00:00:004月19日に発生したVercelのセキュリティインシデントについて、おそらく耳にしたり読んだりしたことがあるでしょう。
00:00:07今回のエピソードはそのインシデント自体についてではありません。詳細を知りたい方は、
00:00:13下にリンクを貼っておきますので、公式の速報記事を確認してください。そうではなく、今回はある一つの主張に注目したいと思います。
00:00:20このインシデントの後、Xやその他のプラットフォームで見かけたある考え方です。
00:00:27それは、もうVercelを使うのはやめて、VPSに移行してWebアプリをホスティングするべきだという主張です。
00:00:34もちろん、Vercelの代わりに他のマネージドホスティングサービス名を当てはめても同じことです。
00:00:41結局のところ、それらにはすべて共通のメリットとデメリットがあるからです。
00:00:48では、いよいよマネージドサービスをやめてVPSを使うべき時が来たのでしょうか?
00:00:54VPSを使うべき正当な理由はたくさんあると思いますが、セキュリティはその理由にはなりません。間違いなく、
00:01:01理由の一つにはなりません。私が「絶対にVPSに移行すべきだ」と言えば、話は簡単です。
00:01:08実はちょうど「VPSエッセンシャル」というコースを公開したばかりだからです。そのコースでは、
00:01:15VPSの利用開始から設定、SSHの強化、Webアプリの実行までを扱っています。
00:01:20当然ながら、そのコースはインシデントが発生する前に制作しました。単なる
00:01:26偶然です。今なら自信を持って「VPSを使って、私のコースを受講してください」と言えます。
00:01:32コースを受講してほしいのは本音ですが、セキュリティを理由にVPSを使ってほしいわけではありません。
00:01:38VPSを使うべき理由は他にもあります。それについては後ほど触れますが、セキュリティは理由になりません。
00:01:42なぜなら、セキュリティというのはご存知の通り、
00:01:48複雑なトピックだからです。VPSを使う場合、問題の要因になるのはあなた自身です。Vercelのようなマネージド
00:01:58サービスを使う場合、今回のVercelのインシデントでは従業員が
00:02:05問題の原因でした。あえてそう呼ぶならですが、本当の問題は当然ながら、
00:02:09Vercel内部の仕組みや、一部の侵害された
00:02:18ユーザーアカウントや従業員アカウントが、システム全体にどれほど容易に影響を及ぼし得るかという点でした。それが本質的な問題です。
00:02:23つまり、あなたはプロバイダーが実装するセキュリティ対策に依存しているということです。
00:02:30例えばVercelの対策などですね。しかし、VPSを使っている場合は、すべて自分次第です。
00:02:38正直に言えば、セキュリティは複雑なテーマです。先ほどのコースでは、
00:02:46VPSを適切に設定し、SSH経由で他人が接続できないように強化する方法を紹介しています。これは
00:02:54重要なステップの一つです。また、パッケージの自動アップグレードを確実に行い、
00:03:00VPS上のソフトウェアを最新の状態に保つ方法も説明しています。自動化できる範囲でですが、
00:03:07もちろんセキュリティはそれだけでは終わりません。例えば、
00:03:12昨年あったReactサーバーコンポーネントの脆弱性のような攻撃です。こうした脆弱性は、
00:03:18攻撃者があなたのマシンを乗っ取り、コントロールしたり、
00:03:25マシン上でコードを実行したりすることを可能にします。これに対する唯一の防御策は、ReactやNext.jsの修正パッチがリリースされたら
00:03:32すぐにパッケージを更新することです。もちろん、
00:03:39これはほんの一例に過ぎません。Webアプリケーションには多くの構成要素があり、
00:03:44Webアプリケーションを動かすシステム全般において、脆弱性になり得る場所や、
00:03:49脆弱性が発見される可能性のある場所は無数にあります。もしVercelを使っていれば、
00:03:58脆弱性が発見されるやいなや、彼らが自動的な
00:04:06対策を講じてくれます。Webアプリケーションファイアウォールサービスを通じた保護によって、
00:04:12攻撃を防ぐ助けになる可能性があります。これで完全に保護される保証はありませんが、追加の層、つまり
00:04:17付加的な防御になります。Vercelを使っていれば、何もせずともこうした特定の攻撃に対してある程度の保護を得られるのです。
00:04:24もちろん、他のプロバイダーでも同様かもしれません。どちらかといえば、セキュリティはマネージドサービスを使う方が
00:04:31簡単だと言えます。もちろんVercelも完璧ではなく、
00:04:394月の今回のような攻撃は起こり得ます。しかし、VPSの場合はすべてがあなたの責任です。
00:04:47それには当然、デメリットがあります。とはいえ、もちろんVPSを使うべき理由も存在します。
00:04:56それらは今回のセキュリティインシデント以前から存在していた理由であり、セキュリティとは無関係なものです。
00:05:02その大きな理由の一つは、当然「コスト」です。VPSは非常にコスト効率が良いのです。
00:05:10HetznerのVPSを月額数ドルで借りれば、毎月かかるのはその
00:05:16金額だけだとわかっています。一方、Vercelのようなマネージドプロバイダーでは、料金システムが
00:05:24複雑になることがあり、予想外のコストが発生する可能性があります。SNSでも、予想より
00:05:34はるかに高い請求が来たという投稿をよく見かけます。ほぼ間違いなくユーザー側の不注意ですが、
