アプリケーションデリバリーコントローラー（ADC）が
Webサイトを守る理由

企業活動において、Webサイトが非常に重要な役割を果たしていることはもはや言うまでもありません。重要な顧客接点であるWebサイトのレスポンスが一旦低下すれば、相応の機会損失につながるでしょう。一般的なWebサイトの構成においては、スマートフォンやPCのリクエストがWebサーバーからアプリケーションサーバー、データベースサーバーの順にネットワーク経由で通ります。サイバー攻撃などを受けて、このネットワークのトラフィックが急増することでWebサーバーにリソース不足が発生し、アプリケーションサーバーのプログラムの不具合が起こり、遅延などが生じます。

そのため、企業は徹底したWebサイトのレスポンス低下対策が求められます。その対策として、いま注目を集めているのがアプリケーションデリバリーコントローラー（ADC）です。

Googleはページ表示速度とユーザー行動の直帰率との関係性について、「ページ表示速度が1秒から3秒までに遅くなると直帰率は32％増加する」「ページ表示速度が1秒から6秒までに遅くなると直帰率は約2倍に増加する」としており、たとえわずか数秒であっても、Webサイトの遅延はユーザーのストレスを引き起こし、離脱を招き、コンバージョン率の低下などの悪影響を与えることが知られています。さらにWebサイトがサイバー攻撃を受けて情報漏えい事故を起こせば、株価の下落やブランドの毀損といった企業の信用に大きな影響を与える事態を招いてしまいます。実際、日本国内でもWebサーバー経由の情報漏えいが急増しています。

東京商工リサーチの調べによると、2023年に上場企業と子会社が公表した個人情報の漏えい・紛失事故は175件（前年比6.0％増）。漏えいした個人情報は前年（592万7,057人分）の約7倍の4,090万8,718人分（同590.2％増）と大幅に増加しています。その主な原因として「ウイルス感染・不正アクセス」が半数以上を占めているのをご存じでしょうか。

出典： 2023年「上場企業の個人情報漏えい・紛失事故」調査（東京商工リサーチ）

つまり、Webサイトのレスポンス低下に加えて、当然ながらサイバー攻撃対策も求められており、アプリケーションデリバリーコントローラー（以下、ADC）は、その対策としても注目を集めています。

Webサイトの品質を左右するレスポンスを低下させない技術としては、もともとロードバランサが広く利用されていました。ロードバランサは端末とWebサーバーとの間に設置されるプロキシーサーバー、いわゆるリバースプロキシーの一種であり、クライアントからのリクエストを複数のサーバーに振り分ける処理によりサーバーの負荷を分散する装置です。サーバーへのアクセスを集約し、リソースに余裕があるサーバーにアクセスを振り分けて負荷分散を行うことから、負荷分散装置とも呼ばれています。ロードバランサが負荷分散を行うことで、Webサイトは24時間365日、安定したサービスを提供できるようになるわけです。

ロードバランサは負荷分散のほかにも、サーバーを定期的に診断し、故障しているサーバーを負荷分散の対象から自動的に切り離す故障監視の機能も保有しています。これにより、Webサイトのサービスを停止することなく、サーバーの増設や保守、修理をすることを可能にします。サーバーにおけるBCP（事業継続計画）対策のようなものと考えれば、分かりやすいかもしれません。

しかし、初期のロードバランサはレイヤ3の情報までしか識別できず、アクセスの順番に応じて単純な分散しかできませんでした。これに対し、レイヤ4のプロトコルを識別するL4スイッチを経て、レイヤ7の情報までを識別して必要なサーバーに効果的に分配できる機能を搭載したロードバランサがL7スイッチ、またはアプリケーションスイッチと呼ばれるようになります。いわば、サーバーのBCP対策が強化されたわけです。

