活用しよう！レンタルサーバーのセキュリティ対策

2021.11.23 2024.07.16 EGセキュアソリューションズ

国内外にはレンタルサーバーのサービスを提供している会社がたくさんあります。大事なWebサイトやブログを安全に運営していくためには、レンタルサーバーに備わっているセキュリティ対策を知り、有効活用することが大切です。

そこで今回は、国内の主要レンタルサーバーで提供されているセキュリティ対策について解説します。

レンタルサーバーとは

レンタルサーバーは、名称のとおりサーバーを貸し出すサービスのことです。

私たちがインターネット上でWebを活用したサービスを提供するためには、物理的なサーバーや設置場所、インターネット回線など、インフラに関する費用だけでなく、運用管理に要する費用などが必要となります。

これらの費用は大きな負担となることがあるため、ニーズに応えるかたちでレンタルサーバー事業者（ホスティング事業者とも呼ぶ）がユーザーに代わって必要なサーバーやネットワーク環境、運用管理の体制を整え、サービスとして提供しています。

通常、耐震設備の備わったデータセンターで運用され、システムの死活監視や電源の管理なども行われていますので、自社でサーバーを運用するよりも安価且つ安定したサーバーの運用が可能です。

レンタルサーバーには、複数のユーザーでサーバーのリソースを共有する共用レンタルサーバーとサーバー1台を専有することができる専用レンタルサーバーがあります。お分かりいただけると思いますが、前者の共用の方が安価であり、後者の専用の方が高価です。

【解説】Webセキュリティ～Webサイトを取り巻く脅威と対策～

安心・安全なWebサイトの運営に欠かせない脆弱性対策、WAFによる対策について解説します。

レンタルサーバーのセキュリティの必要性

近年、レンタルサーバーを利用するのは企業だけでなく、個人での利用も増えています。個人でブログやアフィリエイトサイトを運営し、収益化を図る人が増えてきたこともあり、個人利用を想定した価格、コンセプトにしたサービスもあります。

それに伴って、ブログやWebサイトがサイバー攻撃の標的となり、被害を受けるケースも増えています。攻撃者からすると、運営しているサイトが企業のサイトか個人のサイトであるか関係のないことも多く、Webサイトを公開している以上、全ての利用者がターゲットになる可能性があります。

大事なコーポレートサイトやブログがサイバー攻撃を受けると、データを改ざんされたり、個人情報を窃取される恐れがあります。漏洩した情報が顧客や取引先に関係したものであれば、賠償責任を問われることもあるでしょう。

個人利用だから、重要な情報は保存されていないからと、事態を重く受け止めないケースもまだまだありますが、踏み台として悪用されることで加害者とみなされる可能性もあります。

レンタルサーバーを利用する場合は、セキュリティ対策にも気を配り、どのようなセキュリティ対策が備わっているかを知り、有効活用するようにしましょう。

レンタルサーバーの8つのセキュリティ対策

それでは、主要レンタルサーバーに実装されている8つのセキュリティ対策について、特徴を整理していきましょう。

SSL

SSL（Secure Sockets Layer）とは、情報を暗号化するセキュリティシステムのことです。インターネット上でやり取りされるさまざまな情報を暗号化して送受信することで、データを第三者に盗み見されることを防ぎます。

近年は常時SSL時代と呼ばれており、多くのWebサイトがセキュリティ対策としてSSLを導入しています。ネット通販やSNSなどが普及した現代では、氏名や住所、電話番号、クレジットカード番号といったデリケートな個人情報がネット上で頻繁に送受信されています。各種アカウントのIDやパスワードなども、重要な情報となります。

SSLを導入していないサイトで個人情報を送受信すると、悪意ある第三者がサイトに不正にアクセスすることで、情報漏洩が起こり得ます。情報が暗号化されていないため、重要なデータをそのまま閲覧することができるからです。

当然、レンタルサーバーにおいても実装されており、SSLサーバー証明書の種類によって、有償・無償を選択できるようになっています。

SSL化されているサイトやブログは、URLが「http://」ではなく、「https://」になります。最近のブラウザは、鍵マークやメッセージによって、HTTPかHTTPSかを分かりやすく表示してくれますが、利用者としても意識するようにしましょう。

ウイルス対策・スパム対策

私たちが風邪をひいて体調を崩すことがあるように、パソコンやサーバーの動作を阻害するコンピュータウイルスの存在は、今も昔も脅威です。

個人利用、ビジネス利用といったサービスレベルもありますが、Webサービスとメールの利用が中心となるレンタルサーバーには、いずれもウイルス対策の機能が備わっていることが多くなっています。メールの利用については、厄介なスパム対策（迷惑メール対策）も近年は普通のこととなっています。

ファイアウォール

ファイアウォールは、信頼できる領域の内外において、ネットワークの境界線でアクセスを制御するセキュリティ対策です。数十年にわたり、ウイルス対策とともにセキュリティ対策の基本とされていましたので、どのようなセキュリティ対策か知っている人も多いと思います。

レンタルサーバーの場合、特に利用者が意識することなく、レンタルサーバー事業者がサービスの提供に必要なレベルで、アクセス制御をしています。また、日本以外からのアクセスを制御する機能を提供しているサービスもありますので、有効に活用したい機能の一つになります。

