「MixHostとサーバー契約を考えてるけど、障害に関する情報が多いのが気になる」
このように思いサーバー契約に踏み出せない人もいると思います。
私自身はMixHostを契約していますが、サーバーのセキュリティの知識が不足していると感じていたので、サイバー攻撃の種類、セキュリティ対策について調べました。
そして、MixHostと他のレンタルサーバーのセキュリティ対策を比較しました。
結果、MixHostはしっかりとセキュリティ対策していますので、ある程度安心していいと思います。
では、MixHostや他のレンタルサーバーがどのようなセキュリティ対策をしているのか見ていきたいと思います。
MixHostのセキュリティ対策
サーバーの管理画面
MixHostの公式サイトやサーバーの管理画面を確認すると、以下のようなセキュリティサービスを導入していることが分かります。
MixHostのセキュリティ対策
- Imunify360(AIを使用した次世代のセキュリティソリューション)
- ModSecurity(ウェブアプリケーションファイアウォール)
- Clam Antivirus(アンチウイルスソフト)
- SpamAssassin(スパムフィルタリング)
MixHostは、サーバーのOSに「CloudLinux」を採用しているのですが、「Imunify360」も同じ開発元です。
Imunify360は、オールインワンのセキュリティ機能を持っていて、既知の攻撃はもちろん、未知の攻撃に対しても有効に働きます。
既知の攻撃には、シグネチャ(過去の攻撃パターン)と照らし合わせ防御。
未知の攻撃には、コードやファイルに「何が含まれているか」より「何を行うか」を分析し、悪意の可能性のある実行をブロックします。
Imunify360の機能
- ファイアウォール → 権限のないユーザーをサーバーにアクセスさせない
- IDS/IPS → 不正侵入検知/防止システム
- マルウェア検出 → 悪意のあるファイルやプログラムを識別。
- プロアクティブディフェンス → スキャナが検出できない未知のマルウェアを阻止。
- パッチ管理 → サーバーを再起動せずにカーネルにパッチを当て安全性を高める。
- 評判管理 → サイトがブラックリストに登録されてないか分析。
各レンタルサーバーのセキュリティを比較
MixHostと他社レンタルサーバーのセキュリティ対策を比較しました。
対策をしているか否かは公式サイトの記載により調べましたが、記載してないだけの可能性もあるので参考程度にしてくだい。
| MixHost | エックスサーバー | ConoHa WING | ロリポップ | カラフルボックス | |
| SSL | ○ | ○ | ○ | ○ | ○ |
| ファイアウォール | ○ | ○ | ー | ー | ○ |
| WAF | ○ | ○ | ○ | ○ | ○ |
| IDS/IPS | ○ | IDS | ー | ー | ○ |
| Web改ざん検知 | ○ | ー | ー | ○ | ○ |
| 海外アクセス制限 | ー | ○ | ○ | ○ | ー |
| メールウィルスチェック スパムメールフィルタ | ○ | ○ | ○ | ○ | ○ |
セキュリティ対策の種類
レンタルサーバー各社、様々なセキュリティ対策を導入していますが、それぞれどのような役割を果すのかわからない方も多いと思いますので簡単に説明しますね。
SSL
SSLとは、サイトとユーザー間のデータを暗号化し送受信する仕組みのことで、どのレンタルサーバー会社も無料で対応していると思います。
データが暗号化されていれば、ユーザーがクレジットカードなどの個人情報を送信する時も盗聴されずに安心です。
SSL化されているサイトは、URLがhttpsになっていて左に南京錠のようなマークが付いていると思います。
URLがhttpのままだと「セキュリティ保護なし」と表示されますし、SEO(検索エンジン最適化)にも悪影響なのでSSL化は必須ですね。
ファイアウォール
ファイアウォールはネットワークレベルの保護を目的とし、サーバーへアクセスするポート番号やIPアドレスを制限します。
ポートスキャン攻撃などに有効です。
WAF
WAF(ウェブアプリケーションファイアウォール)は、Webアプリケーションの欠陥への攻撃に対するセキュリティ対策で、ネットワークレベルでは防ぐことができない攻撃に対応します。
クロスサイトスクリプティング、SQLインジェクション、OSコマンドインジェクションなどの攻撃に有効です。
IDS/IPS
IDS(Intrusion Detection System)は、不正侵入検知システム。
