近年インターネットでのセキュリティリスクは増加の一途をたどっており、サーバーを運用するにあたっても、取り扱うデータに応じて適切な対策を取ることが求められています。
適切なセキュリティ対策を行っていない場合、サーバーがウィルスに侵され、データを勝手に改ざんされたり、顧客情報や個人情報の流出や他者への攻撃の踏み台にされるなど、ビジネスの継続に深刻な影響をもたらす恐れもあります。
この記事では、レンタルサーバーにおいてセキュリティ対策が求められている背景を再確認するとともに、各社が提供しているセキュリティサービスの特徴と機能について詳しく解説します。
レンタルサーバーのセキュリティ対策が求められている背景
データ改ざんや窃取といったサイバー攻撃の数は年々増え続けています。
2019年1月には、大塚商会の提供するレンタルサーバー「アルファメール」にて、顧客企業のWebサイト、約5,000サイトが一度に改ざんされる被害が起きました。
参考:記者の眼 - 日経XTECH
コンピューターセキュリティ情報を収集する、JPCERT(ジェーピーサート)コーディネーションセンターによるインシデント報告対応レポートによると、2019年1月1日から2019年3月31日までに4,242件のインシデントが報告されており、なかでも重大事件に発展する危険性を持つインシデントは4,488件という結果が出ています。
参考:JPCERT/CC インシデント報告対応レポート [2019年1月1日~2019年3月31日] - JPCERT CC
上記の理由から、Webサービスを提供する側であるサーバーにおいても、従来以上に強固なセキュリティ対策が求められています。
セキュリティ対策のないレンタルサーバーで起こりうるリスク
レンタルサーバー側で何もセキュリティ対策をしていない場合、サイトを運営するユーザーは経済的な打撃を受けるばかりでなく、社会的な信用を無くすことにもつながります。
具体的に起こりうるリスクをまとめたので、覚えておきましょう。
個人情報をはじめとする重要データを奪われる
不正侵入により、サーバーに保存している顧客の個人情報や、企業の機密情報が外部に漏れる恐れがあります。
2013年にYahoo! JAPANで起きた情報漏洩では、およそ2200万件のユーザーIDと150万件近くのパスワードが不正アクセスにより流出しました。
幸いにもID・パスワードに付随する情報のみだったため、被害は最小限におさえられましたが、もしもカード情報や住所といった個人情報が漏洩していたら、損害賠償を請求されるような事態に発展したかもしれません。
サーバーを改ざんされて悪用される
アダルトサイトや海外のサイトで下のようなワンクリック詐欺の画像を見かけたことはありませんか?
引用:ワンクリック詐欺サイトについて - 阪急阪神東宝グループ Baycom
上記の画像は送信元アドレスからIPアドレスの管理事業者を表示したものですが、「ご入会ありがとうございます!」と表示され、IPアドレスやOS情報が表示されると、パソコンに詳しくない人は焦ってしまいます。
あなたの運営しているサーバーに不正侵入し、画像のようなポップアップウィンドウを表示させ、クライアントからお金を振り込ませるといった改ざんもあり得ることです。
サーバーに侵入され、他人のパソコンを攻撃する
例えば運営しているメールサーバーに侵入し、管理しているクライアントのメールアドレスを使い、ウイルス付きのメールを一斉配信するといった脅威も考えられます。
あなたはサーバーに侵入された被害者ですが、ウイルス付きのメールを受信した人にとっては加害者になります。
知らずに他人に迷惑をかける恐れもある、ということを覚えておいてください。
レンタルサーバーが提供しているセキュリティ機能と効果を解説
日々増加するサイバー攻撃に対抗すべく、レンタルサーバーでは様々なセキュリティ機能を提供しています。
ここでは、その機能と効果について解説するので1つずつ見ていきましょう。
機能 | 効果 |
ファイアーウォール | IPアドレスベースで、不正アクセスを検知し通信を切断する |
WAF(Web Application Firewall) | Webアプリケーションへの不正アクセスを遮断する |
IPアドレスフィルタリング(国外アクセス制限) | 国外からの不正アクセスを遮断する |
Web改ざん検知 | 改ざんを検知し管理者に知らせる |
IDS(Intrusion Detection System) | 侵入検知システム。不正アクセスを検知し管理者に知らせる |
IPS(Intrusion Prevention System) | 侵入防止システム。不正アクセスを検知し通信を切断する |
SSL/TLS(https) | ブラウザとサーバー間の通信を暗号化する |
メールウイルスチェック | メール内のウイルスをチェックし、不正なメールは削除する |
スパムフィルタ | 迷惑な広告メールを自動で削除・移動する |
ファイアーウォール
企業や個人などの特定ネットワークへの不正アクセスを防ぐシステムが「ファイアーウォール」です。
IPアドレスのヘッダ部分を解析するパケットフィルタリングと、サービスごとに認証をおこなうアプリケーションレベルゲートウェイの2つの方法で不正アクセスかどうかの判断をおこないます。
セキュリティポリシー(ルール)に基づいた柔軟な設定ができるのが特徴です。
WAF
「WAF(Web Application Firewall)」は「ワフ」と呼ばれるもので、Webアプリケーションへの不正アクセスを遮断する目的のファイアーウォールです。
