security
セキュリティ対策
専用サーバーならではの充実したセキュリティ対策
顧客情報や商品データなど重要な情報が保存されている場合、外部からの攻撃対策が必要です。
Web、メールを問わず、日々の生活やビジネスの中でも情報セキュリティ上の脅威を感じる方が多く、本格的にビジネスでWebサイトを活用するほど、セキュリティ対策の強化への必要性が高まっています。
クレジットカード不正利用や脆弱性を狙った攻撃の脅威はもちろん、個人情報の窃取なども上位にあがります。
また、ランキングには上がっていませんが、Webサイトの改ざんやサービス妨害攻撃によるサービスの停止についても報告があり、対策が必要となっております。
| 順位 | 「個人」向け脅威 | 「組織」向け脅威 |
|---|---|---|
| 1 | フィッシングによる個人情報等の詐取 | ランサムウェアによる被害 |
| 2 | ネット上の誹謗・中傷・デマ | 標的型攻撃による機密情報の窃取 |
| 3 | メールやSMSなどを使った脅迫・詐欺の手口による金銭要求 | サプライチェーンの弱点を悪用した攻撃 |
| 4 | クレジットカード情報の不正利用 | テレワークなどのニューノーマルな働き方を狙った攻撃 |
| 5 | スマホ決済の不正利用 | 内部不正による情報漏えい |
| 6 | 偽警告によるインターネット詐欺 | 脆弱性対策情報の公開にともなう悪用増加 |
| 7 | 不正アプリによるスマートフォン利用者への被害 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) |
| 8 | インターネット上のサービスからの個人情報の窃取 | ビジネスメール詐欺による金銭被害 |
| 9 | インターネットバンキングの不正利用 | 予期せぬIT基盤の障害にともなう業務停止 |
| 10 | インターネット上のサービスへの不正ログイン | 不注意による情報漏えい等の被害 |
出典:情報処理推進機構 「情報セキュリティ10大脅威 2022」より抜粋
https://www.ipa.go.jp/security/vuln/10threats2022.html
実際にインシデントとして、Webサイト改ざんやスキャンによる被害が多く発生しており、インターネット上のサーバーは、常に悪意ある第三者から攻撃される脅威にさらされています。
Webアプリケーションなどの脆弱性を悪用した攻撃により、大手企業のWebサイト改ざん事件がたびたび報道されていますが、Webサイトを狙った攻撃は大手企業のWebサイトだけが対象ではありません。WWW (World Wide Web) に公開した全てのWebサイトがセキュリティについて考える必要があります。
| 2021年 | |||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 1月 | 2月 | 3月 | 4月 | 5月 | 6月 | 7月 | 8月 | 9月 | 10月 | 11月 | 12月 | 合計 | |
| フィッシングサイト | 1,775 | 1,375 | 1,681 | 1,600 | 1,651 | 1,593 | 1,681 | 2,469 | 2,161 | 2,331 | 2,378 | 2,416 | 23,111 |
| Webサイト改ざん | 130 | 70 | 82 | 65 | 79 | 107 | 173 | 244 | 162 | 148 | 324 | 434 | 2,018 |
| マルウェアサイト | 47 | 31 | 60 | 12 | 8 | 18 | 10 | 26 | 83 | 160 | 146 | 100 | 701 |
| スキャン | 305 | 339 | 441 | 561 | 430 | 394 | 414 | 454 | 423 | 297 | 372 | 342 | 4,772 |
| DoS/DDoS | 0 | 1 | 1 | 3 | 4 | 1 | 1 | 0 | 6 | 12 | 2 | 2 | 33 |
| 制御システム関連 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 | 0 |
| 標的型攻撃 | 1 | 5 | 1 | 4 | 1 | 0 | 0 | 2 | 2 | 1 | 0 | 0 | 17 |