専用サーバーサービスを利用している場合、オプションとしてファイアウォール機能が提供されていることがあります。サービスやオプションの内容にもよりますが、柔軟且つ細かな設定ができることもありますので、必要に応じてサービスメニューを確認すると良いでしょう。

IDS／IPS

IDS（Intrusion Detection System）とは、サーバーで不正な通信があった際に、システム管理者へ通知するシステムのことです。不正侵入検知とも呼ばれます。

IPS（Intrusion Prevention System）とは、不正アクセスを検知するだけでなく、データ改ざんや乗っ取りなどを防ぐために、その通信をブロックするシステムのことです。不正侵入防止システムとも呼ばれます。

似たような仕組みを持つものにファイアウォールがありますが、IDS／IPSはファイアウォールでは検知できない不正侵入も検知することができ、IPSではブロックすることも可能です。

IDSは、ネットワーク型とホスト型に分けられます。不正侵入を監視するのがネットワーク型で、ホスト型はセキュリティ対策を実施したいサーバーに設置し、ログやデータをチェックすることで監視を行います。

レンタルサーバーにおいては、事業者による運用管理のもと、標準でシステムに組み込まれていることもありますが、ビジネス向けプランのみであったり、専用サーバーサービスのオプションとして提供されることが多くなっています。

WAF

WAF（Web Application Firewall）は、Webアプリケーションの脆弱性を悪用する攻撃からWebサイトを保護するセキュリティ対策です。

ファイアウォールという名称を含みますが、前述のファイアウォールとは性質が異なり、Webサイトに対するHTTP/HTTPS通信のデータを検査し、サイバー攻撃からWebサイトを保護する役割を担います。ファイアウォールやIDS／IPSでは防ぎきれない攻撃に対応することができ、情報漏洩やサイト改ざんなどを防ぎます。

CMSとして有名なWordPressもWebアプリケーションの一つです。脆弱性が発見されると、その一つの穴を狙ったサイバー攻撃を受ける可能性があります。世界的に見てもWordPressのシェアは高く、コーポレートサイトやブログの運営にWordPressを活用する人が非常に多くなっています。

レンタルサーバーには、簡単インストールなどのWordPressに特化したサービスが備わっていることが当たり前となっており「レンタルサーバー、それはつまりWordPressの利用」と言っても過言ではないほどです。それ故に、WordPressがサイバー攻撃のターゲットになりやすいのも事実です。

このような状況から、ここ10年ほどでレンタルサーバーにおいても、必要不可欠なセキュリティ対策としてWAFの実装が急速に進んでいます。当社が提供している「SiteGuardシリーズ」は、国内の大手レンタルサーバーのセキュリティ対策として、WAFの標準提供に貢献しています。レンタルサーバーを選定する際は、ぜひWAFの実装有無についても意識するようにしてください。

改ざん検知

サーバー上のコンテンツを監視し、第三者の不正アクセスによってデータの改ざんが起きた場合、管理者に改ざんの可能性があることを知らせるセキュリティ対策です。

Webサイトやブログでデータの改ざんが起きても、見た目上は気付かないことがほとんどです。以前は、分かりやすく画像を改ざんすることもありましたが、見た目を変えずに不正なスクリプトを挿入し、マルウェアを配布するサイトへ誘導するなど、攻撃の手法も変わってきています。

このような攻撃に対して、改ざん検知が効果を発揮します。不正なスクリプトが挿入されていないか、元のファイル（コンテンツ）と差異がないかを確認することで、改ざんの有無をチェックします。

レンタルサーバーにおいては、オプションとして提供されていることが多くなっています。

バックアップ・ステージング

レンタルサーバーには、バックアップの機能が実装されていることが多くなっていますので、有効に活用しましょう。サイバー攻撃を受けてしまったあとのリカバリだけでなく、サイト更新のミスによる動作不良をリカバリするためにも大いに役立ちます。

また、レンタルサーバーによっては、ステージング環境としても利用できるサービスが提供されていることがあります。本番環境へ変更を加える前に、ステージング環境によって動作を確認することができます。ここまで、外部からの攻撃に対するセキュリティを中心に解説してきましたが、サービスを正常に提供し続けるという視点（可用性）も大切です。

SSH

SSHは「Secure Shell」の略称で、サーバーの運用管理において安全にデータを送受信するための一つの手段となります。

共用レンタルサーバーの利用において意識することは少ないかもしれませんが、FTPに代わり安全にファイルを送受信できるSCP（Secure Copy）にも活用されています。エンジニアにとって、サーバーの設定や管理にコマンドを多用することは普通ですが、SSHの利用が当たり前であることは、特に専用サーバーを選択する読者の方々にはご理解いただけるのではないかと思います。

SSHには、パスワード認証と公開鍵認証があります。後者の公開鍵認証は、「鍵」を持たない環境からのアクセスを禁止することができるため、よりセキュリティレベルが高くなります。共用であってもレンタルサーバーによっては、公開鍵認証の機能が提供されていることがありますので、一つの選定基準とすると良いでしょう。