「ブログ運営をしてるけど、セキュリティ対策についてきちんと考えていなかった。」
「改ざんや乗っ取りもあるようだからサーバーで設定できるセキュリティ対策を知りたい。」
この記事ではこういった疑問に答えます。
- レンタルサーバーで設定すべきセキュリティ対策
- データのバックアップもセキュリティ対策の一貫
- レンタルサーバー各社のセキュリティ対策を比較してみた
金融機関から数十億円が盗み出されたり、顧客情報が流出して売買されたりと、インターネット世界におけるサイバー攻撃はとても身近なところにあります。
ブログやアフィリエイトサイトも同様で、もし収益を生み出すサイトが乗っ取られたり、改ざんされたら大きな痛手になります。
セキュリティ対策には、サーバー会社側が行う対策と、ブログ運営者側が行う対策がありますが、この記事では、主に私たちブログ運営者ができるセキュリティ対策を解説します。
レンタルサーバーで設定すべきセキュリティ対策
レンタルサーバーで設定できるセキュリティ対策は5つあります。
- その1:SSL(Secure Sockets Layer)
- その2:WAF(Web Application Firewall)
- その3:国外IPのアクセス制限
- その4:Web改ざん検知
- その5:2段階認証
それぞれ解説します。
その1:SSL
SSLとは、ネットワーク上の通信を暗号化する技術のことを言います。
情報を暗号化することで、IDやパスワードなどの個人情報が漏洩することを防ぐことができます。
どちらかと言うと、ブログ運営者ではなく、ブログ訪問者を守る対策です。
設定方法に関しては、基本的に以下の流れになります。
- 手順1:サーバーの管理画面からSSLを設定
- 手順2:ブログの管理画面でも同様にSSLを設定
- 手順3:サーチコンソールとアナリティクスに反映させる
詳しい設定方法は「エックスサーバーでWordPressを始める5つの手順【画像15枚で解説】(執筆中です。)」で解説しています。
なお、SSLに関しては「【基本のき】独自SSLとは?無料SSLと有料SSLの違いもわかりやすく解説」でより詳しく解説しています。
【基本のき】独自SSLとは?無料SSLと有料SSLの違いもわかりやすく解説
その2:WAF
WAFとは、Webサイト上で動作するアプリケーション(プログラム)の脆弱性に対するサイバー攻撃を防ぐセキュリティシステムです。
脆弱性とは、プログラムの不具合によって発生するセキュリティ上の欠陥のことです。
ネットセキュリティ関連でよく使われる言葉で、セキュリティホールと言ったります。
設定方法に関しては、基本的にサーバーの管理画面から可能です。
エックスサーバーであればサーバーパネルの「WAF設定」、ミックスホストであればコントロールパネルの「ModSecurity」からWAFを有効にする設定ができます。
以前までは、WAFを導入していないサーバー会社が多くありましたが、今では定番のサーバー会社ならどこもWAFを実装しています。
その3:Web改ざん検知
Web改ざん検知とは、有害な動作を行う悪意のある不正プログラムを検知するシステムです。
不正なプログラムを気付かず放置してしまうと被害が拡大してしまうので、この検知システムで運営サイトが脅威に晒されていないかを確認できます。
サーバーの標準機能として実装していることが基本ですが、契約者側でも管理できるようにオプションを用意しているサーバー会社もあります。
例えば、エックスサーバーでは法人向けプランで検知システムを導入しています。
他には、カラフルボックスだと月800円でオプション機能としてサービスを提供しています。
運営ブログでがっつり収益が出たり、サイト内で商品を販売するなら、導入を検討してもいいかと思います。
その4:国外IPのアクセス制限
国外IPのアクセス制限とは、海外からの不正アクセスを制御するシステムです。
サイバー攻撃は海外のサーバーを中継して行われることが多いので、国外からのアクセスを拒否してしまえば不正ログインや大量のデータを送りつける攻撃なども防ぐことができます。
基本的にはサーバー側で攻撃を検知すれば、そのIPアドレスをブロックしますが、契約者側でも詳細に設定できる会社もあります。
その5:2段階認証
2段階認証とは、IDとパスワードによる認証を行なった後に、さらに別の方法で最終認証を行うシステムです。
仮にIDとパスワードが漏洩しても不正ログインされることがないので、セキュリティ力を補うことができます。
2段階認証はWebサイトやWebサービス、ネットバンク、クレジット決済、SNSなど、ここ数年であらゆる業界に浸透していると感じます。
設定方法に関しては、サービスを提供する会社によって異なりますが、レンタルサーバーの場合、以下の流れになります。
- 準備1:Google Authenticatorをスマホでダウンロードする(Googleが提供する認証コード生成アプリです)
- 準備2:サーバーの管理画面から2段階認証を設定する
- 準備3:アプリを起動してQRコードを読み取る
- 準備4:アプリ内に認証コードを入力する
- 準備5:バックアップコードを保管する(認証トラブルが起こった際に必要なので要保管です)
- 認証コードを入力してサーバーにログイン
2段階認証によって手間がひとつ増えてしまいますが、改ざんや乗っ取りをされたら復旧するのに多大な労力がかかるので、手間を惜しまないように設定しておきましょう。
データのバックアップもセキュリティ対策の一貫
ここまで解説して出ばなを挫くようですが、サイバーセキュリティの大手会社ですらハッキングされるので、実のところサイバー攻撃を完全に防ぐことは不可能です。
そのため、もしデータが消失してもすぐに復旧できるように、必ずバックアップをしておくが重要です。
ハッキングありきで対策しておくと、トラブルがあった時でもテンパらずにすみます。
サーバー会社の大半が自動バックアップ機能を有していますが、そもそもサーバー内のデータが消失してしまったら復旧は絶望的です。
データ自体を丸ごとローカル環境に保存したり、WordPressを利用しているならバックアップのプラグインを設定したり、データを保全する対策は忘れないようにしましょう。
レンタルサーバー各社のセキュリティ対策を比較してみた
レンタルサーバー各社のセキュリティ対策状況を表にまとめてみました。
(定番レンタルサーバー4社をピックアップしました。)
セキュリティ | Xserver | Mixhost | ColorfulBOx | ConoHaWing |
---|---|---|---|---|
SSL | ||||
WAF | ||||
改ざん検知 | 自動 | 自動 | 自動(オプションあり) | 自動 |
アクセス制限 | 設定可能 | 設定不可 | 設定不可 | 設定可能 |
2段階認証 | 設定可能 | 設定不可 | 設定不可 | 設定可能 |
※スマホの場合、表を全て見るには左にスライドして下さい。
どこも大差ありませんが、やはりエックスサーバーは優秀のようです。
上記に挙げたセキュリティ対策以外にも、使っているプログラムを最新に保ったり、安易なパスワードを避けたりと、普段からの心がけも大切です。
繰り返しになりますが、セキュリティ対策は後回しにせず、優先的に設定しておきましょう。
とういうわけで以上です。