HPを持っている企業・団体様必見の情報です!これからはセキュリティを求められる時代です!
ヘッドライン
最近は、役所系の団体などのHPを中心にやたらと脆弱性・脆弱性と管理会社に連絡が来ます。
助けてください!
と、当方に方々から連絡が来ております。
しかしながら、役所が言っている程度の対策は素人でもできます!
と、言うことで、簡単な脆弱性対策をご紹介いたします。また、その対策が取りやすいサーバーをご紹介いたします。
脆弱性とは
まず、WEBサイト制作会社さんが必ず理解しているとは限らないこの【脆弱性】という言葉。
これは、漢字の通り、もろくて(脆)、よわい(弱)、性質のある部分のことを指しています。
例えば、WordPressや、ムーバブルタイプのような、アプリケーションを導入していればバグの部分などを突っ込まれてアタックを受ける、これが脆弱性を突かれたアタックです。
そのような弱い部分を強化してくださいというのが【脆弱性対策】です。
アップデートするだけで済んでしまう部分と、それでは根本解決ができない部分があります。
脆弱性に対する対策とは
簡単に言えば、すでに知られてしまっている(既知の)脆弱性(バグや弱いと思われる部分)に対して対抗するアンチテーゼだと思ってください。
弱い部分を当て布で補強し強化する、いわゆるパッチをあてるという作業に近いものがあります。
役所などの脆弱性診断について
国からの方針通達でいまや県の団体や施設は脆弱性診断~対策が急務となっています。ではその詳細は?
簡単に言えば、使っていないものは止め、不必要なものは利用できないようにしなさいというのが原則。
例えば、MySQLについて、外部サーバーからの接続を行うことがないのであれば接続不能にしておいてくれというものや、FTPについて、利用しない時はダウンさせること、もしくは利用することが決まった人のみなら、IP制限などで不必要に門戸を広げないこと、SSHも同様。
WEBサーバーについては、SSL通信を必要とするメールフォームやログイン画面などはSSL暗号化通信化すること、また一切そのようなものがない場合、SSLのポート自体を締めること
といった具合に指導が来ます。
ある程度、サーバーの運用に理解がある方なら、瞬間的に理解でき対応も、ファイアウォールもしくはデーモンを止めておくことで対応可能であることが理解できます。
しかし、WEB制作会社様は基本、ホームページのデザインを行う会社であり、サーバーについては自社が契約しているサーバー会社にまかせっきり。。。ごくごく一般的なお話です。
役所団体もどこに依頼すべきかわからないため、窓口になっている制作会社に、団体のIT管理者が出してきた脆弱性診断結果をそのまま提示し、対策しなさいと言ってくるので、制作会社は苦しむわけです。
今からでも間に合う脆弱性対策~サーバーを切り借ることから始めよう~
もし、いま、その団体のHPが、共用サーバーを利用して運営しているのであれば、そのほとんどの対策は不可能です。
共用サーバーというのは、一つのサーバーを複数の契約者で共有して利用するアパートのようなサーバーですから、常に門戸を開いておく必要があります。
先述のFTPサーバーについては、止めるということはできなくなります。
もちろん、.ftpaccessが利用可能なら、少なくとも、自分のスペースに対するFTP接続に関しては、IP制限やユーザ制限をかけることができますが、サーバーをダウンさせておく対策ほど強固ではありません。
SSLを自分が利用していないからと言って、ほかのお客様のことを考えず締めてくれと依頼するわけにもいきません。
共用サーバーでは完全な対策は不可能だと考えてください。
専用サーバーは高い。。。オススメは仮想専用サーバー!
専用サーバーであればサーバー自体専有しているわけですから、設定は自由、むしろ、自分で設定しないといけないと考えてください。
この種の脆弱性対策は自分のことだけを考えた設定にしなければいけないものも多いので、専用サーバーのようなものを使わないといけません。
しかし、専用サーバーは高価です。
専用サーバーなので、ソフト・ハード両面でトラブルは100%自分たちが起こすトラブルです。
もちろんそういう意味で使い勝手もいいですが、アクセスがそこまでもないHPのためにサーバー代で月何万も払えない。。。
そういう方も多いはず。
また、専用サーバーは本当にその用途は自由なため、自分たちで好きに構築できるのですが、逆に言えば、すべて自分たちでインストールしたり、対応していかなければいけません。
HPのためだけに使うにはちょっと高価ですしもったいないです。
そういう意味で、HP向けでかつ、ある程度自分たちで自由に設定できる仮想専用サーバー(VPS)をお勧めします。
いまや、共用サーバー並みの価格で借りることができます。
このレベルになると、むしろ共用サーバーの価値がわからないほど。。。
(いや、共用サーバーはセキュリティ対策やバックアップはサーバー会社がするので。。。VPSは、ある程度自前で管理できるスキルが必要ですよ。)
HPの運用サーバー程度であればVPSを利用しかつ、FW(ファイアウォール)を脆弱性対策に合わせて設定することで十分対応可能です。