オープンソースのWebサーバーとして今や一番人気(と思われる)NGINXを作っているNGINX社が、その商用バージョンNGINX Plusの最新バージョンR10を、今日(米国時間8/24)ローンチした。オープンソース企業によくあるやり方として、NGINXもコアプロダクトを無料で提供し、より高度な機能やサービスには(Plusの形で)課金している。
今日はNGINX Plusの10回目のメジャーアップデートとなる日で、同社のCMO Peter Guagentiと同じくマーケティング担当のFaisal Memonによると、このリリースではもっぱら、新しいセキュリティ機能の導入に注力された。“昨年は大企業顧客からのフィードバックに対応する作業を一貫して続けてきたが、R10はその努力の究極の到達点だ”、とGuagentiは語る。彼によると、しかし今回の努力も、NGINXの長年のセキュリティへの取り組みの歴史に支えられてのみ、存在しえる。その一例が、DDoS攻撃対策だ、という。
しかし今回NGINXは、広く使われているオープンソースのWebアプリケーションファイヤーウォール(WAF)ModSecurityを統合した。これにより有料ユーザーには、IPをブラックリストしたり、アプリケーションを保護するためにアプリケーション固有のルールを設けたりする高度なセキュリティツールが提供される。
Memonによると、他のツールも検討した結果ModSecurityに落ち着いたのは、メンテナンスが継続的に活発に行われていることと、既存の顧客の多くがすでにそれをよく知っているからだった。
ModSecurityのサポートは、これまでのNGINX Plusの料金に加えて、年間2000ドルの新たな課金を発生させる。
このリリースのそのほかの新しい機能としては、JSON Web Tokensと、ECCとRSAによるデュアルスタック証明のサポートがある。どちらもたいへん地味な印象だが、でもたとえば、トークンのサポートによりシングルサインオンの実装が容易になり、ECC証明は公開鍵暗号方式のRSAに次ぐ次世代スタンダードだ。しかしレガシーアプリケーションのサポートを提供するためには、このようなデュアルスタックのソリューション(古いRSAも使えること)が依然として必要になる。
またNGINX Plus R10で初めて、nginScriptのプレビューが商用ユーザーに提供される。これは同社独自の、JavaScriptベースの構成およびコントロールサービスだ。アドミンがJavaScriptを使えるので、たとえば静的な構成だけでなく、プログラム的な構成の記述も可能だ(条件、期日、等々)。