セキュリティで選ぶレンタルサーバー



インターネットに常時接続されているサーバーは、常に様々な脅威にさらされています。そのため、セキュリティ対策は必須です。

Web 上のデータの保持は当然のことながら、メールの通信や FTP なども安心して利用できるような環境がほしいです。

近年は安価なレンタルサーバーでも、サービス・サーバーレベルだけではなく、ユーザーレベル向けの様々なセキュリティ機能が提供されるようになってきました。

ここでは、レンタルサーバー側が用意しているセキュリティ対策にどのようなものがあるのかチェックしていきます。より安全なレンタルサーバー選びの参考にしてみてください。


ファイアウォール

ファイアウォールは、インターネットとサーバー間の門番のような役割を果たしています。空港でいうと入国審査のような感じでしょうか。

これは私たちが普段利用しているパソコン内や社内 LAN などにも配置されているように、どこのレンタルサーバー会社でも当然利用されているものです。

サービスレベルで当然配備するべき機能であるため、個別にファイアウォールの機能等について説明されているところはありませんし、特に気にする必要もないでしょう。(専用サーバーでは、自分でカスタマイズできるファイアウォールを利用可能なサービスなどもあります)


IDS・IPS

不正侵入を防止する機能として、IDS や IPS といった機能が用意されています。

IDS(Intrusion Detection System)

IDSは「不正侵入検知システム」という意味で、不正侵入を検知して管理者に通知する機能です。

IPS(Intrusion Prevention System)

IPSは「不正侵入防御システム」という意味で、不正侵入を阻止する機能です。



IDS と IPS は、不正侵入防止という意味では似たような機能ですが、簡単に説明すると「IDS」は監視して通知する役、「IPS」は監視してブロックする役という役割分担をしています。

ファイアウォールが入国審査だとすれば、IDS・IPS は金属探知をしたり、手荷物チェックをする税関のようなイメージでしょうか。(実際の空港の場合とは順番が違いますが)

IDS・IPS が行うのは、ネットワーク上を流れるパケットの監視です。そして、送受信されるパケット中にあらかじめ登録された不正侵入や攻撃のパターンがないかをチェックし、発見した場合はその通信を通知したり、ブロックしたりします。

具体的には以下のような攻撃を感知し、防御します。

    ・DDoS 攻撃
    ・バックドアによる通信やトロイの木馬による通信
    ・FTP やメールなどの脆弱性を突く攻撃
    ・CGI 攻撃

保護の対象となるのは、OS・ミドルウェア・メール・Webデータで、ファイアウォールが防ぎにくい攻撃に対し効果が高い機能です。

なお、IDS・IPS の両方を設置している会社もありますが、中には IDS の機能を IPS でも兼任しているケースもありますので、IPS が用意されていれば、IDS の記載がなくても特に気にする必要はないと思います。


WAF(Webアプリケーションファイアウォール)

近年安価なレンタルサーバーにも導入されてきている機能が、この WAF(Webアプリケーションファイアウォール)です。

WAF は、Web サイトを対象にした外部からの不正アクセスをブロックする機能で、保護される対象は Web データです。

ブロックする不正アクセスの例としては、以下のようなものが挙げられます。

    ・認証関連の攻撃(ユーザー名・パスワード総当たり等)
    ・クライアント側での攻撃(クロスサイトスクリプティング等)
    ・コマンド実行・バッファオーバーフロー(コマンドインジェクション、SQL インジェクション等)
    ・情報更改等

これは、静的なコンテンツ(html、画像、css)には効果がありませんが、PHP や CGI を利用したサイトの場合には有効です。WordPress 全盛の今の時代には、非常に効果的だといえますね。

ただ、この WAF を有効にすると、WordPress の記事の更新等を行った際に、正常なリクエストまで誤検知して「403エラー」を発生させてしまうことがあるようです。

対処方法としては、記事を更新する管理画面とユーザーが閲覧する画面の URL を分ける方法などがあるようですが、その方法は各社の公式サイトに掲載されてはいないようです。

また、ロリポップのマニュアルを見たところでは、403エラーが出たら WAF を無効にするようにしか書いてありません。この点について、サポートに確認したところ、.htaccess ファイルに WAF の除外ルールを設定することで回避できる旨を教えてもらいましたが、実際には吐き出すエラーを何度もチェックして追記していく必要があるようですので、少々きつい作業になるのでないでしょうか。

もちろん、WAF はあったほうが安心な機能ではありますが、問題なく使用できるようにするためには、初心者には少し敷居が高いのかもしれません。



以上、ファイアウォールと IPS・IDS、WAF は、それぞれ守備範囲が違うため、それぞれがお互いを補い合う形で外部からの攻撃を防ぐように構成されています。

共用サーバーでは、IPS や WAF はまだ利用できないケースもありますので、公式サイトでチェックしておきましょう。


SSL(Secure Sockets Layer)

