企業だけでなく個人の方でも、レンタルサーバー(共用)を使うことにより、独自ドメインによるホームページやメールアドレスの運用が手軽にできます。しかしながらホームページやメールアドレスは、悪意ある第三者の攻撃対象になりえるため、セキュリティ対策は必須です。この記事では、レンタルサーバー(共用)においてどんなセキュリティ対策が必要か解説しています。
あわせてカゴヤの共用レンタルサーバーにおいてそれぞれのセキュリティ設定を行うための方法を紹介しているため、ご利用中のお客様は是非参考にしてください。
目次
なぜレンタルサーバーのセキュリティ対策が必要なのか?
ホームページの公開やメール送受信を行う場合、悪意のある第三者からの攻撃に対して対策しなくてはなりません。仮に不正アクセスを受けたり、メールを使うユーザーがウイルス感染したりした場合、ホームページの乗っ取りやデータ改ざん、情報の漏洩などの被害につながります。このような事態になるのを防ぐためにも、セキュリティ対策が必要なのです。
なおレンタルサーバーを利用する場合、当然のことながらレンタルサーバー側でも対策はしています。けれどサーバーを使いどのようなプログラムを動かすか、どんな運用をするかはユーザーに任される部分なので、レンタルサーバー側の対策では全ての攻撃を防御することはできません。そこでレンタルサーバーを利用するユーザー自身で、対策が必要になるわけです。
やっておくべきセキュリティ対策6つ
- SSL
- IDS/IPS
- WAF
- ファイル改ざん対策
- アクセス制限
- メールウィルスチェック・スパムメールフィルタ
1) SSL
SSLとは、インターネット上に流れるデータを暗号化する方法です。今では、多くのホームページでSSLが採用されています。
インターネットでは通常、データは暗号化されない状態で送受信されます。訪問者がホームページをみにきた場合も同様です。閲覧したホームページのデータは誰でも読み取れる状態のままで、訪問者のパソコンやスマートフォンへダウンロードされます。またショッピングや資料請求などで、訪問者がホームページ上から個人情報を送信する場合も、何もしなければそのデータは暗号化されないままでインターネット上に流れることになります。
この状態で仮に悪意のある第三者がデータを盗聴した場合、送受信されるデータが盗まれたり改ざんされたりしてしまう可能性があるのです。そこでSSLにより暗号化すれば、データの盗聴を防ぐことができます。
なおSSLによる暗号化が行われたホームページのURLは「http://~」ではなく、「https://~」から始まります。そのホームページがSSLで暗号化されているか確認したい場合は、URLを確認してみてください。
SSLの仕組みや一般的な導入方法の詳細は以下URLでも解説しておりますので、興味があればあわせてご覧ください。
【図解】SSLとは?SSL/TLSの仕組みについてわかりやすく解説します
インターネット上で各種のサービスを利用する際、行き来している大切な情報が書かれているデータは、どのようにして守られているのでしょうか。その実現にはSSL/TLSという技術が役立っています。まさに今ご覧になっているこちらのページでも、この安心できる仕掛けが動いています。現在は導入が楽になり、多くのWebサイトで使われるようになりました。こちらの記事ではSSL/TLSの仕組みと導入方法について、2回に…
SSLの設定方法
カゴヤの共用レンタルサーバーでSSLを利用する場合は、サーバーに「SSLサーバー証明書」を導入します。SSLサーバー証明書とは、ホームページ運営者の実在を確認し、サーバーと訪問者のブラウザ間で送受信するデータを暗号化するのに必要となる電子証明書です。
カゴヤの共用レンタルサーバーでは、「Let’s Encrypt」と呼ばれる無料のSSLサーバー証明書を利用できます。ここではLet’s Encryptを使ったSSLの設定方法を紹介します。
(1) まずはコントロールパネルからログインします
(2) メニューから「SSL」→「SSLサーバー証明書購入」を選択します。
※今回は無料の証明書を利用するため、料金が発生することはありません。ご安心下さい。
(3)「SSLサーバー証明書購入」のページが表示されます。以下の項目を選択します。
| 種別 | 「ドメイン認証SSL」 |
|---|---|
| ブランド | 「Let’s Encrypt」 |
(4)「次へ進む」をクリックします。
