今よりちょっと良いサーバーがほしい方へ

レンタルサーバーのセキュリティ対策!あなたのサイトはこれで守れる

レンタルサーバーのセキュリティ対策!あなたのサイトはこれで守れる

レンタルサーバーのセキュリティ対策について紹介
基本的にレンタルサーバーは、インターネット上に公開されており誰でもアクセスできますので、悪意あるユーザーはいつでもレンタルサーバーへ攻撃を仕掛けることができます。

サバくん サバくん

これは決して他人事ではなく。レンタルサーバーでWebサイト(ブログ)を作って公開している場合。今日あなたのサイトが攻撃を受けることだってあるんだよっ!

ただし、悪意あるユーザーからの不正アクセスや脆弱性を突いた攻撃の対策は、基本レンタルサーバー会社が行うべきであり。

以下のような事態を頻繁に起こしてしまうようでは、レンタルサーバー業者としては失格です。

サーバーやWebサイトを攻撃されることで起こる事態
  • サーバーや作ったwebサイトをダウンさせられて、操作や閲覧などが一切できなくなる。
  • サーバーやwebサイトを乗っ取られて、意図しない改ざんを受けてしまう。
  • サーバーやwebサイトにあるデータを盗まれる。

当然、各レンタルサーバー会社もそうなるとユーザーからの信用を失い商売上がったりなので、そのような悪意あるサーバー攻撃に対するセキュリティ対策は当然しています。

そこで、今回は各レンタルサーバー会社がユーザーへ貸し出すサーバーに導入している7つのセキュリティ対策について紹介します。

今回紹介する7つのセキュリティ対策の名称と効果だけでも覚えておけば。障害や不正アクセスに弱いレンタルサーバーを選んでしまい。お金と時間を無駄にすることを防げますので、これからレンタルサーバーを選ぼうとしている人は、ぜひ確認していってください。

目次

不正アクセスや攻撃に対するレンタルサーバー7つのセキュリティ対策について

最初に、サーバーやwebサイト(ブログ)への不正アクセスや攻撃への対策として、レンタルサーバーがよく導入している7つのセキュリティ対策の概要について紹介します。

  • ファイヤーウォール:webサイト(ブログ)への攻撃対策ツール
  • WAF:webサイト(ブログ)への攻撃対策ツール
  • IPアクセス制限:webサイト(ブログ)への攻撃対策ツール
  • SSLサーバ証明書:webサイト(ブログ)への攻撃対策ツール
  • IPS:サーバーへの直接攻撃対策ツール
  • IDS:サーバーへの直接攻撃対策ツール
  • メールウイルススキャン・スパムメールフィルタ:メール送受信に対するセキュリティツール

レンタルサーバーで主に導入されているセキュリティ対策は、以下3つに対するものとなります。

セキュリティ対策で守る部分

  • レンタルサーバーを借りてユーザーが作るwebサイト(ブログ)用の対策。
  • レンタルサーバー自体への直接攻撃に対する対策。
  • レンタルサーバーを使ったメールの送受信に対する対策。

このように、サーバー・webサイト(ブログ)・メールの3つに対してセキュリティ対策をすることにより。僕達ユーザーは安心してレンタルサーバーを借りて自分がやりたいことができるというわけです。

クロネコくん クロネコくん

俺もレンタルサーバーを借りてwebサイト(ブログ)をやっているから、webサイトに対する攻撃を防ぐ手段が用意されているのはありがたいぜ。

7つのセキュリティ対策の概要を説明したところで、次はそれぞれのセキュリティ対策を見ていきましょう。

ファイヤーウォール

ファイヤーウォールがないレンタルサーバーは、「防具を付けずに剣道の試合をする」のと同じくらいありえないと言えるくらい、当然導入されているセキュリティ対策です。

サバくん サバくん

もはや導入されていることが当たり前すぎて、公式ページにわざわざ書いてるレンタルサーバー会社はほとんどいないよ。

ファイアウォール機能は、FTPやSSHなどのサーバにアクセスしてくる通信に対して、事前に設定されたIPアドレスやポート番号のみ通信を許可する機能です。

そして、この機能によって、許可されていないIPアドレスやポート番号からの通信を防ぐことが可能となります。

クロネコくん クロネコくん

結局、ファイヤーウォールがあると俺たちにはどんな恩恵があるんだ?

