レンタルサーバーでチェックするべきセキュリティ対策とは?レンタルサーバー各社を比較して解説

Webサイトを運用していく中で対策になってくるのがセキュリティ対策です。インターネット上に存在するコンテンツが増えていくにつれ、当然それを標的にするいわゆるハッカーも増えてきています。

個人情報を大量に保有する大企業やクレジットカードなどの情報を扱うEC事業者だけでなく、個人単位のWebサイトにまでその脅威はにさらされており、人によっては毎日のようにスパムメールが届いている状況です。

Webサイトを公開する際にWebサーバーが必要になりますが、多くの方がレンタルサーバーを利用していると思います。レンタルサーバーのホスティング会社も自社サーバーのセキュリティ対策は十分にケアしていると思いますが、利用者自身もしっかりと対策をしておく必要があります。

今回はそんなレンタルサーバーが提供しているセキュリティ機能について解説し、セキュリティ重視のレンタルサーバーのおすすめ一覧を紹介します。

レンタルサーバーに必要なセキュリティ対策機能

SSL(Secure Sockets Layer)

SSLはGoogleが設定を推奨したこともあり、一般的にもよく聞くセキュリティ対策だと思います。「Secure Sockets Layer」の略でネットワーク上の通信を暗号化し、データの盗聴や改ざんを防ぐ技術のことです。

それぞれのドメイン所有者に対する審査を経て証明書を発行することで、SSLに対応したWebサイトを実装することができます。現在(2019/12)では、Google ChromeのURL欄にSSL非対応のWebサイトは「保護されていない通信」と表示されるようになっており、SEOの観点でもユーザーに対する信頼性という観点でも重要なセキュリティ対策となっています。

保護されていない通信の表示例この接続は保護されていますの表示例

ファイアウォール

ファイアウォールも聞いたことがある方も多いのではないでしょうか。ファイアウォールはネットワーク間の通信において不正なアクセスや攻撃から守るシステムで、文字通り防火壁的な役割をします。

レンタルサーバーでは、サーバーにアクセスするためのFTPやSSHなどのプロトコルに対して、アクセスを許可するIPアドレスやポート番号を制限することで不正アクセスや攻撃から守ることができます。

WAF(Web Application Firewall)

WAFは(Web Application Firewall)の略であり、上記のファイアウォールでは防ぎ切れない攻撃から守ってくるシステムです。上述したように、ファイアウォールはIPアドレスやポート番号でアクセスを制御するシステムですが、通信の中身まではチェックしてくれません。

攻撃者が何らかの方法でIPアドレスやポート番号を調べてアクセスしてきた場合に、その通信の中身を監視し、問題がある場合は弾いてくれます。

Webサイトの脆弱性を狙った「SQLインジェクション」や「クロスサイトスクリプティング」、「OSコマンドインジェクション」などの攻撃に対する対策として機能します。

IDS/IPS

IDS/IPSもネットワーク外部からの通信内容を監視するシステムです。WAFとの違いはWAFはWebアプリケーションそのものに対する攻撃を監視するのに対して、IDS/IPSはネットワークやサーバーなど、より上位レイヤーの通信内容を監視するのが得意なシステムです。

IDSは「Instrusion Detective System」の略で、ネットワークやサーバー上の通信内容を監視し、不正アクセスや攻撃があれば、管理者に通知してくれるシステムです。

IDSにはネットワーク型IDSとホスト型IDSの2種類があります。ネットワーク型IDSは、文字通りネットワーク上の通信内容を監視するのに対して、ホスト型IDSは監視したいサーバーにインストールし、受信したデータやログを監視して不正アクセスを検知します。

IPSとは「Intrusion Prevention System」の略でIDSでは不正アクセスや攻撃があった場合に管理者に通知するだけでしたが、IPSでは管理者に通知し、検知した通信はブロックされます。

Web改ざん検知

Web改ざん検知はWebサーバーに置かれているコンテンツが第三者によって、改ざんされていないか監視するシステムです。監視されているシステムが異常を検知すると管理者に通知が届くようになっています。

レンタルサーバーではWebサーバーのOS上で監視するタイプを採用しているホスティング会社と外部からリモートで監視するクラウドサービスを採用したホスティング会社があります。どちらも機能的には変わりませんが、OS上で動いているタイプはサーバーのリソースに負荷をかけるため、その分小テストがかかる一方、外部のクラウドワービスを利用しているサーバーは外部から検知している分、検知が遅れる傾向があります。

Web改ざん検知の方法は主に4種類あります。

パターンマッチ型(ソース解析型)