| その他 | 181 | 265 | 317 | 154 | 126 | 166 | 211 | 124 | 140 | 96 | 80 | 166 | 2,026 |
出典:JPCERT/CC インシデント報告対応レポート [2020年1月1日〜2020年12月31日分]より抜粋
https://www.jpcert.or.jp/ir/report.html
昨今では、セキュリティの不備による問題で、会社のブランド力低下や、賠償請求などの莫大な損失が発生する前に、セキュリティ対策をおこなうことが求められています。
マネージド専用サーバー マネージドプランでは、アクセス数が多くWebサイトや、処理負荷が高いシステムでの利用など、ビジネス上の重要性が高くなる場合が多いため、充実したセキュリティ対策サービスをご用意しております。
Webサイトのセキュリティは何に注意しておくべきか
マネージド専用サーバー マネージドプランでは、ホスティングサービスの責任範囲として、当社が「データセンター」から「ミドルウェア」までを管理し、適宜セキュリティアップデート作業をおこないます。
お客さまが運用される「コンテンツ」「プログラム」などに関しては、お客さまの責任範囲として、セキュリティを意識した開発、運用が必要です。
CMSでWebサイトを構築した場合では、アプリケーションのセキュリティアップデートが必要ですが、このアップデートを放置することで知らぬ間に被害にあっているケースが多発しています。定期的にお客さまでセキュリティアップデートをおこない、最新の状態を保つ必要があります。
しかし、セキュリティアップデートだけではセキュリティ対策としては十分ではないケースもあります。
例えば、
- アップデート前のWebアプリケーションの脆弱性への攻撃
- ポートスキャン
- 不正アクセスによる情報の窃取やWeb改ざん、マルウェアの設置
などは、セキュリティアップデートでは防ぎきれない場合があります。
Webサイトのセキュリティ課題
Webサイトの改ざん被害が急増しているなか、情報漏洩などのリスク対策は避けては通れない課題となっています。
解決したい問題
さまざまなWebサイトへの攻撃からどう守っていけばいいかわからない。
専任の担当者がいないため、必要なセキュリティ対策ができない
自社サイトへの攻撃に気づくことができない
安全なWebサイトを運営するために、CPI ではさまざまなオプションサービスをご用意しております。
CPI のオプションサービスを利用することで、リスク管理の手間を極力少なくし、安全なサイト運営が可能です。
マネージド専用サーバー マネージドプランでのセキュリティ強化
マネージド専用サーバー マネージドプランなら、セキュリティ対策として 「WAF(Webアプリケーションファイアウォール)」、「専用ファイアウォール」、「不正侵入検知(IDS/ADS)」を利用することで直接データの操作を制限し、安全な接続ができるよう日本国内のみに制限することも可能です。
- ◯:対応
- ×:非対応
- △:一部対応
| スキャン | Webサイト 改ざん |
フィッシング サイト |
マルウエア サイト |
Dos 攻撃 | |
|---|---|---|---|---|---|
| 専用ファイアウォール | ◯ | × | × | × | × |
| 不正侵入検知(IDS/ADS) | ◯ | △ | △ | △ | ◯ |
| WAF (Webアプリケーションファイアウォール) |
× | ◯ | ◯ | ◯ | × |
| Web改ざん検知 | × | 検知 | 検知 | 検知 | × |
また、サーバー管理画面(コントロールパネル)へのログインを事業所や外部の協力会社からのみ許可する「ログインIP制限」に加え「二段階認証」を有効化することで、不正ログインに対する強固な安全性を確保することができます。
管理も手間いらずの CPI セキュリティ対策オプション
「ファイアウォールや IDS/ADS、WAF(Webアプリケーションファイアウォール)」の導入で、脆弱性を狙った攻撃の侵入経路を防ぎます。万が一Webサイトが改ざんされた場合は「Web改ざん検知」オプションにより、改ざんを検出できます。CPI では「侵入経路を防ぐ」、「監視する」、「バックアップ」のオプションサービスをご用意しています。これらのオプションサービスを組み合わせることで、Webサイトの安全性を高めた環境を準備できます。
