レンタルサーバとはホームページやWebサービスを提供するためのWebサーバやデータベースサーバを貸し出すサービスのことです。
物理的なサーバを自分で用意して運用するためには、高い購入費用や管理費用がかかり、またサーバを設置するための所有スペースなども必要となります。しかし、自分ではサーバを持たずに、専用の業者からレンタルすることで、コストを最小限に抑えながら、ホームページの運用やWebサービスの提供を行えるようになります。
国内にはレンタルサーバを提供しているホスティング会社はいくつもあり、機能やプランによって料金も様々です。レンタルサーバは手軽に使えるようになりましたが、レンタルサーバにもセキュリティ対策は必要不可欠です。今回はレンタルサーバに必要なセキュリティ対策についていくつか紹介します。
この記事の目次
レンタルサーバのセキュリティ対策とは
レンタルサーバに対するセキュリティ対策はいくつかの種類があり、対策の目的や場所によって様々です。そこで主要なレンタルサーバ会社が提供しているセキュリティ対策について6つ紹介します。
1.SSL
SSLとは「Secure Sockets Layer」の略語です。ネットワーク上を流れるデータを暗号化することで、データの盗聴や改ざんを防ぐことができる技術のことです。ホームページにあるお問い合わせフォームや、ネットショップのカート機能など、個人情報やお金に関するやり取りが必要なページによく取り入れられています。
ブラウザに表示されているURLが「https://~」から始まっているホームページはSSLに対応しています。しかし「http://~」から始まっているホームページはSSLに対応していないため、通信が暗号化されていません。
2018年7月よりGoogle ChromeではSSLに非対応のホームページに対して、アドレス欄に「保護されていない通信」という文言を表示させるようになりました。
さらにGoogleではホームページのSSL対応状況を検索結果のランキングに反映させると明言しています。具体的にどれくらい影響するか、わかりませんが、セキュリティ対策だけでなくSEOの観点からもSSL対応が重要になってくるのは間違いありません。
これからレンタルサーバを使いたいという方は、SSLに対応したホームページの構築ができるかどうか、確認することをおすすめします。
2.ファイアウォール
ファイアウォールとはネットワークとネットワークの間で不正なアクセスや攻撃を遮断するためのシステムのことをいいます。
レンタルサーバにおけるファイアウォールの役割として、FTPやSSHなどサーバにアクセスするためのプロトコルに対して、予め設定されたIPアドレスやポート番号のみに制限するといった機能があげられます。これにより、許可されていないIPアドレスやポート番号からの通信を防ぐことが可能です。
しかし、ファイアウォールだけでは、通信が許可されたポート番号に対する攻撃には効果がありません。そこでWAFやIDS/IPSのような別の方法で対策を取ることが必要です。
3.WAF
WAFとは「Web Application Firewall」の略称です。Webアプリケーションに存在する脆弱性を悪用した攻撃からホームページを守るためのシステムです。
WAFが普及する前は、Webアプリケーションに対するセキュリティ対策として、セキュアプログラミングと呼ばれる開発手法が主流でした。しかし、セキュアプログラミングによる開発では、エンジニアに高い技術力が求められ、複数人での開発においては、開発者全員が同等のスキルを持ち合わせていることが前提でした。
Webアプリケーションの開発が人の手で行われている以上、脆弱性を完全になくすことはできません。つまり脆弱性を全てをセキュアプログラミングのみで解決するのは現実的ではありません。そこでWebサーバにWAFを導入して、Webアプリケーションに対する不正な攻撃をリアルタイムで監視する方法が普及していきました。
WAFを導入することで、Webアプリケーションに対する「SQLインジェクション」「クロスサイトスクリプティング」「OSコマンドインジェクション」のような不正な攻撃から防御することができます。
主要なレンタルサーバでは管理画面にてWAFを有効にできるものもあります。必要に応じてWAFを有効にすることをおすすめします。
4.IDS/IPS
IDSとはIntrusion Detection Systemの略称です。日本語では不正侵入検知システムと呼ばれます。レンタルサーバへの不正な通信を監視し、もし異常があった場合は管理者へと通知します。
IDSにはネットワーク型IDSとホスト型IDSの2つのタイプに分けられます。
ネットワーク型IDSではネットワーク上を流れるパケットを監視することで、不正な侵入や攻撃を検知します。一方、ホスト型IDSは監視対象のサーバにインストールすることで設置します。サーバへ記録されたログや受信データを監視し、不正な侵入の検知だけでなく、ファイルの改ざんにも対応できるものがあります。
IPSとは「Intrusion Prevention System」の略称です。日本語では不正侵入防止システムと呼ばれます。IDSとは違う点は、異常な通信があった場合、管理者に通知するだけでなく、通信をブロックするところまで行う点です。
IDSを使用するかIPSを使用するかは使用の目的やコストによって変わってきます。システムを運用する方法によって、それぞれを適材適所で選択することが重要です。
