レンタルサーバーのセキュリティ対策の方法

 2017.08.07 Secure Enterpriseポータル

fWebサイトへのサイバー攻撃は、徐々に落ち着きを見せています。JPCERTコーディネーションセンターの四半期レポートによれば、2017年4月6月のWebサイト改ざん件数は461件と、前四半期より52減少しています。最近になり企業のセキュリティ意識が急激に高まり、Webサイトを保護する企業が増えていることから、こうした数字をマークしているのだと思います。

しかし、攻撃事態は悪質化する一方です。同じくJPCERTコーディネーションセンターの四半期レポートのよれば、改ざんされたWebサイトに組み込まれたスクリプトは、いずれもランサムウェアをダウンロードさせるものだといいます。

ランサムウェアとは、感染した端末は内部のファイルをロックし、それを人質に金銭を要求するというものです。シマンテックの「2017 年インターネットセキュリティ脅威レポート」によれば、シマンテックは100種類の新しいマルウェアファミリーを発見し、これは、昨年の3倍の数に当たります。さらに、世界のランサムウェアによる攻撃件数は36増加しているといいます。

現在は落ち着きを見せているWebサイト改ざんも、ランサムウェアの台頭により、今後件数を挙げていくことが予測できます。そうしたとき、Webサイトのセキュリティ対策はどのようにしていけばいいのでしょうか

気になるレンタルサーバのセキュリティ対策

現在Webサイトを運営している企業の多くが、レンタルサーバを利用しています。Webサイトはあくまで、顧客とのコミュニケーションや商品販売を行うための一つの手段であるため、レンタルサーバを利用している企業が多いのです。

社内のサーバを設置せず、サービス事業者が提供するサーバを利用するので、どういったセキュリティ対策があるのか、疑問になる方も多いでしょう。基本としては、レンタルサーバが提供するセキュリティ対策機能を使用します。

たとえば、レンタルサーバサービスの中でも高いシェアを持つGMOクラウドならば、共用SSLが標準装備されていたり、メールウイルス除去サービスをオプションで追加したり、セキュリティ対策を強化することができます。

同じく高いシェアを持つさくらインターネットでは、簡易WAF機能を利用することができます。

このように、レンタルサーバのセキュリティ対策は基本、サービス事業者が提供する機能を利用します。 

セキュリティ機能だけでサイバー攻撃からWebサイトを保護できるのか

単刀直入に言えば、レンタルサーバで提供されているセキュリティ機能だけでは、Webサイトを保護することはできません。厳密に言えば、防御できないサイバー攻撃が多数存在します。

たとえばWebサイトセキュリティの代名詞でもあるSSLですが、これはユーザーとWebサイトの通信を暗号化する機能です。通信を暗号化することで、第三者によるデータの傍受を防ぎます。しかし、Webサイトを狙ったサイバー攻撃は、データ傍受だけではありません。

“SQLインジェクション攻撃”は、Webアプリケーションの脆弱性(セキュリティ上の欠点)を突き、データベースから情報を直接搾取するサイバー攻撃です。Webサイト内の入力フォームに不正文字列を入力することで、データベースを操作し情報を入手します。 

“クロスサイトスクリプティング”攻撃は、ユーザーのアクセスによってWebサイトが表示される動的ページに不正スクリプト(簡易プログラム)を組み込ませ、ユーザーが特定の行動をした際に不正スクリプトが軌道します。これにより、個人情報を搾取されてしまったり、アカウント乗っ取りへとつながります。

このように、Webサイトを狙ったサイバー攻撃は実に多様で、悪質です。SSLだけでは、すべてのサイバー攻撃を防御することは到底できません。むしろ、SSLによる暗号化通信で通信内容を把握出来ないことを利用して、サイバー攻撃を仕掛けるケースもあります。

レンタルサーバにもWAFを導入しましょう

WAFは「ウェブ・アプリケーション・ファイアウォール」の略で、Webサイト保護において高い効果を持つセキュリティ製品です。

Webサイト通信にはHTTPという規格が用いられています。しかし、通常のファイアウォールでHTTP通信の中身まで精査することはできません。このたため、正常通信を装っていれば、たとえサイバー攻撃であっても通信を許可してしまいます。もちろん、SSLであっても防御することはできません。 

HTTPというWebサイト特有の通信規格を精査するためには、WAFが必要です。 

WAFは通常のファイアウォールと違い、Webアプリケーションに対するHTTPの通信内容まで精査し、悪質な通信かどうかを判断します。悪質な通信ならば遮断し、そうでなければ通信を許可するので、SQLインジェクションやクロスサイトスクリプティングに対しても有効です。

オプションとしてセキュリティ機能を提供していたり、簡易WFAを導入できるレンタルサーバはありますが、セキュリティ対策としては心もとないのが事実です。ですので、WAFを導入し、レンタルサーバのセキュリティ対策を高めることが大切です。 

クラウド型WAFなら運用負荷がかからない

企業がレンタルサーバを利用するメリットは、運用負荷がないことです。社内にサーバを設置する必要がないので、運用作業が必要ありません。そうしたメリットを損ねないためにも、クラウド型WAFがおすすめです。 

クラウド型WAFはレンタルサーバ同様に、社内サーバを設置することなく利用できます。ユーザー企業でDNS設定を変更するのみで利用できるので、運用負荷がありません。レンタルサーバセキュリティ対策を強化するためにサーバを設置しては本末転倒なので、WAFを導入する場合は、やはりクラウド型WAFの導入をおすすめします。 

シマンテッククラウド型WAFについて

シマンテッククラウド型WAFは短期間・低コストでの導入を実現するWAF製品です。最新のセキュリティ対策を自動で更新するので、ユーザー企業はWAF運用を意識することなく、レンタルサーバセキュリティを強化できます。

SQLインジェクションやクロスサイトスクリプティングといったサイバー攻撃はもちろん、パスワードリスト攻撃やゼロデイ攻撃といったサイバー攻撃にも対応でき、Webサイトを強力に保護します。

まとめ

運用レスや低コストなど、メリットの多いレンタルサーバですが、セキュリティに不安が残るのも事実です。サイバー攻撃が日々深刻化する中、Webサイトは格好の的になっています。様々な脅威からレンタルサーバ、並びにWebサイトを保護するためにも、WAFの導入をご検討ください。