【Web】レンタルサーバーのセキュリティ6つの対策

1. レンタルサーバーの主要なセキュリティ対策とは？

1－1．Webサイト暗号化（SSL）

SSLは通信データを暗号化し、悪意のある第三者からの盗聴を防止するために有効です。一般的なサーバーとWebサイトの通信は、「http://」で始まるアドレスが使われますが、安全で信頼性の高いSSLを導入する場合は「https://」が使われます。

現在は、問い合わせフォームなどの一部のページだけでなく、サイト全体で常時SSL化を行うことが一般化しています。Chrome 68以降のブラウザでは、SSL非対応のサイトのアドレスバーに「保護されていない通信」という警告が出ますし、将来的にその他のブラウザでも同様の措置が取られることが予想されます。もはや常時SSLは「やったほうがいい」対応ではなく「やらなければいけない」対応です。

詳しくはこちらの記事もご覧ください。

1－2．WAF

ファイアウォールは外部からの攻撃や不正な通信をブロックすることができますが、WebサイトやWebサービスを狙ったサイバー攻撃を防ぐことはできません。

そこで、Webアプリケーションの脆弱性を攻撃する悪意のある第三者からサイトを守るために、WAF（ウエブ・アプリケーション・ファイアウォール）が適用されます。HTTPの経路に怪しい通信が見つかればこれを遮断し、問題ない通信だけを許可するのがWAFの主な機能です。

詳しくはこちらの記事もご覧ください。

1－3．ウェブ改ざん検知

Webサイトが悪意のある第三者に改ざんされた場合、管理者はいち早くWebサイトの異常を検知して、適切な処理を施し被害の拡大を最小化する必要があります。

しかし、異常状態の検出を人間が逐次行う方法には限界がありますので、セキュリティ対策の一環として、ウェブ改ざんの検出を自動化し、Webサイトの管理者にただちに通知することが可能となります。

1－4．マルウェア診断

マルウェアとは、有害な働きかけを行う不正なソフトウェアやコードの総称です。マルウェアがWebサイトに埋め込まれると、サイト訪問者が被害を受ける恐れがあります。

マルウェア診断サービスを利用すれば、不正なマルウェアがWebサイトから検出された際にメールで通知を受け取ることが可能。異常にすぐに気付き、対策を打つことができます。Webサイトを安全に運用するためには必須の機能です。

1－5．IDSとADS

IDSは外部からの不正侵入を検出するシステムです。ADSはIDSよりもさらに進んで、不正侵入の検出と通信のブロックまでを自動的に行うため、迅速な対処が可能です。

1－6. メールシステムのセキュリティ

メールシステムを使う上で、情報漏えいやシステム本体への攻撃など様々な種類の脅威があります。一般的なレンタルサーバーが装備しているメールのセキュリティ対策の機能には、迷惑メールに対処するスパムフィルター、怪しい添付ファイルをブロックするウィスルチェック、およびメールを暗号化する手法などがあります。それぞれ、詳細を解説します。

1-6-1. ウィルスチェック

メールに添付された実行ファイルやその他の偽装ファイルを事前に検知し、マルウェアやウイルスの感染など有害な攻撃からコンピューターを保護します。

1-6-2. スパムフィルター

迷惑メールを判定・抽出するために、どんなルールでフィルタするかが重要です。たとえば検知ルールを自動学習するものや、データベースを逐次更新するタイプなどがあります。

1-6-3.メールの暗号化

POP over SSLやSMTP over SSL、IMAP over SSLといったメール暗号化技術を利用できるかどうかは重要です。悪意ある第三者による盗み見を防げるからです。これらのメール暗号化技術は、メールクライアント（電子メールを送受信するためのソフト）とメールサーバー間の通信経路を暗号化する技術です。

2．レンタルサーバーのセキュリティで特に重視すべきポイント

2－1．レンタルサーバーの標準セキュリティは十分か？

レンタルサーバー会社が標準で用意しているセキュリティ機能を、まずはチェックしましょう。特に、Webサイトやメールのセキュリティは、サイト運営において特に重視したいポイント。WAF機能やメールのスパム・ウィルスチェック機能が標準搭載されているかどうかを、一つの判断基準にするといいでしょう。

2－2．WAF（ウエブ・アプリケーション・ファイアウォール）が搭載されているかどうか

WAFはファイアウォールでは防ぐことができない攻撃を検知したり、通信を遮断したりするなどの対処ができますので、セキュリティを確保するためにも導入を検討する必要があります。

WAFが導入されていないレンタルサーバーの場合、別途WAFのサービスを導入しなければならず時間と手間がかかります。したがって、セキュリティやコストパフォーマンスを重視するなら、WAFも対応しているレンタルサーバーを候補として検討する必要があるでしょう。

2－3．Web改ざん検知・マルウェア診断を利用できるかどうか

万が一、Webサイトが改ざんされた場合、サイト内の被害にとどまらずサイト訪問者に迷惑をかけてしまう恐れがあります。Web改ざん検知・マルウェアの診断ツールがあれば、Webサイトの異変を自動でチェックできますので、管理者が素早く被害を検知し対策を講じることが可能です。

サーバーを選ぶ際には、この有用な機能が利用できるのか確認すべきでしょう。

2－4．SSLサーバー証明書を利用できるかどうか

セキュリティの主要機能の一つであるSSLを適用するためには、SSLサーバー証明書が必要になりますが、他社で購入したSSLを利用できないケースがありますので注意が必要です。特にサーバーの乗り換えの際に問題となるかもしれません。もちろん標準機能で無料SSLが利用できる場合は、この限りではありません。

レンタルサーバーを契約した会社が提供するSSLサーバー証明書しか適用できない場合は、費用がどれくらいになるかまで検討すべきです。

まとめ

ここまで、代表的なセキュリティ対策の機能をピックアップして、その内容を紹介してきました。レンタルサーバーを選定する上で、どんなセキュリティ対策がサポートされているのかは重要な条件です。

CPIのレンタルサーバーは豊富なセキュリティ機能を搭載しており、外部からの攻撃に対する備えは万全。今回ご紹介してきたSSLサーバー証明書やWAF、マルウェア診断、Web改ざん検知など、必須となる機能を網羅して強固なセキュリティを実現しています。お見積りやお申込みなど、お気軽にお問い合わせください。