「知らない」ではすまされない時代になってきた

2015年12月28日(月)に、経済産業省から「サイバーセキュリティ経営ガイドライン」が発表されました。
これは何かというと、IT に関するシステムやサービス等を供給する企業や、 IT を利用する企業の経営者と幹部に向けて、サイバーセキュリティリスクの対策をするようにと書いたガイドラインになります。
今の所、法的な罰則はありませんが、このガイドラインの中では対策を怠った場合の想定として下記のような事が想定されると警告しています。

・企業イメージの失墜
・信用の喪失
・損害賠償請求

このように行政機関から公式に警告が出ている以上、情報管理者はもう、何かあった時に「知らなかった」では済まされません。

そのため、個人情報をはじめ重要なデータがいっぱい詰まったサーバを扱う管理者は、ますます頭を悩ませる事になる時代になってきたというわけです。

さくらのレンタルサーバならセキュリティ対策も簡単!

でも、そこまで心配する事はありません。
さくらのレンタルサーバはそのほとんどの部分がさくらインターネットで保守、運用されているので、サーバ管理者様にはたった2つの部分を管理していただければいいようになっています。

・パスワードの管理
・ウェブコンテンツ(ホームページのデータ)の管理。

たったこれだけです。

パスワードについて

096846

さくらのレンタルサーバを運用するにあたって、3種類のパスワードがあります。
契約内容変更や新規契約の際などに使われる会員メニューログインのためのIDとパスワード。
サーバのマスターキーとなるサーバパスワード。
そしてメールアドレスなどに紐付いたユーザーのパスワードです。

パスワードは英数混合、記号も混ぜよう

パスワードを強度の高いものにするだけで、だいたいのサイバー犯罪は防げると専門家は言います。
パスワードの漏洩は文字列の総当り(ブルートフォース攻撃)で解析される事が多いといわれていますが、組み合わせる文字や文字数が多ければ多いほど、パスワードが強固になります。

例えば同じ8桁のパスワードを設定しようとした場合とくらべ、これを英数混合、大文字との組み合わせ、さらに記号文字も使った場合、単純計算で60万倍の強度になります。
もし、桁を8桁から9桁に増やせばさらに約100倍の強度です。

スーツケースについている数字3桁の鍵であれば総当りで30分くらいで開いてしまいますが、数字8桁の組み合わせよりも60万倍も複雑なパスワードだったら、コンピュータを使っても膨大な時間がかかってしまいます。これでは不正アクセス者もあきらめてしまいますよね。

パスワードを複雑なものにするのは利用者にとって面倒くさいものですが、米スプラッシュデータ社によると、「12345678」とか「iloveyou」とか「password」などにしてしまうと簡単に推測、悪用されてしまうそうですので注意が必要です。

パスワード個別に設定しよう(使いまわしはダメ!!)

いくらパスワードを強固なものにしていても、パスワードの使い回しをしていると意味がありません。
他の脆弱なサイトがハッキングされてしまった場合、攻撃者はまず、その情報を使って別のサイトにログインできるか試します(パスワードリスト攻撃)

「使い回しがよくないのはわかるけど、管理が大変だ」っていう人は、セキュリティソフトメーカーなどが出しているパスワードマネージャーを使うのも方法のひとつでしょう。

ウェブコンテンツについて

さくらのレンタルサーバでは、クイックインストールからWordPressやEC-CUBEなどのウェブアプリケーション(CMS)をインストールできます。

sakura_cms

WordPressやEC-CUBE、Joomla!といったウェブアプリケーションはとても便利です。
ウェブアプリケーションを使えば、あんまりサーバの知識がない人でも手軽にホームページの更新ができるし、プラグインで手軽に機能を拡張する事だってできます。
特に世界のホームページの25%はWordPressでできている、なんて事まで言われています。

cms_w3techs_november_2015_graph

venturebeat.comより引用
しかし、たくさんの人が使うソフトには、必ずそれを狙う輩が居ます。
特にWordPressの脆弱性はちょっと調べればたくさん出てくるので、古いバージョンを使っていると、それがそのまま誰にでもわかる不正アクセスの手段になってしまうんです。

WordPressのセキュリティを強化する

WordPressの本体やテーマ、プラグインは更新があるたびに管理画面で通知されます。
どれも管理画面に入ってしまえばワンクリックでバージョンアップできますので、こまめにチェックさえしていればいつだって安全な状態に保てるというわけです。

また、セキュリティ系のプラグインの中には何か更新があるたびに指定されたメールアドレス宛に通知してくれるものもありますので、毎日確認するのが面倒だという人は活用してみてください。
プラグインはWordPressの管理画面から追加できますが、信頼性の高い、そして頻繁に更新があるものを選ぶと外れがないと思います。

クイックインストールのWordPressの特徴

さくらのレンタルサーバのクイックインストールからインストールできるWordPressには、最初から厳選されたWordPressプラグインが用意されていますが、中でも『All In One WP Security & Firewall』はセキュリティに特化したプラグインとなっています。

ASP All In One WP Security & Firewallのダッシュボード画面

【マニュアル】WordPressのセキュリティを強化する

初期状態では有効になっていないので、是非、プラグインメニューから有効にして使ってみてください。

コントロールパネルでできるセキュリティ対策

さくらのレンタルサーバには、「国外IPアドレスフィルタ」が搭載されています。

これは何かというと、この国外IPアドレスフィルタを有効にする事で、海外からのFTPやSSH、WebDAV、それにWordPressの管理画面へのアクセスができなくなるという機能です。

ipfilter-img-010

現在、さくらのレンタルサーバで見られるパスワード漏洩や、ウェブ改ざんによる被害は、九割以上が海外からのアクセスによるものだったりします。そのため、国外IPアドレスフィルタを有効にしているアカウントでは、パスワードなどが漏れていたとしても、かなりの数の不正アクセスが未遂に終わっています。
国外IPアドレスフィルタと言ってもAWSやGoogleなどからは接続できますので、ぜひ活用してください。

最後に

不正アクセスというとニュースなどでは無駄に恐怖心を煽るような言い方をしますが、そんなのは世にある不正アクセスのほんの一部です。

確かにコンピュータを使う全ての人にとって不正アクセスは重要な問題となっています。
しかし、ちゃんとした対策をしたら、そのリスクは限りなく0に近づきます。不正アクセスで得られる利益よりも、時間や手間といったコストの方が高くつくなら、攻撃者もわざわざやる価値がありません。

ちょっとずつでも手間をかける事で未然に防げる被害の方が多いので、しっかり対策していきたいものです。