ファイアウォールがあると。自分が利用しているサーバーへどの利用者も使えないところから、乗っ取り目的で通信してくるものを拒否できます。

そのためサーバーと、ひいては自分が作ったwebサイト(ブログ)を守る効果があります。

サバくん サバくん

簡単に言えば。鍵がかかっていると分かっている家の裏口から侵入しようとしている奴を門前払いする機能がファイヤーウォールだよ。

ファイアウォールは許可された通信には効果がない

ただし、ファイアウォールで許可された通信で攻撃された場合には効果がありません。そのため、後述するWAFやIDS/IPSのような別のセキュリティ対策によって守る必要があります。

サバくん サバくん

さっきの例で言うと。普通の人に変装して堂々と正面玄関から来る悪人の攻撃は防げないってことだよ。

クロネコくん クロネコくん

なるほど。そこで、今言ってたWAFやIDS/IPSで悪人であるかを見分けるってことだな。

サバくん サバくん

その通りだよ。

WAF

SITEGUARD
まず、WAFの正式名称は「Web Application Firewall」といいます。

WAFは、webサーバー(ブログやサイト)へアクセスされる前にそのアクセス内容の解析を行い。Webサイト(ブログ)の脆弱性を狙ったアクセス(攻撃)や、設定で禁止されている内容のアクセス(攻撃)は全てブロックして、正常なアクセスだけを通すセキュリティ対策となります。

サバくん サバくん

WAFはインターネット上に公開されていて誰でもアクセスできる、ブログ、webサイト、Webアプリケーションなどを不正アクセスや攻撃から守るツールだよ。

WAFでブロックできるWEBサイト(ブログ)の脆弱性をついた攻撃

WAFを導入されているサーバーでは、Webサイト(ブログ)でよくある以下の脆弱性を狙った攻撃をブロックできます。

  • SQLインジェクション
  • クロスサイトスクリプティング
  • クロスサイトリクエストフォージェリ
  • パラメーター改ざん
  • OSコマンドインジェクション
  • クリックジャッキング
  • ブルートフォース(総当たり攻撃)
クロネコくん クロネコくん

なんだこれは?1つも意味が分からないんだが。

上記にある脆弱性のくわしい内容については、IT(web)エンジニアやプログラマーでなければ、知らなくても特に問題ありません。

しかし、レンタルサーバーを借りてWebサイト(ブログ)をやる場合。脆弱性を狙われた攻撃によって、以下の被害を受けることは覚えておきましょう。

脆弱性を狙われた攻撃で受ける被害

  • 自分のWebサイト(ブログ)内容を改ざんされる
  • WordPressの管理者権限を乗っ取られる
  • Webサイト(ブログ)に使っているデータを盗まれる
サバくん サバくん

WAFはWebサイト(ブログ)の脆弱性を狙った攻撃を阻止して、不正アクセスによる被害からwebサイトの運営者を守ってくれるよ。

クロネコくん クロネコくん

なるほど。WAFがあることで、俺たちは不正攻撃におびえずにwebサイトの運営ができるってことを覚えておけばいいってことだな。

サバくん サバくん

うん、その認識で間違いないよ。

数年前まで、個人利用向けの安いレンタルサーバーでWAFはほとんど導入されていませんでした。しかし、今ではロリポップ、エックスサーバー、さくらインターネット、Mixhostなど、主要な個人利用向けの安いレンタルサーバーでも導入されるようになりました。

サバくん サバくん

逆に個人でWebサイト(ブログ)をやる場合。WAF(WAFと同等の役割を持つセキュリティツール)がないレンタルサーバーを選ぶのは、安全面において不安があるよ。

IPアクセス制限 (海外アクセス制限)

IPアクセス制限はレンタルサーバーを借りた自分が特定のIPアドレスからのアクセスをブロックする機能なります。

また、そのIPアクセス制限設定も、レンタルサーバー会社が用意した専用画面(コントロールパネル)から簡単にできるようになっています。

クロネコくん クロネコくん

プログラムやサーバー知識ゼロの俺でも設定できるのか?

