レンタルサーバー(共用サーバー)で提供されるセキュリティー関連のサービスは主に、「SSL」「サーバーへの接続」「ウィルスメール対策」「WAF(ファイヤーウォール)」などとして提供されます。これらのサービスは、インターネット上での通信を暗号化によって保護したり、ウィルス検知・駆除やファイヤーウォールによる攻撃検知・防御などが主なサービスとなります。これらのサービスを活用することで、より安全にWebサイトの運営やサーバーの操作などが行えます。
それでは、これらのサービスとサービスを利用する具体例に関して説明していきます。
SSL(Secure Sockets Layer)はインターネット上の情報通信を暗号化して安全にデータのやり取りを行うための通信方法です。通信を暗号化により保護することで、第三者の「なりすまし」「改ざん」「事後否認」「盗聴」などの攻撃による被害を防止します。
レンタルサーバーが提供するSSLサービスでは、Webサイトでのやり取りやメールの送受信時の情報通信を暗号化することでデータを保護してくれます。
Webサイトでは、個人情報やクレジットカード情報などのような機密情報を扱うWebページにおいて、SSLによる通信を行うことで安全にデータの送受信が行えます。これにより、インターネット上でユーザーがWebサイトのページを閲覧したり、或いは、個人情報を入力したりする際、送受信するデータを悪意のある第三者による不正取得などから保護します。
通常Webサイトを閲覧する場合のURLは「http://・・・」と「http」で始まりますが、SSL通信を行う場合は「https://・・・」と「https」になります。「https」の場合は通信が暗号化されています。
WebサイトにおいてのSSLサービスには、独自SSLと共有SSLがあります。独自SSLは、ユーザー自身で用意したSSLサーバー証明書を利用でき、独自ドメインに対してSSLの利用が可能です。例えば独自ドメインが「http://sample.com」の場合に独自SSLを利用すると「https://sample.com」となります。
これに対して共有SSLの場合は、ホスティング業者が用意したサーバー証明書を利用します。この場合、SSLを利用する際のURLはホスティング業者が指定したURLを利用することになります。例えば「https://ユーザID.securesites.jp/」などです。従って、ユーザー情報を入力させるページなどSSLで暗号化通信を行いたい場合は、そのページのURLはホスティング業者が用意した共有SSLのURL(独自ドメインのURLではなく)になってしまします。
共有SSLは無料で提供されますが、独自SSLは有料になります。独自SSLの場合、ホスティング業者がオプションサービスで用意している証明書を利用するか、ベリサインなどサードパーティーの証明書を持ち込んで利用します。
メールの送受信時では、SMTP over SSL、POP over SSL、IMAP over SSLなどのサービスによってメールデータを保護します。これらのサービスでは、メール送受信の際、サーバーとクライアント(Outlookなどのメールソフト)間の通信路をSSL暗号化通信によって保護し、メール内容の盗聴を防ぎます。POPやIMAPは、メール受信専用の通信方法(プロトコル)で、SMTPは、メール送信専用の通信方法(プロトコル)です。
メールソフトの設定時にSSLによる送受信の設定を行うことでこのサービスを利用することが出来ます。設定内容はホスティング業者によって異なるので、詳細は契約したレンタルサーバーのマニュアルを確認しましょう。
レンタルサーバー(共用サーバー)の場合、サーバーへ直接接続する方法は主に2種類あります。1つ目はFTP接続などでサーバーへファイルを転送する場合に接続する方法です。2つ目はSSHなどでサーバーを遠隔操作する場合に接続する方法です。これらの接続サービスにおいて暗号化通信サービスが提供されます。
サーバーへファイルを転送するにはFTP接続を行います。Webサイトを作成する時、HTMLファイルや画像ファイルなどサーバーへ多くのファイルをアップロードすることになりますが、その際に接続する方法がFTP接続になります。FTPはファイルをサーバーに転送する技術です。FTPソフトを利用すれば自分のパソコンから簡単にサーバーへファイルを送ることが出来ます。
ですが、FTPの場合は通信が暗号化されていません。所謂丸見えの状態でIDやパスワードの盗聴の危険性があります。そこで、レンタルサーバーでは安全にファイルを転送するために、SFTPやFTPSといった通信を暗号化してファイルをサーバーに転送するサービスを提供します。SFTPやFTPSを利用すれば暗号化された通信路によって転送データが保護され、安心してファイルをサーバーへ転送することが出来ます。SFTPやFTPSを利用するにはこれらに対応したソフトウェアを使用する必要があります。
Windows用 | ||
---|---|---|
