WEBアプリをAWSに移管するわけ、AI時代の0デイ攻撃に備えて
はい、どうもこんにちは佐藤です!
先日、nginx に重大な不具合が報告されました。
VPS で WEB アプリを運用しているうちは、ミドルウェアの更新は自分でやらなきゃいけない。手持ちのアプリを全部見直して、全部の nginx を最新化。気づけば夜が明けていました。
も う や り た く な い
AI を 3 エージェント並走させながら作業していた私でさえ、へばりましたからね。
発狂するかと思ったわ。
プロだから、こういう対応もします。うちが相手にする小規模案件では、コスト重視の VPS で十分という考えでした。でも今回の事件をきっかけに、手持ちの WEB アプリを VPS から AWS へ移管し始めています。どうしてそのようなことをしているのか、書いていきますね!
AI時代は0デイ攻撃のリスクが跳ね上がる
今回のような事件がなぜ怖いのか。AI 時代に入って、攻撃側の試行回数が格段に増えているからです。
ちょっと考えてみてください。ブラックなハック(悪意ある攻撃)は、品質を気にしなくていいですよね? うまくいかなくてもまた次の手を試せばいい。一方で、ホワイトなもの(防御側)は品質を下げるわけにいきません。そこに試行コストの非対称性があります。
AI が登場してから、その非対称性が爆発的に広がりました。攻撃スクリプトを書くコストも、脆弱性を探すコストも、AI が下げてしまうのです。
結果として何が起きるか。脆弱性が公開されてから、実際に攻撃が来るまでの時間がどんどん短くなります。
これが 0 デイ攻撃の現実です。「10 本のアプリを全部更新し終わる前に攻撃が来る」というシナリオが、もう絵空事ではありません。私が今回徹夜した理由もそこにあります。全部終わるまで、心が休まらなかったのです。
なぜAWSに移管するのか
そのリスクを踏まえて、3 つの理由で AWS への移管を決めました。
理由1:ミドルウェアのメンテナンスをAWSに任せられる
VPS での運用は、nginx に限らず、ミドルウェアの更新をすべて自分でやる必要があります。それがどれだけの手間か、今回身をもって体験しました。
一方、AWS のマネージドサービス(ALB や ECS、CloudFront など)では、ミドルウェアのパッチ適用は AWS 側の責任です。ロードバランサー内部の nginx に脆弱性があれば、AWS が更新してくれます。私が徹夜する必要はなくなりますよね。
小規模案件ではコスト重視の VPS で十分、というのがこれまでの考えでした。でも今回みたいな事件が起きたとき、対応コストまで含めると話が変わってきます。「安い」の基準が変わるのです。
理由2:優秀な人材を「攻め」に使える
AI 時代の競争は、シンプルに言うとこういうことだと思っています。
攻撃力の高い人材を、いかに攻め(プロダクト開発)に回せるかが勝負になる。
超優秀なエンジニアに、ミドルウェアの脆弱性対応を深夜までやらせるのはもったいないですよね。その時間があれば、新機能を作れます。競合に差をつけられます。
AWS の移管で守りを任せてしまえば、空いたリソースをまるまるプロダクトに向けられます。インフラの保守に縛られないことが、AI 時代の競争力に直結するのです。
理由3:パフォーマンスが段違い
実際に試してみて驚きました。WEB サイトを AWS の CloudFront に乗せるだけで、ページの表示速度が格段に速くなったのです。
ページの表示速度は、初期離脱率に直結する重要な要素です。コンテンツの中身より先に、速さで勝負が決まってしまいます。ここで遅れを取ると、せっかくの記事や商品も読まれないままです。
コスト面では VPS 程度の案件でも、セキュリティとパフォーマンスを総合的に見ると、AWS は十分に選択肢に入ります。
まとめ
というわけで、手持ちの WEB アプリを AWS に移管しているよ!って話でした!
あ。正確には、守りをクラウドに任せて、攻めに集中しよう って感じですねっ。
AI 時代は、攻撃の速度がどんどん上がっていきます。その中でプロとして戦うには、守りに時間を取られないことが大切です。AWS のマネージドサービスに守りを任せて、優秀な人材が本来発揮すべき力を攻めに使う。それが今の時代の正しいリソース配分だと思っています。
ぜひみなさんも、インフラの保守から解放される選択を考えてみてください!