例えば、ファイアウォール、ロードバランサー（負荷分散装置）、IDS/IPS（侵入検知システム／侵入防御システム）、WAF（Webアプリケーション・ファイアウォール）などのセキュリティ機器の多くは、仮想サーバー環境に対応していませんし、対応しているものでも実績はほとんどありません。つまりサーバーをセキュリティ機器で守るというこれまでの常識が通じないのです。

仮想サーバーの事業者は、競うように「稼働率保証」をうたっています。例えば、その仮想サーバーが一定時間障害で利用できなかった場合に、決められた条件で返金が行われるというものです。しかし、ユーザーが望むのは、返金ではなく「本当に落ちないこと」なのです。業者選定において保証されている稼働率が0.01％多いからといって、その業者を選ぶ理由にしてはいけないということなのです。
こうしたことから、現在の仮想サーバーは、静的なコンテンツがメインのキャンペーンサイトや、大量のメールを配信する時にだけ立ち上げる期間限定のサイト構築などに適していると言えるでしょう。一方で、顧客情報を扱うようなサイトで、かつ、できる限り無停止の運用をしなければならない場合には、まだ対応が不十分なことが少なくありません。
このように、仮想サーバーで本格的なシステムを稼働させようとした場合には、相応の技術力とチャレンジ精神が欠かせません。もちろん、このチャレンジによって多くのノウハウを得ることができることも事実ですので、受容するリスクを十分に認識しながら利用することが求められます。

仮想環境では通じないこれまでのセキュリティの常識 | 日経 xTECH（クロステック）