拡張ワンクリックブロックルール
Tor、VPN、匿名化サービス、低評価のデータセンターなど、一般的な悪性ソースからのトラフィックをボタンひとつでブロックできます。
セキュリティは標準装備。アップグレードではありません。
すべての Ironstar サブスクリプションには、エンタープライズ向けセキュリティ管理策の最小セットが標準で含まれています。オリジン秘匿、Web アプリケーションファイアウォール、エンドポイント保護、アクティブなマルウェア・ウイルス対策、Drupal Steward による仮想 0-day パッチなどを追加費用なしで提供します。すべての Drupal サイトにこれらの保護が必要だと考えているため、高額なアドオンとして隠すことはありません。
2023年から認証取得
オーストラリアの HCF プログラムに参加する唯一の Drupal マネージドホスティング事業者。
Hosting Certification Framework(HCF)は、政府データを保持する事業者に対してオーストラリア政府が求める必須基準です。内務省が運用し、Protective Security Policy Framework と Information Security Manual を支えています。
重要なのは、HCF が ISO 27001 や SOC 2 の審査範囲を超えていることです。所有構造、主権、サプライチェーン、運用統制など、政府がデータを預ける際に重視する領域まで評価します。
Hosting Certification Framework が監査する内容
所有と統制
Ironstar を最終的に所有・統制しているのは誰か。実質的所有者、取締役会構成、外国法域からの影響可能性を確認します。
データ主権
プライマリ、レプリカ、バックアップ、ログ、監視テレメトリなど、あらゆる段階でデータが物理的にどこに存在するかを確認します。データはオーストラリア国内に留まり、非対称ルーティングは認められません。
サプライチェーン
すべての再委託先、ソフトウェアベンダー、インフラパートナーについて、所有者、管轄、運用上の依存関係を審査します。隠れた海外依存は認められません。
運用統制
人員審査、セキュリティインシデント対応、変更管理、事業者の所有・運用が重大に変わった場合の契約上の違約金まで対象になります。
このプログラムに参加する事業者が少ない理由。
認証には通常 3〜6 か月の審査に加え、数か月の準備が必要です。連邦政府との Deed of Certification が求められ、政府のリスク姿勢に影響し得る変更を継続的に開示する義務も負います。多くのマネージドホスティング事業者、特に Drupal のような専門スタックを扱う事業者は、このプロセスを開始すらしません。
Ironstar は 2023 年に HCF へ参加し、それ以降継続して認証を維持しています。監査とその義務は、私たちのプラットフォーム運用そのものを形づくっています。単なるスライド上のロゴではありません。
HCF における Ironstar
2023
初回認証年
唯一
HCF プログラム内の Drupal マネージドホスティング事業者
年次申告は期限内に提出済み。関連する不利益変更の報告なし。所有・統制構造に変更なし。
HCF はオーストラリア内務省が運用し、Protective Security Policy Framework と Information Security Manual を支えています。政府のお客様は、公式 HCF 登録簿で Ironstar の認証状況を確認できます。
6つのレイヤー。すべてのサイト。すべてのプラン。
すべてのお客様に対して多層防御のセキュリティアプローチを採用しています。Drupal ホスティングプラットフォームとして最も堅牢な初期状態を提供するため、最小限必要な管理策を標準で備えています。
01
エッジ
DDoS ネットワーク保護 · 悪性ネットワークのブロック · ジオフェンシング
02
アプリケーションファイアウォール
OWASP Core Rule Set WAF · XSS / SQL インジェクション対策 · レート制限
03
ボット管理
JA4 フィンガープリント · クレデンシャルスタッフィング防御 · フォームスパム軽減
04
Drupal Steward
Drupal Security Team からの事前 WAF ルール · 発表前に重大な core CVE を緩和
05
ランタイム
すべてのコンテナに EDR · イミュータブルな読み取り専用環境 · テナントごとのネットワーク分離
06
データ
保存時・転送時の暗号化 · テナントごとの分離 · オフサイト保管を伴うアウトオブバンドバックアップ
Web アプリケーションファイアウォールを任意にすべきではありません