サバくん サバくん

うん、ブロックしたいIPアドレスだけ知っておけば、簡単に設定できるよ。

海外アクセス制限

海外アクセス制限は、IPアクセス制限と原理は同じで、海外IPアドレスを持つ端末からのアクセスをブロックする機能になります。

海外アクセス制限の設定はIPアクセス制限よりもさらに簡単で、レンタルサーバー会社が用意した専用画面でON・OFFを切り替えるだけです。

ConoHa WINGでの海外アクセス制限設定

クロネコくん クロネコくん

おおっ、たしかにこれならすごく簡単に海外アクセス制限のON・OFFができそうだぜ。

サバくん サバくん

ただし、自分が海外にいる場合は自分のアクセスも制限されてしまうから、その点にだけは注意して設定してね。

SSLサーバ証明書

SSLサーバー証明書
SSLサーバー証明書をWebサイト(ブログ)に導入していない場合。通信が暗号化されてないので悪意あるユーザーはその情報を簡単に盗聴や改ざんすることができます。

サバくん サバくん

例えば、SSLサーバー証明書を導入していないショッピングサイトで買い物をすると、決済する時に入力した個人情報やクレジットカード情報が盗まれるよ。

SSLサーバー証明書を導入していないサイトで買い物をする場合
SSLサーバー証明書を導入していない場合

SSLサーバー証明書を導入しているサイトで買い物をする場合
SSLサーバー証明書を導入している場合

このように、SSLサーバー証明書を導入していれば通信情報は自動的に暗号化されるので、悪意あるユーザーから盗聴や改ざんされる心配もなくなります。

SSLサーバー証明書は無料で利用できる

Let's Encrypt
2016年頃まで、SSLサーバー証明書の導入には安いものでも年間1万円近くの費用が必要でした。

しかし、「lets encrypt 」などの無料SSLが登場して以来。自分が作ったWebサイト(ブログ)にSSLサーバー証明書を無料で導入できるようになりました。

サバくん サバくん

ロリポップ、エックスサーバー、さくらレンタルサーバー、Mixhostなど、個人利用目的でよく使われるレンタルサーバーにも無料SSLは導入されているよ。

また、webサイトに無料SSLを導入していないと、危険サイトと認識されてしまい。他ユーザーが閲覧したときにWEBブラウザーで警告表示されたり、Google検索エンジンの検索順位が下がるなどのデメリットを受けてしまいます。

クロネコくん クロネコくん

なるほど。webサイト(ブログ)やるなら無料SSLは絶対に導入しろってことか。

IDS

まず、IDSの正式名称は「Intrusion Detection System」といいます。

IDSはサーバーへのアクセスを全て監視して、正常と思われるアクセスの中で攻撃と思わしき怪しい行動をしているアクセスを、管理者に通知するセキュリティツールとなります。

クロネコくん クロネコくん

そんな面倒なことをしなくても、怪しいアクセスなら最初から全てブロックしておけばいいんじゃないのか?

サバくん サバくん

僕も当然そうなればいいと思っているけど、以下ケースの場合だと怪しいアクセスだと判断できるかい?

例えば、こんなケースの場合

サーバーへ管理者権限でログインしようと思ったが、パスワードを間違えてログインに1回失敗した。

これだけで、不正に侵入を試みているのか、今回たまたま入力ミスでサーバーへログインできなかったのかを判断できるでしょうか?

クロネコくん クロネコくん

たしかに、これだと怪しいアクセスかどうかは分からないな。

では、20回連続ログインに失敗していたらどうでしょうか?

