ
インフラとコンプライアンスに関する詳細を確認できるKinstaの Vanta Trustページ

落とし穴と注意点に関する質問リスト

  • 不明瞭なSLA:SLAには曖昧な稼働率保証やさまざまな責任免除が記載されていないか。
  • 懲罰的な隠れたコスト:超過料金、アドオン料金、解約料金など、支払いの可能性がある料金にはどのような種類があるか。またそれらは公平かどうか。
  • 柔軟性のない契約:契約解除条項や契約解除料により、サービスの解約が難しくないかどうか。
  • 拡張性の制限:リソースの拡張に制約があるか。制約がある場合は、実際に遭遇するであろう状況においてどのような影響を及ぼす可能性があるか。
  • 透明性の欠如:インフラやセキュリティ文書に関する具体的な詳細を共有してくれるか。

サーバーの比較と決定

複数のサーバーを検討している場合、客観的な比較方法があると便利です。とはいえ、サーバーによってメリットとデメリットがあるため、比較が困難な場合もあります。

以下、サーバーを絞り込み、組織に適したサーバーを見つけるヒントをご紹介します。

監査評価テンプレートを作成する

相対的な強みと弱みを考慮しながらサーバーを客観的に比較・評価するには、自社にとって重要な基準をまとめて、監査評価のテンプレートを作成してみてください。

各サーバーのランク付けは、以下の項目から始めるのがおすすめです。

  1. セキュリティ
  2. コンプライアンス
  3. サポート
  4. パフォーマンスと拡張性
  5. コスト

その他、必要不可欠な項目があればさらに追加してください。また、組織固有の要件によっては、他の項目よりも重要になる項目があるかもしれません。例えば、業界特有の規制コンプライアンスが絶対に必要になる場合は、それをテンプレートで強調しましょう。

試用期間を利用して実際のパフォーマンスを評価する

候補を数社に絞ったら、最終決定を下す前に、試用期間を利用して、実際のパフォーマンスとサポートを評価することができます。

もちろん、すべてのサーバーが無料の試用期間を設けているわけではありませんが、多くのサーバーは少なくとも何らかの返金保証は提供しています。たとえばKinstaでは、Single 35kプランとWP 2プランは初月無料で利用でき、全プランで30日間の返金保証提供しています。

このようなサービスを利用して、独自のパフォーマンステストを実行し、実際のパフォーマンスが提示内容と一致するかを確認すると確実です。またカスタマーサポートを利用して、その応答時間と質についてもより正確に評価できます。

Kinstaのコンプライアンスとセキュリティ標準への取り組み

Kinstaは、重要なセキュリティとコンプライアンス基準を満たすWordPress専用マネージドクラウドサーバー、ウェブアプリケーションサーバーを提供しています。

Kinstaのプランには、隔離コンテナ、暗号化、ファイアウォール、DDoS攻撃対策、マルウェア保護、自動バックアップなどの不可欠なセキュリティ機能が標準搭載されています。また、ISO 27001認証の取得やSOC 2報告書の受領なども行なっています。

先にも触れた通り、セキュリティ、コンプライアンスなどに関する詳細情報を提供するため、Vanta Trustページおよび日本語での解説ページを公開しています。さらに、平均初期応答時間2分未満のエンジニアによる直接サポート明確で正確なSLAもご利用いただけます。

厳しいコンプライアンス要件を持つ組織を含む、多くの企業がKinstaを選択しています。実際の導入事例はこちらで多数公開しています。

まとめ

徹底したサーバー監査を実施することは、企業サイトのセキュリティ、コンプライアンス、およびパフォーマンスの確保に非常に重要です。

今回ご紹介した重要な基準に照らしてサーバーを評価することでリスクを最小限に抑え、サーバー戦略を最適化することができます。また、新たな規制や脅威の変化に合わせて、サーバーの定期的な見直しを行うフレームワークとしても活用可能です。

セキュリティ、コンプライアンス、および高性能のインフラストラクチャを重視するマネージドサーバーをお探しでしたら、Kinstaをぜひ一度お試しください

Jeremy Holcombe Kinsta

Kinstaのコンテンツ&マーケティングエディター、WordPress開発者、コンテンツライター。WordPress以外の趣味は、ビーチでのんびりすること、ゴルフ、映画。高身長が特徴。