(5)「SSLサーバー証明書購入 – Let’s Encrypt」の画面が表示されます。「コモンネーム」欄で、SSLで暗号化するホームページのURLを選択し、「申し込み」をクリックします。
(6)「SSL証明書設置リクエストをお受け取りしました。」と表示されます。サーバー側でSSLサーバー証明書の設置が完了すると「設置完了メール」が届きますので、それまでお待ちください。設置完了までにかかる時間は数分から数時間程度です。SSLサーバー証明書が完了すると、SSLが使えるようになっています。ホームページが「https://~」から始まるURLでアクセスできるか確認してみて下さい。
※途中でエラーがでた場合の対処方法など、設定に関する詳細については以下URLで確認してください。
>無料SSL(Let’s Encrypt)の利用 – KAGOYA Internet Routing
2) IDS/IPS
IDS/IPSとは、ネットワークに流れるパケットの中身を監視し不正侵入を検知・防御するシステムです。ネットワークのセキュリティを守るシステムとしてはファイアウォールもありますが、役割が異なります。ファイアウォールはデータの送信元・送信先の情報を基に防御を行う一方、パケットの中身まではみません。そのためIDS/IPSではファイアウォールでは防げない種類の攻撃を検知できます。
IDS/IPSについては、以下コンテンツでより詳しく解説しておりますので、よろしければあわせてご覧ください。
IDS・IPSとは、ネットワークにおいて不正侵入を検知・防御するシステムです。ネットワークのセキュリティを守るソフトウェアや機器としてはファイアウォールがよく知られていますが、IDS・IPSではファイアウォールでは実現できない対策が可能となっています。 この記事では、IDS・IPSの概要やそれぞれの役割について、イラストを用いてわかりやすく解説しています。 IDS・IPSとは?仕組みと違い ここで…
なおカゴヤの共用レンタルサーバーサービスでは、IDS/IPSが標準装備されています。(設定をしなくても有効です。)
3) WAF
WAF(ワフ)とはWeb Application Firewallの略で、WordPressなどのWebアプリケーションの脆弱性をつく攻撃を守ることに特化したファイアウォールのことです。従来のファイアウォールやIPS/IDSでは検知できなかったWebアプリケーションに対する攻撃を、WAFであれば防御できる可能性があります。SQLインジェクションやクロスサイトスクリプティングなど、Webアプリケーションの脆弱性を悪用した攻撃が増加しており、Webアプリケーションを運営する企業にとって、WAFは必須のセキュリティ対策の1つとなっています。
WAFについての詳細は、以下コンテンツで詳しく解説しているので、よろしければあわせてご覧ください。
WAFの役割と重要性、JP-Secureホスト型WAF「SiteGuard Lite」の魅力を徹底調査
WAF(ワフ/ Web Application Firewall)とは、SQLインジェクションやクロスサイトスクリプティングのようなWebアプリケーションの脆弱性を悪用した攻撃から、Webサイトを守るソフトウェアやハードウェアです。WordPressなどのWebアプリケーションを運用する企業にとっては、WAFの導入が必須のセキュリティ対策となっています。 WAFについて、カゴヤのサーバー研究室では…
WAFの設定方法
カゴヤの共用レンタルサーバーでは、コントロールパネルからWAFを有効化することができます。以下、具体的な設定方法を解説します。
(1) コントロールパネルからログインします
(2) メニューから「Webサイト」→「WAF」→「WAF設定」を選択します。
(3)「WAF設定」画面が表示されます。「共通設定」で「WAF設定」を「ON」にして「設定」をクリックすると、その契約に紐づく全てのドメインに対してWAFが有効となります。
※特定のドメインのみWAFを有効にしたい場合など、設定に関するより詳細な情報については以下URLで確認できます。
>WAF の設定 – KAGOYA Internet Routing
4) ファイル改ざん対策
ホームページのファイル改ざんとは、悪意のある第三者にホームページの内容を勝手に書き換えられてしまうことを指します。場合によっては、ホームページに不正なサイトへアクセスさせるためのリンクを仕込み、そのリンクをクリックしてしまった第三者のPCをウイルス感染させたり、PCに保存されている重要な情報を盗みとったりする場合もあります。
