ホスティング（レンタルサーバ）はセキュリティ対策されている？

ホスティングサービスのセキュリティは大丈夫？

サービス事業者が提供するサーバを利用するホスティングサービス。そのセキュリティ面は大丈夫なのでしょうか。Webセキュリティの現状を踏まえ、ホスティングサービスのセキュリティについて解説します。

すべてのサーバがサイバー攻撃の標的になっている

ECサイトやSNSの普及によりインターネット上では多くの個人情報がやり取りされています。その情報を不正に入手するためのサイバー攻撃は日々進化しています。大企業だけでなく、中小企業や個人もサイバー攻撃の標的です。

ホスティングサービスも同様であり、多くのユーザーが利用するホスティングは、サイバー攻撃の対象になりやすいといえるでしょう。

攻撃者はシステムの脆弱性を狙って攻撃を仕掛けることが多いです。すべての企業にとって、システムの脆弱性対策を実施しセキュリティを強化することが必要でしょう。

ホスティングなら比較的セキュリティを強化しやすい

ホスティング事業者のサーバは、ICカードや指紋認証などセキュリティ対策が施される専用ルームに設置され、第三者は容易に入室できないため、内部からの不正操作には非常に強いといえます。一方、企業の多くはサーバ専用ルームを設置していないため、第三者の接触が可能で不正が起こりやすい環境です。

さらにホスティングサービスは外部からの攻撃に対して、守る目的や場所によって異なるセキュリティを用意しています。不正アクセス防止が目的であればファイアウォール、Webサイトへの攻撃防止であればWPSなど、利用者によってセキュリティの必要な場所や目的は異なります。

自社の目的に合ったサービスを選ぶことで、最適なセキュリティ対策を実施できます。

ホスティングサービスの主なセキュリティ対策は？

ホスティングサービスで利用したい５つのセキュリティ対策を紹介します。

１．SSL

Secure Sockets Layerの略で、サーバ・パソコン間の通信情報を暗号化します。

盗聴や改ざんを防げるため、インターネット上で個人情報のやり取りを行うには必要な技術です。インターネットで買い物をする場合、SSLで暗号化されていないと顧客・クレジット情報が盗聴される恐れがあります。

「https://」で始まるWebサイトはSSLを導入しており、「http://」で始まるものは導入していません。悪意ある攻撃から個人情報を守るためにも、SSLは必須です。

２．ファイアウォール

サーバへアクセスするIPアドレスやポート番号を制限し、許可したもののみ通信を許可する技術です。事前にIPアドレスやポート番号を設定することで、不正アクセスやサーバの乗っ取りなどの攻撃を防ぎます。

しかし、許可した通信からの攻撃は防ぐことができないため、これをカバーする別のセキュリティ対策が必要です。ファイアウォールの機能をカバーする、WAFや・IPSを以下で紹介します。

ファイアウォールに関してもっと知りたい方は、以下の記事を参考にしてください。

関連記事

watch_later 2021.06.03

【最新】ファイアウォールおすすめ製品比較！セキュリティ機能も解説

続きを読む ≫

３．WAF

Web Application Firewallの略であり、Webアプリケーションやサイトの脆弱性を狙う攻撃を防ぐ技術です。

Webサイトへアクセスしようとする通信内容を攻撃かどうか解析し、攻撃とみなした場合は通信を遮断します。Webサイトの脆弱性を狙われた場合、サイト改ざんや管理者権限乗っ取りなどの被害を受ける可能性があります。

クラウドが発達する前のWAFの主な提供形態は、アプライアンス型・インストール型の２種類でした。これらはサーバへインストールするタイプであり、ホスティングへの対応は難しかったのですが、クラウド型の発達で様々な環境に対応できるようになり、多くのホスティングサービスでWAFが導入されています。

WAFについてさらに詳しく知りたい方は、以下の記事をご覧ください。

関連記事

watch_later 2021.06.03

「WAFとは？」初心者にもわかりやすく一から徹底解説！

続きを読む ≫

４．IDS・IPS

IDSはIntrusion Detection Systemの略で、不正侵入検知システムとも呼ばれます。サーバへの全てのアクセスを監視して、不審な通信情報を管理者に通知する技術です。しかし、Webサイトの脆弱性を狙う攻撃は検知できません。

IDSの監視方法は、ネットワーク型とホスト型の2種類です。ネットワーク型ではネットワーク上の全てのデータを監視し、ホスト型は通信により生成されるログやデータを監視します。IPSはIntrusion Prevention の略で、不正侵入防止システムとも呼ばれます。

サーバへのすべてのアクセスを監視して不審な通信情報を管理者に通知し、その通信を遮断する技術です。管理者の判断を待つことなく通信を遮断するため、迅速な対応が行えます。

IPSによる通信の遮断がシステムに適さないこともあるため、IDS・IPSのどちらを導入するかは、システムの運用方法によって選ぶ必要があります。

以下の記事では、IDS・IPSについて詳しく解説しています、ご興味のある方はご覧になってみてください。

関連記事

watch_later 2021.03.17

IDS・IPS（不正侵入検知・防御）の違いとは？種類や仕組みを徹底解説

続きを読む ≫

５．Web改ざん通知

サーバのコンテンツが改ざんされていないかどうか監視するサービスです。

改ざん発覚後、登録されている連絡先へ知らせます。最近では改ざんが巧妙化しており、目視での監視は難しいです。そのためWebサーバ上のOSで監視したり、別サーバからリモート監視を行い、検知の精度を高めています。

Web改ざん通知により、担当者は迅速な対応を図ることが可能です。

適切なセキュリティ対策を行っているホスティングを選ぼう！

ホスティングサービスでは以下のようなセキュリティ対策が用意されています。

• ■SSL
• ■ファイアウォール
• ■WAF
• ■IDS、IPS
• ■Web改ざん通知

自社の目的に合うホスティング事業者を選ぶことでセキュリティ強化につながります。ホスティング事業者のセキュリティーサービスの内容を精査して、適切なサーバ運用を実現しましょう。