ECサイトやオンラインバンクといった、ユーザーからのリクエストに応じて動的ページを生成するWebサイトでWAFは有効です。
WAFはシグネチャと呼ばれる攻撃検知のための定義ファイルを持ち、その内容と照らし合わせ不正アクセスかどうかの判断をおこないます。
IPアドレスフィルタリング(国外アクセス制限)
アクセスする機器のIPアドレスを参照し、拒否するかどうかの判断をおこなうのが「IPアドレスフィルタリング」です。
主にレンタルサーバーでは、国外からのアクセスを制限します。
近年海外からの不正アクセスは増加しています。
「さくらのレンタルサーバー」で提供している「国外IPアドレスフィルタ」では、自社で管理する国内IPアドレスリストに含まれないIPアドレスからのアクセスを遮断します。
Web改ざん検知
「Web改ざん検知」は改ざんの被害を受けた際、サーバー管理者に通知する機能です。
マルウェアの感染や個人情報の窃取、不正送金といった目的で改ざんされるケースは増えています。
こうした被害を防ぐためにWeb改ざん検知は有効です。
IDS
「IDS(Intrusion Detection System)」は「不正侵入検知システム」と呼ばれる機能です。
いち早く不正アクセスを検知するためにネットワークを常時監視します。
IDSではシグネチャー(パターンファイル)を用い、受取ったパケットがシグネチャーとマッチする場合に警告を出します。
IPS
「IPS(Intrusion Prevention System)」は「侵入防止システム」です。
不正侵入があった場合、IDSとは異なり通信を遮断します。
IDS/IPSでは監視する範囲に限りがあるため、通常ファイアウォールと併せて使用されます。
SSL/TLS
「SSL(Secure Sockets Layer)/TLS(Transport Layer Security)」はブラウザとWebサーバー間の通信を暗号化する仕組みです。
アクセス先のページが安全なサイトかどうか判断するために、信頼された認証局がサーバー証明書を発行します。
その証明としてWebサイトにはサイトシールを掲載することができます。たとえばSecureCoreなどが有名です。
引用:サイトシールの特徴 - SecureCore
また、SSL/TLSには1つのサーバー証明書を複数のユーザーで共有する「共有SSL」と、1つのドメインに対して専用の証明書を使う「独自SSL」があります。
メールウイルスチェック
電子メールを介してウイルスに感染するといったケースは少なくありません。
そこでレンタルサーバーでは「ウイルスチェック」のサービスを提供しています。
一般的なコンピューター用のウイルス除去ソフトだと、ウイルスデータを常に最新のものに更新する必要があるため、パソコンの数が多いと手間や費用が掛かります。
レンタルサーバーで提供するウイルスチェックなら、例えば「WADAX」のように無料で提供している場合もあり便利です。
スパムフィルタ
「スパムフィルタ」は別名迷惑メールフィルタと呼ばれます。
ユーザーの管理するドメインへ配送されるすべてのメールから、迷惑な広告メールなどを検出し、削除・移動させることができます。
メールホスティングでは、ウイルスチェックと同様に基本機能のひとつです。
レンタルサーバーのセキュリティ対策は必須!
これまで解説してきた通り、レンタルサーバーのセキュリティ対策はかかせないものです。
セキュリティ対策は、自分だけでなく周囲に迷惑を書けないためにも、十分な対策を行うようにしましょう。
また、レンタルサーバーを商用で利用する場合は、今回紹介した機能をサポートしているビジネス向けレンタルサーバーを選ぶことがおすすめです。
mixhost
mixhostは最新技術を積極的に取り入れてパフォーマンスアップを図っていることで話題のレンタルサーバーです。
次世代のWebサーバーソフトウェアとして注目を浴びているLiteSpeedを採用しているなど、パフォーマンスアップを狙っている方にとってエックスサーバーと並び有力な候補になるでしょう。
また、mixhostではアダルトサイト、同人サイトの運営が正式に認められている点も見逃せません。エックスサーバーなど他のレンタルサーバーでは、アダルトサイト、同人サイトの運営が禁止されているため、これらのコンテンツを掲載したい人はぜひmixhostを使いましょう!
KAGOYA
KAGOYA(カゴヤ)の魅力は高セキュリティと充実したサポート体制で、誰でも簡単・安全にサイトを運営することができる点です。
WAF+IPSに加え、自動バックアップを標準搭載しており、セキュリティ観点とユーザー操作ミスの観点の両方に万全の備えで臨む事ができます。
また、24時間365日メールサポートに加え、土日祝も電話サポートを利用できる点も法人向けに人気が高い理由のひとつです。
エックスサーバービジネス
エックスサーバービジネスは、法人・企業といったビジネス利用を目的としたエックスサーバーの専用プランです。
WAFやネットワークの脆弱性を定期的に診断するセコムセキュリティも導入しており、セキュリティ面においてもビジネス用途に最適化されており、これまでの上位プランであるシックスコアを上回るサービスを提供しています。専用サーバーを借りるほどではないけど、堅牢な運営でビジネスに適したサーバーがほしいという人に特におすすめです。
また、「設定代行サービス」も備えており、これまで使用していた旧サーバーからの移転作業を専門スタッフが無償で対応してくれるのも魅力の一つです。