レンタルサーバの６つのセキュリティ対策とは？

レンタルサーバとは、インターネットサービスを提供する上で必要不可欠となるサーバを貸し出すサービスです。
サーバを運用するとなると購入費用や管理費用、所有スペースといったあらゆるコストがかかり、非常に手間になります。
そういった手間になる部分を業者が引き受けることで、サイト運営者やサービス提供者は便利かつ簡単にサーバを使うことができます。
レンタルサーバは便利に利用できる利点がありますが、セキュリティ対策は利用者側が行う必要があります。
もちろんサーバ提供側もセキュリティ対策を行なっていますが、より安全なサーバにするためには利用者のセキュリティ対策が大切です。
レンタルサーバのセキュリティ対策はどんなことをしたら良いのでしょうか？

レンタルサーバのセキュリティ対策には様々な種類があり、それぞれ守る場所・目的によって異なる対策を施します。
主な対策としてはSSL・ファイアウォール・Web改ざん検知・WAF・不正侵入検知・パッチ適用といったものがあります。

今回はこれら代表的なセキュリティ対策の概要をご紹介します。

SSLとはSecure Sockets Layerの略です。
SSLはインターネット上での通信の暗号化を行う技術です。特にインターネットを使って個人情報など重要な情報をやりとりする場合には必須です。パソコンとサーバとの通信を暗号化することで、第三者にデータの覗き見や改ざんされることを防いでいます。

ブラウザを使ってWebサイトを閲覧した際にURLが「https://〜」で始まっていることに気がついたことはありますか？
「https://〜」で始まるWebサイトはSSLが適用されているため通信が暗号化されています。
SSLが適用されていないWebサイトの場合は「http://〜」と表記されています。
サイトが暗号化されていないことが一目でわかりますね。
暗号化されていないWebサイトでは通信の情報の安全が確保されていないため、利用者にとって危険なWebサイトの可能性があります。

また、Googleは、SSL化が検索ランキングに影響すると明言しています。どの程度影響しているかは明確ではありませんが、セキュリティ対策としてだけでなくSEOの観点からもSSL適用はしておくべきでしょう。

レンタルサーバにはまず標準搭載されているセキュリティ対策です。
ファイアウォールという表現ではなくても、特に管理用のアクセス入り口において、IPアドレスや通信ポートで制限する機能としての提供がされているでしょう。

ファイアウォールの機能の中で確認すべきことは、コンテンツファイルのアップロードやサーバの操作にFTPやSSHを利用する場合、管理用ポートのアクセスを必要な分のみ開けているかということです。
これにより、許可していないユーザーが管理用ポートにアクセスすることを防ぎます。

さらに、インターネット側ポートについては、サーバが提供するサービスが開いているポートのみを開放している必要があります。
このことにより、不要なポートからの攻撃を防止することができます。

ただし、ファイアウォールでは、許可されたポートからの通信で攻撃された場合は無力です。
そこで、WAFやIDS/IPSといった製品が必要となります。

WAFとはWeb Application Firewallのことであり、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを防御するための製品です。
サーバの前段に設置することで、通信を解析し、攻撃と検知されたものは遮断します。
例えば、SQLインジェクション・ブルートフォースアタックといった攻撃を防ぐことができます。

WAFには提供形態としてアプライアンス型、ソフトウェア型、クラウド型がありますが、アプライアンス型、ソフトウェア型はレンタルサーバの環境上に導入することになるので、特に共用タイプのレンタルサーバでは、導入が困難な場合が多いです。
一方、クラウド型は導入環境に柔軟に対応できる、保守運用の手間がないというメリットも多くあるため、近年シェアを拡大しています。

IDSとはIntrusion Detection Systemのことであり、不正侵入検知システムとも呼ばれます。
レンタルサーバへの通信を監視して、もし異常があればあらかじめ決められた管理者へ通知します。異常な通信をブロックするなどの対処をするきっかけ（トリガー）となります。
なお、IDSには通信の結果の監視方法によって、ネットワーク型とホスト型と2つのタイプに分けられます。
ネットワーク型とは、ネットワークを流れるデータを監視することで不正侵入や攻撃がないかを確認しています。
ホスト型とは、監視対象のサーバにインストールすることで設置します。通信の結果生成されたサーバ上の受信データやログを監視します。不正侵入検知のほか、ファイルの改ざんにも対応できるものもあります。

IPSとはIntrusion Prevention Systemのことであり、不正侵入防止システムとも呼ばれます。
IPSは異常な通信があれば、IDSのように管理者へ通知するだけでなく、その通信をブロックするところまで動作します。
したがって、管理者が異常に気づいてから対処するのと異なり、迅速な対処が可能となります。
ただし、通信のブロックがシステムの運用上適さない場合があるので、IDSかIPSかは、システムの運用方法によって適材適所で選ぶことになります。

Web改ざん検知とは、監視対象となるレンタルサーバのコンテンツが改ざんされていないかを常時監視するサービスです。万が一改ざんされた場合はあらかじめ登録された連絡先へ通知するため、改ざんに対して早急な対処をすることができます。

特に多くのコンテンツを扱うWebサイトでは、目視による改ざん監視は困難であるため、自動での監視をすることで安全性を高めることができます。

特に、Webサイトを運営しており、WordPressを利用している場合は要注意です。WordPressは世界で最も多く利用されているコンテンツマネジメントシステム（CMS）であることから、最も攻撃の対象になりやすいという傾向があります。
そういった攻撃を回避するために修正パッチの提供が頻繁にあります。
WordPressの修正パッチのチェックは欠かさず行いましょう。

いかがでしたでしょうか？
レンタルサーバのセキュリティ対策について簡単に紹介しました。
レンタルサーバを利用するときは、サーバ事業者が全てを守ってくれると思わずに自分たちでセキュリティ対策を行い安全なサーバにしていきましょう。

イニシャルコスト、運用コストを抑えることができ、簡単にWebサイトのセキュリティ対策が出来るクラウド型WAFは、企業にとって有効なセキュリティ対策の１つです。

クラウド型WAF「攻撃遮断くん」は、最新の攻撃パターンにも自動的に対応していくため、セキュリティパッチをすぐに適用できない状況や、定期的に脆弱性診断が出来ない状況でも、セキュアな環境を保てます。

ぜひこの機会にWebセキュリティ対策を見直し、WAFの導入を検討してみてください。

「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。

https://www.shadan-kun.com/

（2017/11/7 執筆、2019/12/17修正・加筆）