VPSのセキュリティ対策とは。実施すべき内容や注意点は?

近年、マルウェア感染や、サイトやサーバーなどの脆弱性を悪用した不正アクセスや情報の改ざんなど、悪質なサイバー攻撃が後をたちません。

そういった中で、多くの企業では自社でサーバーを設置することをやめ、レンタルサーバー、VPS(バーチャル・プライベート・サーバー)やクラウドなどインターネットを介した他社サービスの利用への移行を進めています。

 

しかし、これは、一面ではよりインターネットを介したサイバー攻撃に遭うリスクを高めていることにもなります。

今回は、特にこの点について、VPSにはどういったセキュリティ対策を行うべきか解説をします。

 

「VPS」について詳しくはこちらで解説しています。

1_VPS セキュリティ対策

VPSのセキュリティリスクとは

まず、VPSにはセキュリティ上、どういったリスクがあるのかを整理しておきましょう。

 

VPSには、レンタルサーバーやクラウドなどとも共通したリスクとして

  • インターネットを介したサービスである

というものがあります。

 

さらに、VPSでは、レンタルサーバーと比べて自由度が高いことから、

  • 安全性の確保のためには自分で設定や適切な運用管理を行う必要がある

という特徴があります。

つまり、自由度が高い反面、VPS環境を構築しただけのデフォルトの状態では、適切なセキュリティ対策が出来ていないのです。

どんな攻撃を受ける可能性がある?

先の章では、VPSが持つセキュリティリスクについて解説しましたが、それを踏まえてどのようなサイバー攻撃を受ける可能性があるのかということについて考えてみましょう。

 

  • 脆弱性などを悪用した管理者権限の乗っ取り
  • Dos/DDoS攻撃のようなネットワーク経由の攻撃
  • データベースを不正に操作するSQL文を実行させるSQLインジェクション攻撃
  • 開放されているポートからの不正アクセス

など

 

VPSで、セキュリティ対策をしないとこうした攻撃の被害を受けてしまう可能性があります。

VPSでやっておくべきセキュリティ対策とは

ここまでのことを踏まえて、以下ではVPSに対して実施しておくべきセキュリティ対策について見ていきます。

また、より簡単かつ手軽にセキュリティ対策を行う方法についても解説します。

 

行うべきセキュリティ対策とは

具体的にどういったセキュリティ対策を行うべきなのでしょうか。

まずは、VPS環境を構築したときに必要になる設定としては以下のようなものがあります。

ここでは、VPS環境のOSがWindowsの場合と、Linuxの場合について解説します。

<Windowsの場合>

  • パスワードポリシーの見直しと強化
  • 不要なポートを塞ぎ、不正アクセスの防御を行う(Windowsファイアウォールで設定)
  • 不要なサービスを停止、削除する

など

<Linuxの場合>

  • rootユーザーでSSH接続できないようにする
  • パスワード認証でなく、認証鍵での接続に切り替える
  • 不要なポートを塞ぐ(iptables, firewalldなどで設定)
  • 不要なサービスを停止する
  • 不正アクセスの防御を行う(fail2banなどの導入)

など

 

さらに、利用する自分の端末からの通信を、よりセキュリティレベルの高いものとする必要があります。

2_やっておくべきセキュリティ対策

より手軽なセキュリティ対策を行うには

解説したセキュリティ対策を行うための専門知識が自分にない、自社に担当者がいないといったこともあるかもしれません。

そういったときには、どうすれば良いのでしょうか。

 

  • ホスティング業者のセキュリティ対策代行サービスを活用する
  • ホスティング業者のVPSセキュリティサービスを活用する

など

 

自分で適切なセキュリティ対策を行うのが難しい場合、このようにホスティング業者によっては設定などのサービスを提供していることがあるので、それを活用するのも良いでしょう。

セキュリティ対策を行う際の注意点

最後に、VPSでセキュリティ対策をする際に、何か気をつけることはあるのでしょうか。

この点について見ておきましょう。

 

  • 提供しているサービスの利用に影響が出ないようにする
  • OSやパッケージ更新で設定がデフォルトに戻る場合がある
  • 状況に合わせて設定等は定期的に見直しが必要

 

VPSに限らずセキュリティ対策を行う上で大切なことは、情報セキュリティの3要素である「機密性」「完全性」「可用性」を守ることです。

つまり、VPSでも適切なサービスを権限のある人のみ使えるように(機密性)すると同時に、権限のある利用者は確実に使える必要がある(可用性)のです。

3_情報セキュリティ

まとめ

初期コストや運用コストが安く、しかもメンテナンスが楽、といった理由からWebサイトの運用やその他のサーバーなどでVPSを使っているケースも多いのではないでしょうか。

しかし、VPSは手軽に使える反面、インターネットを介したサービスであるという特徴から、ネットワークを介したサイバー攻撃などのリスクが高まるといったデメリットもあります。

 

VPSを使う場合は、今回紹介したようなリスクとそれに対する対策をしっかりと理解し、実施することが不可欠です。

もし、自分でするのは難しい、自社に専門の担当者がいない、などの理由から実施するのが難しい場合は、ホスティング業者が提供するサービスを利用する方法もあります。

 

情報漏洩などのセキュリティ事故は、いったん発生してしまうと非常に大きな影響があります。ぜひそうならないように今回の記事を参考にしてみてください。