「Googleに依存し過ぎると中小企業は簡単に死んでしまう」という主張

GmailやGoogle Cloud、Google広告など、Googleは便利なサービスを数多く提供しており、SaaSのスタートアップをはじめ、さまざまな中小企業がGoogleのサービスに依存しています。しかし、こうしたGoogleのサービスに依存し過ぎた結果、「Googleの検索結果から排除されてしまった」「AndroidアプリがGoogle Playストアから削除され、サービスがユーザーの元に届かなくなってしまった」「APIの価格が大幅に変更された、あるいは単に廃止されて消えてしまった」などの報告が後を絶ちません。Googleのサービスに依存した企業がGoogleの突然の方針転換により存続の危機に陥ったケースについて、企業向けにITサービスの運営やサポートを行う企業・Invgateの創設者でITアドバイザーでもあるゴンザロ・セインツ・トレパーガ氏が解説しています。

A fresh new avenue for Google to kill your SaaS startup | Gonzalo Sainz-Trápaga | Medium
https://gomox.medium.com/google-safe-browsing-can-kill-your-startup-7d73c474b98d

サイトやサービスのドメインがGoogleセーフブラウジングによってブラックリストに登録されてしまうと、記事作成時点でブラウザ市場シェア63％以上のGoogle Chromeからはアクセスが遮断されてしまう上に、Googleの検索結果からも排除されてしまい、トラフィックは激減してしまいます。さらに、URLを直接入力してアクセスしようとしても「このサイトは詐欺サイトの疑いがあります」「サイトにマルウェアが仕込まれている可能性があります」というような警告メッセージが赤い背景で表示されます。

トレパーガ氏が運営する、企業向けにITサービスの運営やサポートを行う企業・Invgateでも、担当している会社のサイトがGoogleセーフブラウジングから警告を受けたケースがあったとのこと。調査の結果、CSSやJavaScriptなどの静的アセットを提供するためにコンテンツデリバリネットワーク(CDN)として使われていたAmazon CloudFrontのURLがブラックリストに登録されてしまっていたことが判明。

しかし、そもそもどういう理由でGoogleセーフブラウジングのブラックリストに認定されたのかを調べても、サイトに関するGoogleのレポートには「このページはユーザーをだまして、不要なソフトウェアのインストールや個人情報の漏えいなどの危険を冒させようとしています」としか書かれておらず、具体的な原因は不明。

Invgateの対策チームは、「問題は解決しました、詳細な情報を教えてください」というメッセージと共に、サイトのレビューをリクエストしました。

そして、レビューリクエストからおよそ1時間後、顧客のサイトに新しいCDNを設定し、新しいドメインに移動する作業を行っているところで、Googleセーフブラウジングのブラックリストから顧客のサイトが削除されたとのこと。さらに2時間後、サイトのレビューが無事終わったことを告げる自動送信メールが届きましたが、何が原因でCDNのURLがブラックリストに登録されてしまったのかは不明のままでした。

こうした事例から、トレパーガ氏は以下の4つの教訓を得たと述べています。

◆1：サービスごとにサブドメインを設けてリスクを分散させる
トレパーガ氏によれば、Googleセーフブラウジングはドメイン全体、あるいはサブドメインごとにフラグ付けを行うとのこと。そのため、例えばウェブサイトの場合はcompany.com、アプリケーションの場合はapp.company.com、ヨーロッパの顧客向けの場合はeucdn.company.com、アメリカ東海岸の顧客向けの場合はuseastcdn.company.netなど、複数のドメインに分散させることで、影響が軽減されます。

◆2：顧客の持ち込んだデータをメインドメインにホストしない。あるいは勝手にサーバーにアップロードさせない
Invgateによる調査の結果、Googleセーフブラウジングのブラックリストに登録されたケースの多くが「顧客が悪意のあるファイルを、知らずにサーバーに上げたこと」が原因だったそうです。悪意のあるファイル自体はシステムに影響を及ぼさないものの、その存在によってドメイン全体がブラックリストに登録される可能性もあります。

◆3：Google Search Consoleでサイトの所有権を確認し、積極的に主張する
サイトがブラックリストに登録されることを防ぐことができるわけではありませんが、問題が発生したときにメールが確実に届き、問題に迅速に対応できるようになるとのこと。

◆4：代替となるドメインを用意し、すぐに切り替えられるよう準備をする
参照されるサービスドメイン名を簡単に変更できるようにシステムを設計し、利用可能な代替ドメインを待機させておきます。たとえば、eucdn.company2.netをeucdn.company.netのCNAMEに定義しておき、いざという時にはツールを使用して代替ドメインからアセットを読み込むようにアプリの構成を更新できるようにするわけです。

また、トレパーガ氏はSaaSのアプリやウェブサイトがGoogleセーフブラウジングによって登録されてしまった場合の対処法として、「アプリを別のドメイン名に迅速に切り替える」「Google Search Consoleのレポートを確認する」「サイトがハッキングされている場合は修正した後、セキュリティレビューをリクエストする」「レビューには数週間かかる場合があるので、とにかく新しいドメインへの移行に取り掛かる」といった対処法を紹介しています。

トレパーガ氏は「自社サービスを自動化した巨大企業のGoogleは、巨大なサイズの椅子に座り、自分の尻の位置を微調整する時に、うっかりアリのように小さな企業を潰してしまいます。アリのように小さい企業は必死に自分たちが潰されていることをGoogleに知らせようとしますが、彼らはGoogleの自動化されたサポート窓口にしかたどり着けないのです」と述べています。

もちろん、小さな企業のCEOがGoogleの幹部と大学の同級生だったり、CTO(最高技術責任者)がMediumに投稿した記事がネットで話題になったりすることで、Googleが小さな企業の訴えに気づいて解決するように努めることもあります。しかし、トレパーガ氏は、「Googleのサービスに過度に依存するようなビジネスを可能な限り構築すべきではありません」と主張し、「Googleという壁に囲まれた庭に依存しないようにサービスやサイトを管理すれば、おそらく小さい企業でも生き残ることができるでしょう」と述べました。