クロネコくん クロネコくん

それだったら、パスワードを知らないのに無理やりログインしようとしている不正アクセス者だと判断できるな。

サバくん サバくん

こんな感じで、IDSは全てのアクセスの監視を行い。正常と思われるアクセスの中にも怪しい行動しているアクセスがあったら、管理者に通知しているよ。

クロネコくん クロネコくん

なるほどな。この説明だったらIDSの機能について理解できるぜ。

IDSはwebサイトの脆弱性に関する攻撃は完治できない

IDSはサーバーへ直接アクセスする攻撃に関しては監視を行い検知できますが、Webサイトの脆弱性に関する攻撃については検知できません。

WAFはその逆で、Webサイトの脆弱性に関する攻撃についてはブロックできますが、サーバーへ直接アクセスする攻撃に関してはブロックすることはできません。

ですので、WAFとIDS(IPS)の両方を採用することで、サーバーとWebサイト(ブログ)の両方を守ることができるようになります。

IPS

ips
まず、IPSの正式名称は「Intrusion Prevention System」といいます。

IPSもIDSと同じくサーバーへのアクセスを全て監視することで怪しいアクセスを検知できますが、その後の対応がIDSとは違い、IPSは怪しいアクセスを検知した時点でそのアクセスをブロックします。

ですので、IPSはDDoS攻撃のような大量アクセスによるサーバー攻撃に対して効果を発揮します。

DDoS攻撃とは

ネットワークを通じた攻撃手法の一種で、標的となるサーバーやコンピュータに対して複数のマシンから大量の処理負荷を与えることで、サービスを機能停止状態へ追い込む手法。

DDOS攻撃

サバくん サバくん

現在、レンタルサーバーがダウンする原因として1番多いのは、悪意あるユーザーからのDDoS攻撃によるものだよ。

IPSを使ってもDDoS攻撃は100%防げない

IPSはDDoS攻撃に対して効果を発揮してサーバーを守りますが、100%の確率でDDoS攻撃からサーバーを守れるわけではありません。

クロネコくん クロネコくん

なんで、IPSなら怪しいアクセスをブロックするんじゃなかったのかよ?

IPSによるブロック効果で長時間のサーバーダウンは高確率で防ぐことができます。

しかし、IPSが不正アクセスと判断してブロックを始めるまで少し時間かかるので、それまでにサーバーへ限界を超えた大量アクセスをされると、サーバーダウンを防ぐことはできません。

サバくん サバくん

ちなみに、技術を持ってるクラッカーはIPSにひっかかりにくいDDoS攻撃をしてくるよ。

正直なところ、IPSだけではDDoS攻撃を全て防ぐことはできないので、

メールウイルススキャン・スパムメールフィルタ

メールウイルススキャン・スパムメールフィルタ
レンタルサーバーでは、メールの送受信が行える機能も用意されています。

しかし、個人のパソコンやスマホでメールをやるときと同様。レンタルサーバーを利用したメールでも、ウイルスメールやスパムメールは悪意あるユーザーから遠慮なく届きます

ですので、そのようなメールから、自分が利用しているサーバー(ブログ・webサイト)を守るための対策として、メールウイルススキャンやスパムメールフィルタ機能などが用意されています。

サバくん サバくん

メールウイルススキャン・スパムメールフィルタは無料で利用できるレンタルサーバーが多いよ。

クロネコくん クロネコくん

でも、レンタルサーバーのメール機能って、どういうときに使うんだ?

Webサイト(ブログ)の運営を続けている中で、多くの読者にメルマガを送りたい場合mレンタルサーバーのメール機能を使うことが多いです、

そして、そのような時にこそ、メールウイルススキャンやスパムメールフィルタ機能は効果を発揮します。

サバくん サバくん

また、ビジネスサイトを運営するためにレンタルサーバーを借りている場合もメール機能はよく使われるよ。

まとめ

レンタルサーバーを借りて、Webサイト(ブログ)を始めるなど。自分のやりたいことをしていくうえで、悪意あるユーザーから不正アクセスや攻撃されるリスクは常にあります。

ですので、セキュリティ対策がしっかりとされているレンタルサーバーを選ぶこと。それは、レンタルサーバー選びをするうえで必須の条件と言えるでしょう。

サバくん サバくん

Webサイトやブログなど、自分が作った資産を守るためにも、セキュリティがしっかりしているレンタルサーバーを選ぶことをおすすめするよ。

目次