ちなみに、レイヤ3、レイヤ7といった用語は国際標準化機構（ISO）で策定されたOSI参照モデルにもとづくものです。OSI参照モデルではネットワーク通信を7つの「レイヤ（階層）に分類し、レイヤごとに通信プロトコルが定義されています。LANケーブルやWi-Fi電波に関する「レイヤ１」（物理層）、MACアドレスに従い次の経由地に届ける「レイヤ２」（データリンク層）、届け先であるIPアドレスの経路を決める「レイヤ３」（ネットワーク層）、プロトコルに応じて適正な方法や手順でデータを届ける「レイヤ４」（トランスポート層）、データ通信の開始や終了の形式などを規定する「レイヤ５」（セッション層）、適切な形式変換、文字コードの定義など表現形式を規定する「レイヤ６」（プレゼンテーション層）、ヒューマンインターフェースを担い頭脳的な役割を果たす「レイヤ７」（アプリケーション層）です。数字が小さいほど物理的なレイヤに近づき、大きいほどアプリケーション的なレイヤになります。

つまり、旧来のロードバランサがレイヤ3のネットワーク層のプロトコル情報までしか識別できないことに対し、L7スイッチはOSI参照モデルのレイヤ7（アプリケーション層）に相当するアプリケーションレベルのプロトコル情報を調べてパケットの転送処理を行います。このため、必要なサーバーに効果的に分配できるようになるわけです。

レイヤ7の情報が見えるようになったことで、L7スイッチには転送以外にも新たな機能が追加され、多機能化が進んでいきます。暗号化・復号化といった暗号処理を肩代わりしてWebサーバーのパフォーマンス低下を防ぐ「SSLアクセラレータ」（SSLオフロード）、過去の閲覧ページをキャッシュしておくことでWebサーバーへのアクセスを削減する「コンテンツキャッシュ」、アプリケーション処理が重くなる情報転送に時間がかかることで生じるWAN回線の遅延を解消する「WAN高速化」、HTTP圧縮による通信帯域を有効活用する「HTTP圧縮」などにより、サービスの安定的な提供を支えるアプリケーション管理の役割を担うようになると、レイヤ7スイッチはADCと呼ばれるようになります。

その後、ADCにはWebサイトの安定稼働を支える機能に加え、セキュリティ機能も実装されています。Webシステムのフロントに位置することからファイアウォール機能を担うようになり、それがWebサイト上のアプリケーションに特化したファイアウォール「WAF」（Web Application Firewall）機能に進化しました。一般的なファイアウォールとは異なり、アクセスデータの中身をレイヤ7の情報を解析することで、不正侵入やDDoS攻撃（複数のコンピューターから同時に標的のサーバーやネットワークに大量のトラフィックを送信してサービスを機能不全に陥らせるサイバー攻撃）の防御ができるようになりました。さらにネットワークへの不正アクセスを検知し、管理者に通報してDDoS攻撃を防ぐ侵入防止システム「IDS／IPS」（Intrusion Detection System／Intrusion Prevention System）に加え、安全なリモートアクセスの認証やPCoIPなどによる仮想デスクトップの安全な配信を搭載する機能を実装したADCもあります。

最近では、規模が拡大するデータセンターや企業のサーバーインフラに導入が進む仮想化環境への対応もできるようになっています。このように、Webサイトを安定化させる各種機能とサイバー攻撃に対するセキュリティ機能を合わせ持つのがADCです。

つまり、Webサイトの品質を維持・向上するために必要な「リソースを十分に確保する」「どのような通信が発生しているかを把握する」「サイバー攻撃からシステムを防御する」という3つの条件を満たすソリューションがADCと言えるでしょう。現時点では、Webサーバーに対する最も有効なBCP対策と言えるかもしれません。

ADCの導入によって、企業にとってはいくつかのメリットが得られます。まずは可用性の向上です。負荷分散により複数サーバーのリソースを十分に活用でき、処理の停滞や停止の可能性が少なくなります。加えて、1台のサーバーに問題が起きたとしても、ほかのサーバーが即座に処理を肩代わりでき、すべてのサーバー群が止まらない限りサービスを継続することを可能にします。