5.Web改ざん検知
Web改ざん検知とは、レンタルサーバにあるコンテンツが改ざんされてないか常時監視するサービスの事です。もし改ざんされていたら、登録されている連絡先に通知します。
近年のWeb改ざんは見た目を変えない改ざんが多く、目視による改ざん監視は困難です。そのためWebサーバのOS上での監視や、別のサーバからのリモートによる監視が主流となっています。また、改ざん検知の手法として、以下の4つの方法があります。
パターンマッチ型(ソース解析型)
過去の事例に基づき不正ファイルパターンを登録しておき、それとマッチすることで改ざんと見なす方法です。未知の攻撃には対応できず、画像ファイルや未対応のファイル形式は監視対象外です。
振る舞い分析型
仮想PCから監視対象のWebページへアクセスして、不正な振る舞いがあればそれを検知します。不正な振る舞いがあることは検知できますが、どのファイルが改ざんされたのかはわかりません。
ハッシュリスト比較型
監視対象のWebサーバにあるファイルを定期的にハッシュ計算し、前回のハッシュと比較します。一定時間の間に変化したファイルを特定することで改ざんされたファイルを検出します。
原本比較型
原本のファイルを監視サーバに保管しておき、定期的に監視対象のWebサーバのファイルとの差分を比較します。差分があった場合に改ざんが行われたと判定します。通常の更新では、原本と監視対象のWebサーバにあるファイルの両方を同時に更新することで、改ざんと意図的な更新の区別をします。
6.WordPressの修正パッチ適用
多くのWebサイトで導入されているWordPressの修正パッチを適応することも重要です。
WordPressは世界中で使われているCMSであり攻撃対象として狙われやすいシステムです。修正パッチの適用対象は「WordPress本体」「プラグイン」「テーマ」の3つです。公式からリリースされているファイルは、管理画面上から修正パッチを適用できます。
韓国のレンタルサーバNAYANAがランサムウェアの被害
2017年6月10日、韓国のレンタルサーバ会社のNAYANAがランサムウェアの攻撃にあい、サービスを停止しました。153台のLinuxサーバがランサムウェア「Erebus」に感染し、データベースが画像などの様々なデータが暗号化され使用不能になりました。
NAYANA社は攻撃者に対し最終的に13億ウォンを支払うことで妥結しました。16日の時点で一部のサーバの復旧に成功しましたが、復号に失敗するサーバもあったようです。
詳しい内容については以下のリンク先をご覧ください。
参照ランサムウェア被害の韓国企業、身売りと引き換えにサービスを復旧
セキュリティ対策レベルが高いレンタルサーバ比較
日本国内で利用できる、セキュリティ対策レベルの高いレンタルサーバを3社紹介します。
WADAX
WADAXのレンタルサーバはセコム不正侵入検知防護システム(IPS)を標準で装備しています。またSQLインジェクションやクロスサイトスクリプティングなどの攻撃から防御するためのWAFも提供しています。
WordPress脆弱性診断機能「KYUBI」や脆弱性診断&マルウェア対策の「SiteLock」というセキュリティサービスにより複数のWebセキュリティ診断を定期的に実施し、Webサイトに存在する脅威を検出し、利用者に通知します。さらにDoS攻撃・DDoS攻撃対策のための専用機器を導入しており、ホームページの可用性向上に努めています。
サイトWADAX
CPI
CPIはKDDIグループが提供しているレンタルサーバです。通信の暗号化を行うSSLや、「マルウェア診断」「Web改ざん検知」などのサービスも提供しています。Webアプリケーションの脆弱性対策としてWAFを標準で用意しており、マネージドプランでは専用のファイアウォールや不正侵入検知(IDS/ADS)も利用できます。
サイトCPI
SIXCORE
SIXCOREではセコムセキュリティ診断を全プランで標準搭載しており、ネットワーク上の脆弱性を厳格に診断し、客観的なセキュリティチェックを利用できます。
メールセキュリティ対策としてF-Secure社のウィルスチェック機能を採用しており、メール中に含まれるマルウェアを駆除します。WAFを利用することで、CGIやPHPのプログラムの脆弱性へのセキュリティ対策も万全です。
サイトSIXCORE
WordPressが狙われやすい?WordPressのセキュリティ対策
WordPressに対するセキュリティ対策は修正パッチの適用だけではありません。「SiteGuard」のようなセキュリティ対策用プラグインを導入したり、データベースやテーマファイルのバックアップ作業を定期的に実施したりすることが重要です。当サイトにWordPressのセキュリティ対策についてまとめた記事がありますので、こちらをご覧ください。
まとめ
レンタルサーバに関するセキュリティ対策について紹介してきました。
レンタルサーバを提供している会社によって、様々なセキュリティ対策が行われていることがわかったかと思います。しかしどんなに強固なセキュリティ対策が用意されていても、利用するユーザがずさんなパスワード管理をしていたり、プログラムのバージョンアップなどを怠ったりしていれば、せっかくのセキュリティ対策機能も無駄になってしまいます。
レンタルサーバ会社に任せっきりにならずに、利用者自身で出来るセキュリティ対策も合わせて行う事で、安全にホームページ運営を行うようにしましょう。