【質問】サイトの構築にレンタルサーバーを使っています。セキュリティ対策はどうすればよい？

【Ｑ】
サイトの構築にレンタルサーバを利用していますが、セキュリティ対策としてどのようなことが可能なのでしょうか。

---

【Ａ】
最近でもアカウントの乗っ取りや情報漏洩による被害がニュースになっているのは周知のことと思います。
皆様のサイトにおいてもその様な被害にあうことは十分有り得ることで、お客様に被害が及ぶとその補償は莫大になる可能性があります。
それを防ぐ為には、セキュリティ対策を確実に実施することが重要ですが、レンタルサーバを利用されている場合の対策について、主なものを説明します。

---

レンタルサーバの場合、サーバのOSについては業者側の責任で対策が取られます。

従ってOS以外の部分に関しては、自分達で対策を行う必要がありますが、セキュリティ対策のためのサービスがいくつか提供されている場合もあります。
　　
まず、サーバに対する不正なアクセスを防ぐため、多くのレンタルサーバにおいてサーバへのアクセス制限を行うサービスが提供されています。

レンタルサーバでは、もともとサーバにアクセスできる方法（プロトコル）が制限されていますが、許可されているアクセス方法によっても不正利用は可能です。

そのため、さらにサーバへのアクセスを制限することによりサーバのセキュリティを強化します。

例えば、不正アクセスのターゲットとなりやすいファイルやプログラム、あるいはアクセス方法に対して日本国外からのアクセスを制限するものや、特定のアクセス元（IPアドレス）からのアクセスを制限することが可能です。

もちろん不正アクセスは国外や特定のアクセス元からだけ行われるわけではありません。それでも不必要なアクセスを止めることはサーバのセキュリティ確保において大きな効果があります。

さらにほとんどのレンタルサーバにおいて、.htaccessというファイルを用いて、サーバ上のファイル単位にアクセス制限を行うなど、より細かい制御を行うことっが可能です。ただ、この方法では皆様自身でファイルを作成し、サーバに設定する必要があります。

これらの方法で管理者用のプログラムやサーバ運用のためのアクセス方法等を、特定の場所（IPアドレス）からのみ可能とすることが、サーバのセキュリティ対策として重要な事項となります。

次に、Webサーバに対しての不正な攻撃を検知し防ぐWAF（Webアプリケーションファイアウォール）というのも多くのレンタルサーバにおいて提供されています。

これは、通信レベルではなくWebサーバへのアクセスパターンを見て、不正な攻撃（SQLインジェクションやクロスサイトスクリプティング、ブルートフォースアタック（総当たり攻撃）等）を防ぐことができるのです。

不正な攻撃を検知するためのパターンも更新することで新しい攻撃にも対応できるようになります。

また、通信レベルで不正なアクセスを検知するIDS（不正侵入検知システム）／IPS（不正侵入防止システム）というサービスを提供しているレンタルサーバもあります。

IDSでは不正なアクセスを検知し、サイトの管理者に通知することが可能で、IPSでは不正なアクセスを検知するとその通信をブロックし、不正アクセスを防ぎます。

このサービスを提供しているレンタルサーバはまだ多くはないのですが、よりセキュリティ対策を強固なものにする場合には、有効な手段です。

これらのサービスの他にサイトが改ざんされたことを検知し通知してくれるもの等もありますが、SSLにより通信を暗号化したり、サーバのウィルスチェック、WordPress等のツールや利用しているソフトの更新等を行うなど基本的な対策を行うことも重要です。

以上、レンタルサーバにおけるセキュリティ対策の方法について紹介しました。利用されているレンタルサーバやプランにより、提供されているセキュリティ対策サービスも異なっ
てきます。

どのようなサービスが提供されているかを確認し、もし十分なサービスが提供されていない場合は、業者を変更することも検討することが必要です。

セキュリティ対策はお客様の目に見えるサービスではなく、何もない時にはその必要性が小さく思えるかもしれません。

ただ、第三者からの攻撃を受け、他の企業への攻撃に利用される、顧客情報を盗まれる等、問題が発生した後では手遅れとなります。

セキュリティ対策をきちんと行い、皆様のサイトやサービスが信頼のおけるものとなることを祈っております。