SSL は、サーバーと閲覧するユーザーの間のデータを暗号化して、安全にデータを届けるための機能です。

ネットショップなどでクレジットカード情報などを入力する必要があるようなシステムを作成する場合、この SSL は必須です。

また、近年 Googleもこの SSL を重要視しており、SSL の導入を行っているサイトも増えていますので、ネットショップではなくても SSL の機能については確認していたほうがいいでしょう。

SSL には大きく分けて、共有SSL(共用SSL)と独自SSL(専用SSL)の二つがあります。

共有SSL は主に無料で利用できる SSL で、レンタルサーバー会社側から提供されているドメインを利用する形です。そのため、独自ドメインを使用しているサイトであれば、サイト全体には適用できませんので、問い合わせフォームなどの特定のページだけに共有SSL を設定する、といった使い方をされることが多いです。

一方、独自SSL は専門の会社からセキュリティ証明書を購入し、独自ドメインで運用する形です。独自のセキュリティ証明書を利用できますので、信頼性は非常に高いですが、価格も高価です。また、独自SSL の中でも値段に大きく差がありますが、一見同じように見えても、実際のところは証明される内容が大きく異なりますので、信頼性も大きく異なります。

セキュリティ証明書はレンタルサーバー会社を通して購入できますが、価格もピンキリなので、独自SSL を利用する予定がある人は、SSL についてしっかり勉強したうえで、十分に仕様や価格等を比較検討したほうがいいでしょう。


その他のセキュリティ対策

上記の機能以外にも、以下のようなセキュリティ対策の機能があります。

Web 改ざん検知サービス

ガンブラー(Gumblar)のようにウイルスを配布したり、クレジットカードなどの情報を盗み出すなどの目的で、Web サイトを改ざんする攻撃があります。

もし、Web サイトが改ざんされた場合に、管理者に通知したり、一時的にメンテナンス画面に切り替えたりすることができる機能です。

ほとんどレンタルサーバーで、ページ数毎に課金される有料のオプションとして提供されています。

国外IPアドレス制限(国外IPアドレスフィルタ)

ハッキングやクラッキングなどの攻撃は、主に国外から行われます。そのため、国外のIPアドレスから管理画面などにアクセスすることを防御することで、攻撃の度合いを大きく下げることができます。

基本的にはONにしておくほうがいいですが、うっかり設定していることを忘れると、国外でメールの送受信やサイトの更新ができなくなることもありますので、海外旅行に行くときなどは注意しましょう。管理人もこの機能の影響で、海外でメールの送信ができなくなったり、困ったことがありました。

FTP のセキュリティ機能

FTP を行う際にも、その通信を暗号化するための SSL のセキュリティが利用できます。

一般的にほとんどのレンタルサーバーで利用できるのは、「FTP over SSL(FTPS)」と言われる機能です。これは FTP の通信を暗号化して送受信できる通信方式です。

また、より高度な「SFTP(SSH File Transfer Protocol)」という通信を許可しているレンタルサーバーもあります。

FTPS と SFTP は名前は似ていますが、実際には全く違うプロトコル(通信規格)を使用しています。詳しい説明は省きますが、FTP の暗号化バージョンが FTPS、SFTP は全く別のより高度なプロトコル(SSH)を使用した FTP 接続といったイメージです。

少なくとも FTPS はほとんどのサーバーで利用できるため、FTP を行うときは FTPS を利用するようにしましょう。

メールのセキュリティ機能

メールを運用する場合、メール関連のセキュリティも重要ですが、基本的な機能については、ほぼどこのレンタルサーバーも無料で利用可能になっています。

メール関連のセキュリティとしては、以下が挙げられます。

    ・ウィルスチェック
    ・スパムフィルター

レンタルサーバーの中には、ウィルスチェックやスパムフィルターが有料のオプションになっているところもあります。基本的に常時使用するものですから、当然月額料金に加算されて支払う必要があると考えて見積もる必要がありますので、注意しましょう。

また、自分のパソコンとサーバー間におけるメールの通信を暗号化する、「POP3 over SSL」「SMTP over SSL」「IMAP over SSL」なども標準化しつつありますが、中には IMAP 自体がまだ使えない会社もあります。

また、SSL/TLS 通信を使えるのは、その会社から払い出された会社のドメインのみで、独自ドメインには使えない、というケースもありますので、こういった点もチェックしておきましょう。


セキュリティ関連機能が充実しているおすすめのレンタルサーバー

WAF・IPS をはじめとするセキュリティ機能が充実しているのは、カゴヤの「S20」。

やや高価ですが、サイトの信頼性と安全性の証明を行える「シマンテックセーフサイト」というオプションを利用することも可能です。FTPS やメールの SSL 通信なども利用できます。

また、WAF や IPS などのセキュリティ機能はないものの、サーバー・サービスレベルでは信頼性の高いセキュリティを実現しており、総合力で1位のエックスサーバーもおすすめです。

WordPress への国外IPアクセス制限やパスワード総当り(ブルートフォースアタック)に対するログイン試行回数の制限などのセキュリティ対策も用意されており、安心して利用できます。