【 Web 】レンタルサーバーの主なセキュリティ対策機能を6つ解説

1. レンタルサーバーの主要なセキュリティ対策とは？

レンタルサーバーにはどのようなセキュリティ対策機能があるのでしょうか。

ここでは主な機能を6つ解説します。

• Web サイト暗号化 ( SSL )
• WAF (ウェブ・アプリケーション・ファイアウォール)
• Web 改ざん検知
• マルウェア診断
• IDS と ADS (不正侵入検知システム)
• メールシステムのセキュリティ

1－1．Web サイト暗号化( SSL )

SSL は通信データを暗号化し、悪意のある第三者からの盗聴を防止するために有効です。一般的なサーバーと Web サイトの通信は、「 http://」で始まるアドレスが使われますが、安全で信頼性の高い SSL を導入する場合は「 https://」が使われます。

現在は、問い合わせフォームなどの一部のページだけでなく、サイト全体で常時 SSL 化を行うことが一般化しています。Chrome 68 以降のブラウザでは、SSL 非対応のサイトのアドレスバーに「保護されていない通信」という警告が出ますし、将来的にその他のブラウザでも同様の措置が取られることが予想されます。もはや常時 SSL は「やったほうがいい」対応ではなく「やらなければいけない」対応です。

詳しくはこちらの記事もご覧ください。

1－2．WAF (ウェブ・アプリケーション・ファイアウォール)

ファイアウォールは外部からの攻撃や不正な通信をブロックすることができますが、Web サイトや Web サービスを狙ったサイバー攻撃を防ぐことはできません。

そこで、Web アプリケーションの脆弱性を攻撃する悪意のある第三者からサイトを守るために、WAF（ウェブ・アプリケーション・ファイアウォール）が適用されます。HTTP の経路に怪しい通信が見つかればこれを遮断し、問題ない通信だけを許可するのが WAF の主な機能です。

詳しくはこちらの記事もご覧ください。

1－3．Web 改ざん検知

Web サイトが悪意のある第三者に改ざんされた場合、管理者はいち早く Web サイトの異常を検知して、適切な処理を施し被害の拡大を最小化する必要があります。

しかし、異常状態の検出を人間が逐次行う方法には限界がありますので、セキュリティ対策の一環として、Web 改ざんの検出を自動化し、Web サイトの管理者にただちに通知することが可能となります。

1－4．マルウェア診断

マルウェアとは、有害な働きかけを行う不正なソフトウェアやコードの総称です。マルウェアが Web サイトに埋め込まれると、サイト訪問者が被害を受ける恐れがあります。

マルウェア診断サービスを利用すれば、不正なマルウェアが Web サイトから検出された際にメールで通知を受け取ることが可能。異常にすぐに気付き、対策を打つことができます。Web サイトを安全に運用するためには必須の機能です。

1－5．IDS と ADS (不正侵入検知システム)

IDS は外部からの不正侵入を検出するシステムです。ADS は IDS よりもさらに進んで、不正侵入の検出と通信のブロックまでを自動的に行うため、迅速な対処が可能です。

1－6. メールシステムのセキュリティ

メールシステムを使う上で、情報漏えいやシステム本体への攻撃など様々な種類の脅威があります。一般的なレンタルサーバーが装備しているメールのセキュリティ対策の機能には、迷惑メールに対処するスパムフィルター、怪しい添付ファイルをブロックするウィスルチェック、およびメールを暗号化する手法などがあります。それぞれ、詳細を解説します。

1-6-1. ウィルスチェック

メールに添付された実行ファイルやその他の偽装ファイルを事前に検知し、マルウェアやウイルスの感染など有害な攻撃からコンピューターを保護します。

1-6-2. スパムフィルター

迷惑メールを判定・抽出するために、どんなルールでフィルタするかが重要です。たとえば検知ルールを自動学習するものや、データベースを逐次更新するタイプなどがあります。

1-6-3.メールの暗号化

POP over SSL や SMTP over SSL 、IMAP over SSL といったメール暗号化技術を利用できるかどうかは重要です。悪意ある第三者による盗み見を防げるからです。これらのメール暗号化技術は、メールクライアント（電子メールを送受信するためのソフト）とメールサーバー間の通信経路を暗号化する技術です。

2．レンタルサーバーのセキュリティで特に重視すべきポイント

ここからはレンタルサーバーを選ぶ際に、セキュリティ対策としてどのような点を重視して選ぶべきなのかを解説します。

次の4つの点をよく確認しましょう。

• レンタルサーバーの標準セキュリティは十分か？
• WAF（ウェブウエブ・アプリケーション・ファイアウォール）が搭載されているかどうか
• Web 改ざん検知・マルウェア診断を利用できるかどうか
• SSL サーバー証明書を利用できるかどうか

2－1．レンタルサーバーの標準セキュリティは十分か？

レンタルサーバー会社が標準で用意しているセキュリティ機能を、まずはチェックしましょう。特に、Web サイトやメールのセキュリティは、サイト運営において特に重視したいポイント。WAF 機能やメールのスパム・ウィルスチェック機能が標準搭載されているかどうかを、1つの判断基準にするといいでしょう。

2－2．WAF（ウェブ・アプリケーション・ファイアウォール）が搭載されているかどうか

WAF はファイアウォールでは防ぐことができない攻撃を検知したり、通信を遮断したりするなどの対処ができますので、セキュリティを確保するためにも導入を検討する必要があります。

WAF が導入されていないレンタルサーバーの場合、別途 WAF のサービスを導入しなければならず時間と手間がかかります。したがって、セキュリティやコストパフォーマンスを重視するなら、WAF も対応しているレンタルサーバーを候補として検討する必要があるでしょう。

2－3．Web 改ざん検知・マルウェア診断を利用できるかどうか

万が一、Web サイトが改ざんされた場合、サイト内の被害にとどまらずサイト訪問者に迷惑をかけてしまう恐れがあります。Web 改ざん検知・マルウェアの診断ツールがあれば、Web サイトの異変を自動でチェックできますので、管理者が素早く被害を検知し対策を講じることが可能です。

サーバーを選ぶ際には、この有用な機能が利用できるのか確認すべきでしょう。

2－4．SSL サーバー証明書を利用できるかどうか

セキュリティの主要機能の一つである SSL を適用するためには、SSL サーバー証明書が必要になりますが、他社で購入した SSL を利用できないケースがありますので注意が必要です。特にサーバーの乗り換えの際に問題となるかもしれません。もちろん標準機能で無料 SSL が利用できる場合は、この限りではありません。

レンタルサーバーを契約した会社が提供する SSL サーバー証明書しか適用できない場合は、費用がどれくらいになるかまで検討すべきです。

SSL サーバー証明書については、こちらの記事で詳しく解説しています。
レンタルサーバー初心者のための SSL サーバー証明書講座

まとめ

ここまで、代表的なセキュリティ対策の機能をピックアップして、その内容を紹介してきました。レンタルサーバーを選定する上で、どんなセキュリティ対策がサポートされているのかは重要な条件です。

CPI のレンタルサーバーは豊富なセキュリティ機能を搭載しており、外部からの攻撃に対する備えは万全。今回ご紹介してきた SSL サーバー証明書や WAF、マルウェア診断、Web 改ざん検知など、必須となる機能を網羅して強固なセキュリティを実現しています。お見積りやお申込みなど、お気軽にお問い合わせください。