WAF(Webアプリケーションファイアウォール)
WAF(Webアプリケーションファイアウォール)データベースと連携したWebアプリケーションの多くは、利用者からの入力情報を基に SQL 文(データベースへの命令文)を組み立てています。ここで、SQL 文の組み立て方法に問題がある場合、攻撃によってデータベースの不正利用をまねく可能性があります。このような問題を「SQL インジェクションの脆弱性」と呼び、問題を悪用した攻撃「SQL インジェクション攻撃」を WAF(Webアプリケーションファイアウォール)にて防御します。WAF(Webアプリケーションファイアウォール)は、Webサイト改ざんやデータベース情報不正入手などのWebアプリケーションの脆弱性を狙うサイバー攻撃を防御します。
専用ファイアウォール
サーバーの各ポート(FTP や HTTP、SMTP など)へ接続する IP アドレスを制限できます。また、お客さまにてポートの開閉も可能です。不要なポートを閉じたり、FTP、SSH などの管理用ポートのアクセスを制限することで、サーバーのセキュリティレベルを向上させることができます。1 ユーザーで占有する専用型のファイアウォールをオプションとして提供しています。グローバル IP アドレスごとにポリシーの設定が可能となり、データやプログラムの盗み見 / 改ざんなどを未然に防ぐことができます。
不正侵入検知(IDS/ADS)
ポートスキャンは直接の攻撃ではないですが、脆弱性を露呈し、その脆弱性にたいして攻撃を仕掛けられる可能性があります。これらに対しファイアウォールや不正侵入検知 (IDS/ADS) を利用することで、不正アクセスを自動的にブロックし安全なサーバー環境の利用ができるようになります。ファイアウォールを通過する前のパケットに対して不正アクセスを検知、ADS(自動防御システム)が IDS で検知した不正アクセス・攻撃をファイアウォールと連動し自動的に遮断することができます。
マルウェア診断/Web改ざん検知
マルウェア診断/Web改ざん検知近年相次ぐWebサイト改ざんを検知するサービスです。SQL インジェクションやガンブラーの感染などに起因する、Webサイト改ざんの有無を解析してアラートメールで通知するとともに、自動的にページの切り替えがおこなえます。マネージド専用サーバー マネージドプラン CHM-Z シリーズなら Web改ざん検知が100ページまで無償で提供されます。
SSLサーバー証明書
個人情報の流出やフィッシング詐欺などの被害を未然に防ぐ SSL(Secure Socket Layer)暗号化通信をご利用いただけます。データ通信を暗号化することで、データ流出時の二次被害や改ざんを未然に防ぐことができます。シェアードプラン SV-Basic、マネージド専用サーバー マネージドプラン CHM-Z シリーズなら CPI SSL サーバー証明書(1ドメイン)が無償で提供されます。
プラン選定について
「共用レンタルサーバー シェアードプラン」は一定のセキュリティを確保しながら、一台のサーバーを複数のお客さまでご利用いただく「共有型」のサーバープランのため、低コストでWebサイト運営をお考えのお客さまに最適なプランです。定期的にWebサイトの改ざんをチェック可能な「マルウェア診断」オプションを活用いただくことで、改ざんが確認された場合は、メンテナンス中画面に自動的に切り替え、ユーザーへの感染を防ぐほか、「SmartRelease」にて定期バックアップされたデータから復旧できます。
ただし、コストパフォーマンスが高いシェアードプランは他のお客さまの稼働状況の影響を受ける可能性があるため、お客さまのセキュリティポリシーに沿った運用ができない場合がございます。
「マネージド専用サーバ- マネージドプラン」はサーバーリソースを占有できるので他のお客さまの影響を受けません。また、様々なセキュリティオプションをご活用いただくことで、お客さまの情報セキュリティ基準およびポリシーに準拠したサーバー環境をご提供いたします。
CPI ではお客さまのビジネスシーンに応じて、セキュリティまで十分に気を配ったサーバー選定のお手伝いをいたします。プラン選定でお困りの際は、ぜひ気軽にお問い合わせください。
汎用性から高性能な構成まで柔軟に使うなら