WinSCP | FileZilla | FireFTP |
FTP Rush | Cyberduck |
Mac用 | ||
---|---|---|
FileZilla | Cyberduck | FireFTP |
Fetch | Transmit |
Windows用 | ||
---|---|---|
Cyberduck | NextFTP | FFFTP(FTPS対応版) |
DreamweaverCS5.5 | ホームページビルダー16 |
Mac用 | ||
---|---|---|
Cyberduck | Fetch5 | iWeb |
DreamweaverCS5.5 | Transmit4 |
サーバーを遠隔操作する場合に接続する方法があります。レンタルサーバーでは、Telnet(テルネット)やSSH(エスエスエイチ)による接続によってサーバーを遠隔操作できます。これらの接続では、ネットワークを介してサーバーにログインし、サーバーをコマンド(キーボード入力によるコンピューターへの命令)によって遠隔操作することが出来ます。例えば、サーバー上のファイルを操作設定したり、テキストを編集するなどが可能です。Telnetは通信が暗号化されておらず、セキュリティー上大きな問題があるため、最近ではあまり提供されていません。SSHでの通信は暗号化されており安全にサーバーの遠隔操作が行えます。SSHを利用するには、SSH接続用のソフトウェアを利用する必要があります。
Windows用 | |||
---|---|---|---|
WinSCP | PuTTY | TeraTerm | Poderosa |
Dreamweaver | Cyberduck | FireFTP |
Mac用 | |||
---|---|---|---|
ターミナル | Cyberduck | DreamWeaverCS5.5 | fetch5 |
FireFTP | iWeb | Transmit4 |
レンタルサーバー(共用サーバー)では作成したメールアカウントに対して、ウィルスチェックを行うサービスを提供します。ウィルスチェックとは、ウィルスに汚染されたメールを検知・駆除するサービスです。ウィルスに感染したメールをサーバー側で弾くことが出来るのでメールソフト(Outlookなど)で受信しなくて済み、ウィルスメールからパソコンを保護してくれます。また、メール送信時にもウィルスチェックが行われ、感染している電子メールは削除されます。ホスティング業者によっては、ウィルスに感染している電子メールは完全に駆除され復元できない場合もあります。
ホスティング業者では、ウィルスチェックソフトに、F-Secure社などのサードパーティーのソフトウェアを活用している場合が多くあります。このような専門的なソフトウェアは、業者で管理しており最新のウィルス情報を常に保持しているので、パソコンなどで使用しているウィルスソフトのようにユーザー側でアップデートする必要はありません。
最近のレンタルサーバーではWAFというファイヤーウォールのサービスを提供しています。WAF(ダブリュエーエフ)とは【Web Application Firewall:ウェブ・アプリケーション・ファイアウォール】略称で、ネットワークからの不正アクセスを検知・防止するファイヤーウォールです。Webアプリケーションへの攻撃に対して特化されており、アプリケーションレベルでの防御を特徴としています。
フリースクリプトや自前のプログラムを利用してWebアプリケーションを運営している場合、厳密なセキュリティー対策を行うことは少ないと思います。WAFを利用すれば、プログラムの脆弱性をカバーする役割を果たしてくれるでしょう。
WAF(ダブリュエーエフ)とは【Web Application Firewall:ウェブ・アプリケーション・ファイアウォール】略称で、ネットワークからの不正アクセスを検知・防止するファイヤーウォールです。Webアプリケーションへの攻撃に対して特化されており、アプリケーションレベルでの防御を特徴としています。従来型のファイアウォールやIDS/IPSでは、ネットワークレベルでの監視や遮断であり、これらでは防げないような不正アクセスへの対応策として生み出されました。
WAFは専用ハードウェアとして実装する形式、Webサーバーに組み込んで稼動させるモジュール形式(部品形式)、ゲートウェイ(通信機器)などのサーバー上で稼動させるソフトウェア形式などがあります。
WAFは、Webアプリケーションのプログラムに送信されるデータを直接チェックすることで、悪意のある要求を検知し遮断する仕組みとなっています。クライアント(Webブラウザ)とWebサーバーの間を仲介し、Webブラウザとのやり取りをWAFが受け持ち管理します。この仕組みにより、SQLインジェクションやクロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリ(CSRF)、強制ブラウジング、Dos攻撃など、不正アクセスに対して要求を拒絶します。