WAF なしで Drupal サイトを公開するのは、エアバッグなしで車を運転するようなものです。本来許されるべきではありません。Ironstar は、十分な機能を備えた WAF をすべてのサブスクリプションに追加費用なしで標準搭載しています。
常時有効
すべてのサブスクリプションには、既知の悪性パターンに基づいてトラフィックを拒否する Web Application Firewall ルールセットが組み込まれています。
さらに、すべての Drupal サイトは Drupal Steward によって保護されます。Drupal Security Team が重大な core 脆弱性を特定すると、公開前に Steward パートナーへ禁輸付き WAF ルールが提供されます。Ironstar はそれをすべての環境へ展開します。
悪性ネットワーク
自動ブロック
悪性ボットや攻撃者をホストすることで知られるネットワークは、常にサイト到達前に遮断されます。
DDoS 保護
組み込みの L3/L4 ネットワーク保護
分散型サービス妨害攻撃は自動検知され、サーバー容量を浪費する前に防止されます。
悪性リクエスト
XSS、SQL インジェクション、バックドア、攻撃ツール
既知パターンに一致する個別の悪性リクエストは自動的に拒否され、該当ネットワークもブロックされます。
拡張 WAF 機能
追加の保護が必要なお客様は、組み込み保護に加えて、高度なボット管理やその他のアプリケーション保護を WAF に追加できます。
レイヤー7 DDoS 保護
アプリケーションレイヤー(Layer 7)の攻撃まで含めて、サイトの DDoS 保護を拡張できます。
クライアントチャレンジ
疑わしいブラウザーに小さな計算チャレンジを課し、キャッシュされていないコンテンツへのボットアクセスをふるい分けます。CAPTCHA で利用者を煩わせることなく、悪用トラフィックを効果的に抑制します。
疑わしいユーザーへのチャレンジ
一部のボットは制限を回避するため、人間のように見せかけます。Ironstar の WAF はこうした偽装を検出し、必要に応じて人間であることの確認を求められます。
AI ボット管理
AI ボットやクローラーがサイトを閲覧することをブロックできます。また、軽量な Markdown ファイルなど承認済みパスだけにアクセスを限定することも可能です。
ジオフェンシング
アクセスを許可する国のリストを定義し、それ以外からのトラフィックをブロックできます。Google、Bing などの正当なボットは必要に応じて許可できます。
WAF またはエッジでブロック
悪性トラフィックをサイトから完全に遮断するか、キャッシュ済みコンテンツのみアクセスを許可して Web サーバーへの到達を防ぐかを選べます。発見可能性とサーバー保護のバランスを取りたい場合に有効です。
高度なレート制限ルール
クレデンシャルスタッフィング、フォームスパム、ビューの連打、パスワードリセット洪水、検索機能の悪用などを、オプションのクライアントチャレンジ付きワンクリックレート制限ルールで防止します。
不要なトラフィックに料金を払わない
現在、Web トラフィックの 60% 以上は自動化されています。スクレイパー、クレデンシャルテスター、エクスプロイトスキャナー、AI 学習用クローラー、コンテンツ収集ボットなどです。コンテンツを収集されたくない場合でも、それらのボットに応答するための費用を負担していることになります。
Ironstar では、ボットをブロックまたはチャレンジするための大きな制御権を提供し、拒否したトラフィックには課金しません。
Ironstar のお客様が支払うのは、受け入れたリクエスト分だけです。
一般的な Web トラフィック構成
セキュリティ
クレデンシャルスタッフィング、エクスプロイトスキャナー、スクレイパーをエッジで遮断。
パフォーマンス
訪問者が発生させていないリクエストにオリジン計算資源を使いません。
ジオフェンシング
アクセス国を指定できます。対象市場の人間のアクセスと、信頼できる検索ボットだけが、どの国からでもサイトへ到達できます。
ASN と IP レピュテーション
既知のスクレイピングファーム、住宅用プロキシ網、悪用されるクラウドレンジからのトラフィックをブロックします。継続的に更新されます。
行動ヒューリスティクス
JA4 フィンガープリント、ヘッダー異常、アクセス間隔、クリックストリーム信号などのリクエストパターンから自動化を検出します。
信頼ボットの許可リスト
Google、Bing、Meta などの確認済みで信頼できるクローラーは、国を問わず許可されます。User-Agent の自己申告ではなく、実体を検証します。
お問い合わせ
営業担当ではなく、セキュリティチームに直接ご相談ください。質問票への回答、調達会議への参加、NDA のもとでのプラットフォーム資料提供に対応します。