サイバー攻撃は情報漏洩などを引き起こし、場合によっては損害賠償などにもつながることから、中長期的に企業の信頼性・収益力を低下させる大きなリスクとなります。また、年々サイバー攻撃は増加しており、警察庁が発表した資料(※)によると不審なアクセス件数(サイバー空間における探索行為など)は、H27年に1日・1IPアドレスあたり729.3件だったものが、令和2年には同4192件まで増加しています。
このように年々高まるセキュリティリスクに対処するため、サーバーのセキュリティ対策の需要がますます増えています。サーバーのセキュリティ強度をあげるには、アプリケーション・サーバー・ネットワークなど多層でのセキュリティ施策が必要になるでしょう。ここでは、サーバーのセキュリティに関する基礎知識やサーバー事業者の選定方法などを解説します。
※参考:警察庁「令和元年におけるサイバー空間をめぐる脅威の情勢等について」
目次
セキュリティを高めるために必要なサーバーセキュリティ対策とは?
まず、Webサイト/Webサービスなどを想定し、構築・立上げ時に必ずやるべきセキュリティ対策を紹介します。サーバーセキュリティの強化では「サーバー本体」「アプリケーション」「ネットワーク」の3点での対策が欠かせません。具体的には、次のようなものです。
サーバー本体のセキュリティ対策
アクセス管理
アカウントごとにアクセス権を明確にすることで、権限外の情報にアクセスできないような環境を作ります。上長に付与するアカウントと一般社員用アカウントが同じアクセス権を持ってしまうと、権限外の情報にアクセスできる社員が増えてしまい、機密情報の漏洩リスクなどにつながります。こうしたリスクをおさえるため、職位や部門によってアカウントのアクセス権を分けるのが一般的です。
パスワード設定
ユーザーが使用するアカウントのパスワードは使い回さず、強力なものを設定します。強力なパスワードは「推測されにくいこと」「一定の長さをもつこと」「定期的な変更を行うこと」が大切です。生年月日や名字・名前との重複を避け、大文字・小文字・英数字などを織り交ぜた8~16文字以上のパスワードを一定期間ごとに更新しつつ運用する方法が一般的です。
ログ保管・分析
サーバーログの保管と分析は、不正アクセスやウィルス感染などをいち早く察知したり、内部からの情報漏洩を防いだりと、さまざまな効果が期待できます。対象とすべきログの具体例は以下のとおりです。
- ファイアーウォールの通信ログ
- 侵入検知システム(IDS)や侵入防止システム(IPS)の通信ログ
- DHCPサーバーのIPアドレス割り当てログ
- データベースサーバーへのアクセスのログ
- ファイルサーバーへのアクセスログ
- ファイル参照・編集・成功・失敗のログ
- ログイン認証の成否、ログアウトのログ
- Webサーバーが利用者から受け取った入力内容のログ
SSLサーバー証明書のインストール
SSLサーバー証明書とは、Webサイトにおいて「運営者の実存性確認」を示すものです。また、「ブラウザとWebサーバー間のデータ暗号化のための電子証明書」としての役割も果たします。社員や顧客の通信が傍受される危険性から守るためにも、SSL証明書による通信の暗号化は今や必須と言えるでしょう。基本的にSSL証明書は1年ごとに更新が必要なため、うっかり更新を忘れていてサイトにアクセスできなくなってしまった、というようなことがないように忘れず対応するようにしましょう。
アプリケーションのセキュリティ対策
各種サイバー攻撃を考慮した脆弱性対策
アプリケーションレベルでは、サイバー攻撃を想定した対策が中心となります。
- SQLインジェクション対策
外部から入力された値が直接SQLの中に入り込まないように、「プレースホルダ」という仮置きの代替文字列を指定し、悪意の第三者の攻撃を防ぎます。また、Webアプリケーションに渡されるパラメータにSQL分を直接指定しないことも大切です。
- OSコマンド・インジェクション対策
原則としてシェルを起動できる言語の利用を避け、どうしても利用する場合は全ての変数にチェック処理を行うなどの対策が必要です。外部の第三者がOSコマンドを利用して不正な操作を行う可能性は排除できます。
- バッファオーバーフロー対策
外部の第三者が直接メモリにアクセスすることを防ぐために「メモリにアクセスできない言語で処理を記述する」「メモリアクセスが可能な言語での記述を最小化する」といった対策がおすすめです。
- クロスサイトスクリプティング対策
原則としては、HTMLテキストの入力を許可しない方法が望ましいでしょう。どうしても入力させる必要がある場合は、入力されたデータからスクリプトを含まない要素のみを抽出する仕組み(スクリプト的な要素を排除する仕組み)などを検討しましょう。
- ディレクトリ、ファイル名の表示をさせない
ファイルを開く際は、固定のディレクトリを指定し、かつファイル名にディレクトリ名が含まれないように注意する必要があります。
Webアプリケーション脆弱性診断
上記にあげたような各種サイバー攻撃に狙われやすい脆弱性がないか、正しく対策が行われているかチェックする作業です。脆弱性診断を実施することで対策の抜け漏れを確認し、修正することでセキュアなアプリケーションをリリースすることが可能です。ツールを利用した簡易的なものから、ハッカーによる実践的な攻撃を想定した手動診断などさまざまな脆弱性診断がありますが、対象のシステムの複雑さや重要性に応じた診断を実施しましょう。
ネットワークのセキュリティ対策
ネットワークレベルでは、ルーター・ファイアウォール(以下FW)・その他ツールを用いた侵入防止・検知などがセキュリティ対策の中心となります。