ファイル改ざんが起きてしまう原因は複数あげられますが、管理者の方のPCがマルウェア(ウイルス・スパイウェア)に感染してFTPアカウント情報が盗まれ、悪意のある第三者に利用されてしまうというのもその1つです。
ホームページのファイル改ざんは、サーバー側のセキュリティ対策だけでは防げません。お客様ご自身で、以下にあげるような対策をする必要があります。
- OSやソフトウェア(Microsoft Office等)を常に最新の状態にアップデートする
- PCにウイルス対策ソフトを導入する
- 定期的にパスワードを変更する
- FTPのアクセス制限を実施する(特定のIPアドレスからしかFTPで接続できないようにする)
- WordPressなどのWebアプリケーションを常に最新の状態にアップデートする
- WordPressの管理画面などにアクセス制限をする
ホームページのファイル改ざんを防ぐ方法に関しては、以下URLでより詳しく解説しておりますので、よろしければあわせてご覧ください。
>セキュリティ対策のお願い – KAGOYA Internet Routing サポートサイト
FTPのアクセス制限
ここでは改ざんを防ぐ方法のなかでも、FTPのアクセス制限をカゴヤの共用レンタルサーバーで設定する方法を紹介します。
(1) コントロールパネルからログインします
(2) メニューから「FTPアクセス設定」→「メイン設定」を選択します。
(3)「FTPアクセス設定」の「メイン設定」画面が表示されます。「FTPアクセスの設定」で「制限」を選び「更新」をクリックします。これでFTPアクセス制限が有効となります。このあと、FTPアクセスを許可する許可ホスト(接続元IPアドレス等)を登録することが必要です。※この段階では全ての接続元からアクセスができません。
(4) メニューから「FTPアクセス設定」→「常時接続許可」を選択します。
(5)「FTPアクセス設定」の「常時許可」画面が表示されます。「許可ホスト」にFTPでアクセスを行う接続元のIPアドレスなど(※1)を、「備考」にその許可ホストに関するメモ(例:「本社」「●●支店」など)(※2)を入力して「追加」をクリックします。
※1 許可ホストにはIPアドレスの他、「/24」までのCIDR表記(例:192.0.2.0/24)やホスト名(例:59-168-61-33.rev.home.ne.jp)、ドメイン名(例:.example.com)での登録も可能です。
※2 備考に入力する内容に決まりはありません。ご自身で分かりやすい内容を登録ください。
※許可する接続元を追加・削除したい場合など、FTPアクセス制限の詳細については以下URLでご確認ください。
>FTPアクセス制限 – KAGOYA Internet Routing
5) アクセス制限
アクセス制限とはホームページの特定のディレクトリに対して、第三者のアクセスを禁止するための設定のことです。たとえばWebアプリケーションの管理画面が保管されたディレクトリに制限をかければ、悪意のある第三者がそのディレクトリへアクセスできないようになります。
アクセス制限の設定方法
カゴヤの共用レンタルサーバーではコントロールパネルから、指定のディレクトリに対するアクセスを特定のユーザーにのみ制限することができます。以下、具体的な設定方法を解説します。
(1) コントロールパネルからログインします。
(2) メニューから「Webサイト」→「アクセス制限」→「ユーザー管理」を選択します。
(3)「ユーザー管理」画面が表示されます。ここでアクセスを許可するユーザーを作成します。「ユーザー名」と「パスワード」を入力し、「追加」をクリックするとユーザーが作成されます。複数のユーザーを作成したい場合は、この作業を繰り返してください。
(4) 次にメニューの「Webサイト」→「アクセス制限」→「ディレクトリ制限」を選択します。
(5) 「ディレクトリ制限」画面が表示されます。「ディレクトリ追加」欄で、制限をかけるディレクトリを選択します。「認証メッセージ」には、該当するディレクトリへアクセスした際に表示させるメッセージを入力してください。(任意の文字列で結構です。ただし日本語はブラウザによっては文字化けしてしまうので注意してください。)
(6)「ユーザー管理で登録されている全てのユーザーから、アクセスを許可する」にチェックをいれて「設定」をクリックすると、先ほど「ユーザー管理」で作成したユーザーからのアクセスのみ許可することができます。