IPS(Intrusion Prevention System)は、不正侵入防止システム。
ネットワークに流れるデータをチェックし異常を検知してくれるのがIDSで、防止までしてくれるのがIPSです。
Web改ざん検知
サーバーにあるコンテンツが改ざんされてないか監視する機能です。
海外アクセス制限
海外IPアドレスから、ワードプレス管理画面へのアクセスを制限します。
サーバー攻撃は海外からが多いので、制限することによりセキュリティが向上します。
メールウィルスチェック・スパムメールフィルタ
送られてきたメールにウイルスが付いてないかチェックする機能と、迷惑メールを識別する機能です。
サイバー攻撃の種類
セキュリティの種類により、防ぐことができるサイバー攻撃も異なります。
サーバーやWebサイトへの攻撃には、どのようなものがあるか見ていきたいと思います。
ブルートフォースアタック
パスワードなどを総当たりして試す攻撃の事です。
対策としては以下のようなものがあります。
- 海外のIPアドレスをフィルタリングしアクセスを制限
- パスワードを複雑で長めなものにする
- ログインの試行回数制限
- ログイン端末の制限
クロスサイトスクリプティング(XSS)
Webサイトのセキュリティ上の欠陥を突き、悪意のあるプログラムを利用者の元へ送り込んで実行させる手法で、掲示板などに貼られたスクリプト付のリンクをクリックすることにより個人情報が盗まれたりします。
対策としては、入力フォームに書かれるスクリプトを無効化させるなど以下のような手法があります。
- エスケープ処理(入力されたスクリプトの文字列を書き換え)
- 入力値の制限
- WAF
SQLインジェクション
SQLというデータベースの操作を行う言語を注入する攻撃のことです。
入力フォームなどに悪意のプログラムを入力し、データベースを不正に操作します。
データベースの個人情報が盗まれたりウェブサイトを改ざんされないように、以下のような対策があります。
- エスケープ処理
- WAF
DoS攻撃・DDoS攻撃
DoS(Denial of Service)攻撃は、大量のアクセスなどで過大な負荷を与え、サービスを拒否させる攻撃です。
例えば、キーボードのF5は更新を意味しますが、連続することによってサーバーに負荷を与えることができます。
DDoS(Distributed Denial Of Service)は、分散型のサービス拒否を意味し、他者のパソコンを乗っ取って複数のIPアドレスから攻撃します。
これらの対策として以下があります。
- IPアドレスの制限
- IDS/IPS
- WAF
OSコマンドインジェクション
Webサイトの入力フォームなどで、OSに対する命令文を実行させる攻撃のことです。
ゼロデイ攻撃
ソフトウェアのセキュリティの欠陥が公表や修正される前に行われる攻撃。
ポートスキャン
ポートと呼ばれる通信接続の窓口におけるセキュリティの欠陥をねらう攻撃。
鍵の掛かってないドアを探し侵入するイメージです。
【まとめ】MixHostはセキュリティ対策が充実
個人サイトの場合、アクセスが少ないうちはあまりセキュリティを気にしないかもしれません。
ですが、サイトを乗っ取られると他者を攻撃する加害者側になる可能性だってあります。
なので、しっかりとセキュリティ対策しているレンタルサーバーを選びましょう。
MixHostはセキュリティ対策が充実しているので、安心してサイト運営できると思います。
ただし、サイト運営者自身でもセキュリティ対策をしっかりする必要があります。
ワードプレスを使用しているなら、ワードプレス本体のバージョンはもちろん、テーマやプラグインも最新のものを使用するなど。
ワードプレスはユーザー数が多く世界で人気のサービスなのですが、セキュリティ上の欠陥も多いです。
最後に、MixHostのサーバーで1つ注意することがあります。
初期設定のままだと、そのサーバーでどのようなサイトを運営しているか一覧を見られてしまう可能性があります。
見られても構わないと思うかもしれませんが、セキュリティの面でもファイル一覧を非表示にした方がよいです。
非表示のやり方は、公式サイトを参考にしてくださいね。
参考 ファイルの一覧(index of)を非表示にする方法(MixHostサポート)
-
MixHostは初回割引,クーポンコード,セルフバックを併用しよう!
MixHostと新しく契約する方は、様々な割引サービスを併用すればお得にサイト運営を始めることができます。 サーバー契約で損をしないように、これらについてもう少し詳しく説明していきたいと思います。 M ...
続きを見る