FWの設置
FWは管理者が制定したルール(ポリシー)に従い、通信の許可を判定します。また、原則としてインターネットとイントラネットの境界に設置し、FWが許可した通信のみを企業内ネットワークに通すことができます。また、アクセス制限が可能なほか、アドレス変換やユーザー認証、ログ収集・解析、コンテンツフィルタリングといったセキュリティ機能も利用できることが特徴です。
ネットワーク/プラットフォーム脆弱性診断
ネットワークやサーバーに存在する脆弱性を探索する脆弱性診断です。ポートスキャンや、利用されているサービス・ミドルウェアの検出が可能か、安全でない通信プロトコルを利用していないか、認証は適切か、サーバーやミドルウェアに脆弱性がないかなどを診断します。Webアプリケーション脆弱性診断だけではカバーできない領域のため、両方セットで行うのが望ましいでしょう。
不正侵入の検知・遮断ツール導入
FWだけでなく、各種サイバー攻撃に対応するため「WAF」「IDS」「IPS」などの導入が望ましいでしょう。それぞれの具体的な役割は以下のとおりです。
- WAF(Web Application Firewall)
「Web Application Firewall」の略称で、Webアプリケーションの脆弱性を狙う攻撃からWebサイトを保護するためのツールです。一般的なFWでは許可していない通信の排除はできますが、HTTP/HTTPSなどの許可している通信プロトコルによる攻撃に対しては保護しきれていないのが実情でした。WAFは「cookie保護」「シグネチャ(ウィルス、マルウェアなどを判定する部分)マッチング」「通信監視・制御機能」などを有しており、アプリケーションを狙った各種サイバー攻撃に対するきめ細やかな対処が可能です。
- IDS(不正侵入検知システム)
IDSはIntrusion Detection Systemの略称で、FWでは判定しきれない異常通信を検知するための仕組みです。一般公開されているWebサービスの通信はFWで拒否できないため、IDSが個別で正常・異常を判断します。
- IPS(不正侵入防止システム)
IPSはIntrusion Prevention Systemの略称で、IDSに「侵入防止」の機能を付与したツールです。異常を検知するだけではなく、通信の遮断も同時に行います。
本番稼働後にやるべきセキュリティ運用
これまで内容は、主に構築・立ち上げ時にやるべきことですが、本番稼働の運用面では「脆弱性診断」「アップデート」「セキュリティツールの運用」の3つが重要です。
脆弱性診断
脆弱性診断は主に構築時・リリース前の最終チェックとして行われることが多いですが、新たな脆弱性が発見されることもあるため、本番稼働後も1年に1度など定期的に行うことが望ましいです。定期診断以外にも、システムに改修や追加機能の開発などを行った際には脆弱性診断を実施することをお勧めします。
OSやミドルウェアのアップデートのチェック・適用
サーバーOSやミドルウェアに不具合や脆弱性が発見された場合、リリースしたベンダーもしくはコミュニティから、修正パッチ(修正用プログラム)が発表されます。OSSやフレームワークのコミュニティを定期的に巡回し、最新バージョンがリリースされていないかをチェックして、必要なものがあればバージョンアップ作業を実施しましょう。サイバー攻撃はこうした脆弱性を突くものが多いため、修正パッチをくまなく適用していくことで、サーバーOSのセキュリティレベルを一定以上に保つことが可能です。ただし、パッチ適用によってシステム内(サーバーにインストールされているソフトウェアなど)に何らかの不整合が発生し、動作に問題がでることもあるため、テスト環境などを準備し、動作確認などを行ってから適用する方法が望ましいでしょう。
WAF、IDS、IPSなどの運用
前述したWAF、IDS、IPSは、FWを補完するセキュリティツール群であり、特にWebサーバーには必須と言えるかもしれません。ただし、これらのツールは監視・遮断ルールの設定など継続的なチューニングや運用が必要です。最近ではそうしたチューニングを自動で行ってくれるSaaS型のセキュリティツールや、設定作業など運用を代行してくれるサービスもあるため、自社で運用するノウハウや人手がない場合はそういった選択肢も有力となるでしょう。
セキュリティの高いサーバー事業者の選び方
サーバーセキュリティ対策は構築時だけではなく、本番稼働後の運用面も非常に重要です。ただし、しっかりセキュリティ対策を行っていくとなると作業は膨大となるため、内製化すると運用負荷が高くなりがちです。結果的にすべてに手が回らず、作業漏れからセキュリティインシデントにもつながりかねません。したがって、運用負荷や担当者のストレスを軽減するために、各種作業を代行してくれるサーバー事業者を選ぶ方法がおすすめです。
リンクでは脆弱性診断、SSL証明書(取得・設定代行含む)、セキュリティアップデートの代行、IPS/IDS・WAFの導入・運用代行なども提供しています。サーバー構築時だけではなく、本番稼働後の運用面も含めた伴走型のサポートが可能です。
まとめ
この記事では、サーバーのセキュリティに関する基礎知識やサーバー事業者の選定方法などを紹介してきました。サーバーセキュリティを高め、維持するにはWebサイト・サービス立上げ時のみならず、本番稼働後の適切な運用も欠かせません。セキュリティノウハウを持ち、かつ各種運用を代行してくれる事業者を選ぶことが、長期的にサーバーセキュリティを高める秘訣です。ぜひサーバー事業者選びの参考にしてみてください。