過去の改ざん事例を参照したパターン ファイルを作成し、スキャンしたコンテンツがマッチしないか監視する方法です。

過去に事例にのみ対応できるため、未知の攻撃には対応できない特徴があります。

振る舞い分析型

仮想のPCから実際にWebページにアクセスして異常な振る舞いがないか検知する方法です。不正の可能性があった場合に管理者に通知されます。

実際にどのファイルに不正があるの蚊までは検知できないため、管理者自身で調査する必要があります。

ハッシュリスト比較型

ハッシュリスト比較型はサーバー上のファイルを定期的にハッシュ計算し、一定期間の変化をチェックすることで検知する方法です。

変化を検知するだけなので、運営者の更新による通常の変化なのか攻撃者による改ざんなのか運営者自身で確認する必要があります。

原本比較型

元データを原本として、表示されたWebページを比較して検知する方法です。原本は検知するWebページと同じサーバー上に置いておくのですが、Webページを運営者で更新する度に原本自身も更新する必要があります。

WordPressの修正パッチ適用

レンタルサーバーが提供しているインストール機能を利用してWordPressを導入した方も多いのではないでしょうか。インストールしたWordPressはそのままにせず、定期的にバージョンアップしたファイルが配信されるため、こまめにバージョンを更新しましょう。

WordPressは世界で最も利用されているCMSなので、攻撃者に狙われやすい対象です。WordPressのコアファイルそのものはもちろん、プラグインやテーマなども更新の通知がきたらこまめに更新しておきましょう。

セキュリティ重視のおすすめレンタルサーバー一覧

Sixcore

Sixcoreのホームページ

エックスサーバー株式会社が提供しているSixcoreのレンタルサーバーは、セコムトラストシステムズ株式会社の定期セキュリティ診断サービスでネットワークの脆弱性を診断しています。客観的なセキュリティチェックで安心して利用することができます。

SixcoreのWebサイト

CPI

CPIのホームページ

KDDIグループが提供しているレンタルサーバーCPIもセキュリティ面で実績があります。SSLサーバー証明書やマルウェア診断/Web改ざん検知、WAFなど基本的なセキュリティ対策が一通り揃っていますし、マネージドプランでは専用ファイアウォールなども申し込むことができます。

CPIのWebサイト

WADAX

WADAXのホームページ

WADAXはGMOクラウド株式会社が運営しています。こちらもセコムトラストシステムズ株式会社のセコム不正侵入検知防護システムを採用しており、定期セキュリティ診断を行うことができます。

WADAXのWebサイト

レンタルサーバーが提供しているWordPressセキュリティ機能

一部のレンタルサーバーでは、WordPressのためのセキュリティ対策機能が提供されています。

国外IPアクセス制限設定

不正アクセスやスパム攻撃の多くは海外からの攻撃です。国外のIPアドレスからのアクセスを制限することでそれらを防ぐことができます。

WordPressのダッシュボード(管理画面)ページや外部からメール投稿ができるようになる「XML-RPC API」、外部から情報取得ができる「REST API」などのシステムへのアクセスを制限することができます。

エックスサーバーのWordPress国外IPアクセス制限設定画面

ログイン試行回数制限設定

短期間に連続でログイン失敗が確認されたときに自動的にアクセス制限をかける機能です。総当たり攻撃と呼ばれるブルートフォースアタック(Brute Force Attack)対策に効果的なセキュリティ対策です。

エックスサーバーのWordPressログイン試行回数制限設定

コメント・トラックバック制限設定

Webサイトに設置されているコメント欄に大量に投稿されるスパムコメントや引用通知の機能であるトラックバックを悪用したトラックバックスパムに対する対策です。

短期間に大量にスパムコメントやトラックバックスパムが確認されたときに、一時的にこれらの機能を停止します。

エックスサーバーのWordPressコメント・トラックバック制限設定

WordPress用のセキュリティ機能が提供されているレンタルサーバー一覧

上述したWordPressに関するセキュリティ機能をダッシュボード上で簡単に設定できる機能を提供しているレンタルサーバーを紹介します。

エックスサーバー

エックスサーバーのホームページ

上の例でも紹介した通り、エックスサーバーには「国外IPアクセス制限設定」、「ログイン試行回数制限」、「コメント・トラックバック制限設定」のセキュリティ設定項目が提供されています。

どのプランでも用意されているので、個人、小規模事業者にもおすすめです。

エックスサーバーのWebサイトはこちら

スターサーバー

スターサーバーのホームページ

ネットオウル株式会社のスターサーバーもエックスサーバー と同様、「国外IPアクセス制限設定」、「ログイン試行回数制限」、「コメント・トラックバック制限設定」の機能が用意されています。

ディスク容量や転送量などのスペックがエックスサーバーよりやや劣りますが、比較的料金が安価です。コスパ重視の方におすすめです。

スターサーバーのWebサイトはこちら

制作費用参考表

想定費用 想定納期
コーポレートサイト 10万円〜 1ヶ月〜
メディアサイト 10万円〜 1ヶ月〜
WordPressテンプレートプラン 5万円〜 3週間〜
ランディングページ 5万円〜 1ヶ月〜
保守運用 1万円〜 -
SEOコンサルティング 1万円〜 最低契約期間3ヶ月
その他サイト不具合等のご相談 応相談