Nginx 逆プロキシと
SSL・セキュリティ対策
"インターネットは美しくも残酷な場所です。公開するということは、同時に攻撃に晒されるということ。Nginxはその最前線で戦う『盾』になります。"
1. 逆プロキシ:APIを世界から隠す技術
DjangoやNext.jsのポートを直接一般公開するのは極めて危険です。 私たちはNginxを**「逆プロキシ(Reverse Proxy)」**として配置し、外部からのアクセスを一手に引き受ける窓口としました。 Nginxが交通整理を行い、フロントのリクエストはNext.jsへ、データの問い合わせはDjangoへと、安全にルーティングします。
Security Fact
公開ポートは80(HTTP)と443(HTTPS)のみ。内部のコンテナ間通信はDockerネットワーク内に閉じ込めることで、外部からの不正なDBアクセスや管理画面への直接侵入を物理的に遮断します。
2. 独自ドメインとSSL(HTTPS)化の徹底
BICSTATIONというブランドを確立するために、独自ドメインの運用は必須です。 Let's EncryptとCertbotを導入し、証明書の更新を完全自動化。 「保護されていない通信」という警告は、ユーザーの信頼だけでなく、Googleの検索評価(SEO)にも悪影響を及ぼします。HTTPS化は現代のWeb開発において、守るべき最低限の嗜みです。
3. セキュリティ・ハードニング(要塞化)
単に公開するだけでなく、攻撃を「いなす」設定も施しました。 NginxによるDDoS対策のレート制限、機密情報を隠蔽するHTTPヘッダーの付与、そして不要なメソッド(TRACEなど)の拒否。 これら一つ一つの積み重ねが、365万件の巨大なプラットフォームを24時間365日、平穏に保つための基盤となります。
- ✔HSTS: 常時HTTPS接続を強制し、中間者攻撃を防止。
- ✔CORS Settings: 信頼できるオリジン以外からのAPI利用を制限。
- ✔Firewall (UFW/ip-tables): サーバーレベルでの不要ポートの徹底閉鎖。
次回、ついに最終章:運用とマネタイズ
技術の城は完成しました。あとはこの城をどう動かし、どう成長させていくか。 第10回は**最終章:運用とマネタイズ編**。 Google AdSenseの突破、エンジニアとしての知見を収益に変えるサイクル、そして「個人プラットフォーム」を持つことの真の意味を語ります。