続いて、パフォーマンスの改善です。SSL処理やTCPの最適化、HTTPトラフィックの圧縮など、サーバーにかかる負荷をADCが代替することでサーバーのパフォーマンスが改善されるため、トラフィックが急増する繁忙期でも安定した運用を実現します。

さらに、サイバー攻撃を防止するというメリットがあります。とりわけ昨今急増するDDoS攻撃に対して、ADCは負荷分散やサーバー負荷軽減やクライアント側とサーバー側とのTCPセッション分離などにより、DDoS攻撃を受けた場合でもサービスが継続できるようになります。

それでは、自社にマッチするADC製品はどのように選んでいけばいいのでしょう。ADCには、主に3つの提供形態があります。ハードウェア専用機を利用する「ハードウェア型」、サーバーにソフトウェアをインストールして利用する「ソフトウェア型」、ハードウェアもソフトウェアのインストールも不要な「クラウド型」です。まずは用途やコストに応じて提供形態を選びましょう。

提供形態が決まったら、次は必要な機能が実装されているかどうかを検討します。特に重視したい機能は負荷分散を行うロードバランサ機能、コンテンツの圧縮で通信量を削減するコンテンツキャッシュ機能、SSLの暗号化・復号化処理をWebサーバーに代わって行うSSLアクセラレータ機能、不正侵入やDDoS攻撃から防御するWAF機能です。これらの機能を軸に比較検討を行うといいでしょう。

大方の目星がついたら、導入前にADCを実際に試してみることも重要です。現在では評価用の仮想アプライアンスを貸し出すADCベンダーも多いため、実機を使ってみてユーザーにとってデバイスの機能と特長を実用的なレベルで評価できるはずです。

最適なADCを選定する際には、サイトの負荷を分散できるか、通信の状況をモニタリングできるか、必要なセキュリティ対策ができるかといった要件に加え、自社での構築が容易であるかも重要なポイントになります。人手や技術力の不足といった理由で自社での構築が困難な場合には、プロに託すのも一手かもしれません。

たとえば、ドコモビジネスの「VxGPlatform」（ブイエックスジープラットフォーム）は、ニューノーマル時代のネットワーク＆セキュリティ基盤をまるごと提供するマネージドセキュリティサービス（MSS）です。オンプレミスやクラウド、データセンターなどIT環境の全域を見守る統合的なセキュリティ対策に必要な機能をオールインワンで提供します。

ネットワーク＆セキュリティ対策に欠かせない各種要素は基本機能として搭載していることに加え、必要なメニューだけを追加・選択することでお客さまの要望に沿った自由なカスタマイズが可能です。日々高度化・多様化するサイバーリスク対策など、セキュリティレベルの維持に伴う運用管理をアウトソースすることで運用にかかる稼働や管理コストが抑えられます。今後は、随時ネットワークとセキュリティ対策のトレンド変化に柔軟に対応するラインナップも拡充予定です。

煩雑になりがちな機器の構成管理が実行可能なポータルを標準で提供しているため、デバイス管理からログ管理、Configバックアップ、ファームウェア管理、設定変更などがポータル上から閲覧・実行可能です。お客さまから指定されたsyslogサーバーへログを外部転送し、お客さま導入の他機器とも合わせた管理も可能です。

リモートワークの推進や各種クラウドサービスの新規利用などで日々増加する、ネットワークトラフィックに合わせた回線帯域の拡大も柔軟にサポート対応可能です。

さらに、基本メニューとしてADCも提供しており、アプリケーションの分散・最適化などのご要望にも対応できます。つまりWebサイトの品質向上はもちろん、すべてのIT環境の可視化やセキュリティ対策が可能です。自社のWebサイトの品質を底上げし、最新の脅威から守るアプリケーションデリバリーコントローラー（ADC）については、ドコモビジネスへご相談ください。導入検討に役立つ資料もご用意していますので、お気軽にお問い合わせください。