00:05:39ある程度は、プロバイダー側がわざと複雑にしているせいでもあります。
00:05:46彼らにはもちろん、システムを複雑にする動機があるからです。ただ一方で、
00:05:52顧客を満足させる動機も当然あるので、話はそう単純ではありません。単純に「悪い奴ら」と「良い奴ら」に分かれるわけではありません。
00:05:57しかし、VPSを使えば、確実に非常にコスト効率よく運用でき、
00:06:03支払う金額が明確なのは素晴らしいことです。マネージドプロバイダーでは数十ドル、場合によっては数百ドルかかるような
00:06:11Webアプリケーションでも、
00:06:17VPSを使えば20ドル程度で動かせる可能性は十分にあります。
00:06:24これが、マネージドプロバイダーよりもVPSを選ぶ最大のメリットであり、最も重要な
00:06:31理由だと言えるでしょう。これは新しい話ではありませんが、セキュリティではなく
00:06:36本来注目すべきなのはこの点です。むしろ、VPSを利用するとセキュリティが
00:06:41すべて自分の責任になり、独自の課題が伴うことを自覚しておく必要があります。マスターすることは可能ですが、
00:06:48それは課題です。VPSのもう一つのメリットはもちろん「柔軟性」です。
00:06:57VPSはただのコンピュータなので、実質的に何でもできます。ただのコンピュータ、単なるマシンであり、一般的に
00:07:06Linuxが動作しています。他のオペレーティングシステムを搭載したVPSを借りることもできますが、Linuxが標準であり、
00:07:11私のコースでもそれを使っています。そのシステム上には、好きなものを何でもインストールできますし、
00:07:17何でも実行できます。ほとんどの場合において。一部のプロバイダーはメール関連の特定のポートをブロックしますが、
00:07:22通常のワークフローやアプリケーションに関しては、本当に何でも実行可能です。
00:07:28新しいユーザーを作成することも、自由に設定することもできます。実質的に、あなたの部屋にある
00:07:33コンピュータと何ら変わりません。もちろん、マネージドプロバイダーでは、
00:07:40プロバイダーがサポートしているものに制限されます。良い例を挙げると、Vercelは、
00:07:46例えばSQLiteをサポートしていません。Vercelでは使えませんが、他の
00:07:55ストレージソリューションは提供されています。SQLiteはVercelでサポートされていません。そのため、Webアプリケーションを構築していて、
00:08:01データベースとしてSQLiteを使いたい場合、これは多くのWebアプリケーションにとって素晴らしい選択肢ですが、
00:08:05単なる開発用のおもちゃではありません。本番環境でも使える、使いやすく、セットアップも容易で、
00:08:11管理もしやすい、全体として非常に優れたデータベースソリューションですが、
00:08:18ローカルマシンで動かしてそのままVercelにデプロイすることはできません。単純に無理なのです。ところが、
00:08:24VPSを使えば動作します。これこそ、私がコースで使っている例の一つです。
00:08:29SQLiteを使うデモアプリケーションを構築しましたが、それをそのままVPSに置いて実行すれば
00:08:36すぐに動きます。つまり、はるかに高い柔軟性があるのです。繰り返しになりますが、デメリットは
00:08:43Linuxの使い方などを学ぶ意欲が必要になる点です。もちろん、
00:08:51AIがそれを助けてくれます。AIアシスタントの助けを借りれば、
00:08:56昔よりも遥かに簡単になったと私は感じていますが、それでも飛び込んで学ぶ意欲は不可欠です。
00:09:01マネージドプロバイダーなら、通常はGitHubにアプリケーションをプッシュするだけで、
00:09:09すべてが適切に設定されていれば、最新バージョンが自動的にデプロイされ、何も心配する必要はありません。
00:09:13古いバージョンへのロールバックも簡単です。簡単なのです。それがメリットですが、
00:09:19その代償として自由度が制限されます。VPSには大きな柔軟性がありますが、その代償は
00:09:25複雑さであり、それを理解して適切に設定するために、
00:09:31技術的な知識を得ようとする意欲が必要だということです。常にトレードオフなのです。
00:09:38しかし、ここで非常に強調したいのは、AIが大きな助けになるということです。単に、
00:09:45コードを生成するだけでなく、VPSの設定、
00:09:51Linuxコマンドの理解、これら複雑なLinuxコマンドチェーンの構築を助けてくれます。複雑なコマンドを
00:10:00パイプで繋いで別のコマンドに出力するような作業ですね。まさに、その部分で私は
00:10:07VPSの利用が、ずっと、ずっと楽になると感じています。だからこそ、Webアプリケーションのホスティングや、
00:10:14特定のワークフロー、あるいはOpenClawのようなAIエージェントを実行するためにVPSを使うのは、
00:10:20多くの状況で素晴らしいアイデアだと思います。単に代償として、
00:10:25少しの複雑さと、仕組みを学び設定しようとする意欲が必要になるだけです。
00:10:32マネージドプロバイダーは素晴らしい選択肢です。手軽さを求めるなら、その分のコストを支払えばいい。人生の常ですね、
00:10:37手軽さには通常お金がかかりますが、そうですね、よりシンプルなのは確かです。セキュリティ
00:10:45を重視するなら、マネージドプロバイダーを選んでください。VPSを使ったからといって、より簡単になったり、より
00:10:51安全になったりするわけではありません。