なおアクセス許可するユーザーを一部に限定したい場合など、設定に関するより詳細な情報は、以下URLで確認できますので必要であればあわせてご覧ください。
>アクセス制限 – KAGOYA Internet Routing
6) メールウィルスチェック・スパムメールフィルタ
悪意のある第三者が、メールにウイルスを添付して送ることがあります。仮にその添付ファイルを開いてしまうと、お客様のパソコンがウイルス感染してしまう可能性があるので注意が必要です。また送られてきたスパムメールのリンクを安易にクリックしてしまうと、リンク先でウイルス感染してしまうことがあります。そうして、お客様のパソコンがウイルス感染すると、管理画面のユーザー名・パスワードが盗まれ改ざんされてしまう可能性があるわけです。
その上で、メールウィルスチェックとは、お客様宛のメールにウイルスが添付されていないか検知・駆除する機能です。この機能を使うことにより、メールボックスにはウイルスが検知されなかったメールのみ保管されることになります。
次にスパムメールフィルタとは、お客様に迷惑メールが届かないようにする機能です。カゴヤの共用サーバーでスパムメールフィルタを使う場合、迷惑メールと判定されたメールの件名に[spam]という文字列を追加します。お客様は、その文字列を基にメールソフトの設定で自動振り分けを行うことによって、迷惑メールが受信箱に入らないようにすることが可能です。
メールウィルスチェック・スパムメールフィルタの設定方法
カゴヤの共用レンタルサーバーでは、標準でメールウィルスチェックが有効になっています。そのためメールウィルスチェックを使うために、追加で設定をする必要はありません。一方、スパムメールフィルタに関してはコントロールパネルから別途利用申し込みをする必要があります。(利用にあたって追加料金はかかりません。)
以下、申込方法を紹介します。
(1) コントロールパネルからログインします
(2) メニューから「メール」→「オプションサービス」→「迷惑メール対策」を選択します。
(3)「迷惑メール対策オプション」画面が表示されます。表示された注意事項を確認し、問題がなければ「確認」の欄のチェックボックスにチェックを入れ、「次へ」をクリックします。
(4) [お申し込みの確認]が表示されます。注意事項を確認し、問題がなければ「申し込み」をクリックします。
(5) サーバーの準備が完了すると、サポートセンターからお客様宛に以下のメールがとどきます。
件名:【KIRサポート:x月x日までにご返信ください】迷惑メール対策メールサーバー変更ご確認フォーム
送信者:support@kagoya.com
宛先:アカウント名@kagoya.net
メールの本文にある「迷惑メール対策メールサーバー変更ご確認フォーム」に必要事項を記入し、メールが指定する期日までにsupport@kagoya.com へ返信します。
(6) メールサーバー変更のスケジュールが決定し、お客様宛にサポートセンターから下記のメールが届きます。
件名:【KIRサポート】迷惑メール対策オプションの設定完了のお知らせ
送信者:support@kagoya.com
宛先:アカウント名@kagoya.net
これでスパムメールフィルタの申し込みは完了です。申し込み後、すでにカゴヤのメールアドレスをメールソフトに設定している場合、設定変更が必要となるので注意してください。
メールソフトの設定方法等の詳細は、以下URLで紹介しているためあわせてご確認ください。
>迷惑メール対策 – KAGOYA Internet Routing
まとめ
共用レンタルサーバーを利用しホームページ公開やメール送受信を行う場合は、セキュリティの対策を行っておく必要があります。仮に悪意のある第三者からの攻撃を受けた場合、ホームページのファイル改ざんや情報漏洩などの被害が生じる可能性があるためです。
カゴヤの共用レンタルサーバーでは、必要なセキュリティ設定の多くをコントロールパネルから設定できるようになっています。この記事を参考に、一度設定を見直していただければ幸いです。
「WordPressを導入したい」「色々な用途に使いたい」という人に!
なんでもできるKAGOYAのレンタルサーバー
法人利用率80%、多数の導入実績。
自社国内データセンターで25年以上の実績。障害に強いサーバー構成で、多くの法人様から選ばれています。
サーバー移転に伴う作業も専門スタッフにおまかせ下さい。
