こんにちは、まっさん(@Tera_Msaki)です。
この記事は SIベンダーで28年あまりシステムエンジニアとして、
いろいろなシステムのインフラを構築してきた経験をもとにセキュリティについてまとめたものです。
Webサイトを立ち上げて、3か月あまり経ちました。
インターネットに直接接続している Webサイトは、PC と違って使わないときに電源を落とすということができないので、定期的にログを確認して、サイトの安全性を確認することが重要です。
今回は、Webサイトの定期点検について、お話したいと思います。
このサイトですが、確認できているだけで、
毎月400を超える攻撃を受けています。
WordPress、テーマやプラグインなどのアップデートは、
速やかに適用することを推奨します。
サーバのセキュリティ対策
サーバのセキュリティ対策には、インフラ構築時に実施するものと、構築後の運用で実施するものがあります。
レンタルサーバに Webサイト( WordPress )を構築する方法は、下記の参考リンクで紹介しています。
レンタルサーバで価格を重視なら、ココです♪ ↓↓↓
ドメイン取得と合わせてレンタルサーバを契約なら、ココです♪ ↓↓↓
インフラ構築時に実施するサーバセキュリティ対策
SIベンダーでは、システムのインフラ構築時に、以下のようなサーバセキュリティ対策を実施しています。
①ハードウェアのファームウェアパッチ適用
②OSの最新セキュリティパッチ適用
③ウィルス対策ソフトの適用
④不要サービスの停止、無効化
⑤OS、ミドルウェアのセキュリティ上の推奨設定に変更
⑥セキュリティ脆弱性診断および、脆弱性に対する処置
①に関しては、
オンプレミスでサーバ、ストレージ、ネットワーク機器を設置、構築時に実施します。
クラウドサービスやレンタルサーバではサービス提供者が実施します。
②~⑥に関しては、
AWS や GCP などの IaaS では構築時に実施が必要です。
サーバを1台構築した後、
構築したサーバのマシンイメージを作成し、
マシンイメージをデプロイしてサーバを作成するなどの方法をとることで、
2台目以降の作業を省略します。
PaaS 提供のレンタルサーバでは、②~⑥はサービス提供者が実施します。
構築後の運用で実施するサーバセキュリティ対策
システム稼働後のシステム運用では、可能な限り、OS、ミドルウェアの最新セキュリティパッチの適用が望ましいです。
パッチ適用が稼働システムに影響があり、事前評価しないと適用できない場合は、仮想パッチを導入する方法などがあります。
AWS や GCP などの IaaS ではシステム運用者、PaaS 提供のレンタルサーバはサービス提供者が実施します。
Webサイトのセキュリティ対策
Webサイトでは、HTTPS(HTTP)のサービス系の通信と、SSH(TELNET、FTP)の運用系の通信が必要です。
オンプレミスや AWS や GCP などの IaaS では、サービス系の通信と運用系の通信を別のネットワークとして、ネットワークレベルでセキュリティ対策 が可能です。
PaaS 提供のレンタルサーバでは、同じネットワークでサービス系の通信と運用系の通信を行うため、アプリケーションレベルでのセキュリティ対策 が必要です。
レンタルサーバのセキュリティ対策
レンタルサーバのサービス提供者によって、アプリケーションレベルでのセキュリティ対策は様々です。
ここでは、このサイトで利用している ConoHa WINGサービスを例にして、セキュリティ対策を説明します。
ConoHa WINGサービスでは、ConoHaコントロールパネルを使用して、以下の①から④の対策を行います。
①WAF(WEB APPLICATION FIREWALL)
②ディレクトリアクセス制御
③IPアクセス制御
④WordPressセキュリティ
①以外は、②と③はOS設定、④はWordPress設定(プラグイン)の変更でも対策が可能です。
①WAF
WAF は、HTTPS(HTTP)のサービス系の通信である HTTP通信のデータを監視し、不正アクセスを検知、遮断します。
ConoHa WING サービスでは、標準 でWAFを利用できます。
ただし、ON と OFF の切り替えのみで、細かい制御設定はできません。
通常の運用では、ON に設定します。
WordPressの設定 で、WAF が不正アクセスとして検知することがあり、設定時はOFFにする必要 があります(設定後は速やかにONにすることを忘れずに)
②ディレクトリアクセス制御
ディレクトリレベルで BASIC認証 を設定します。
必要に応じて設定します。
③IPアクセス制御
アクセスさせない IPアドレスを指定します。
Webサイトに不正アクセスしてきた IPアドレスをブラックリストに追加します。
④WordPressセキュリティ
管理画面、コメント/トラックバックの通信について、一定時間内に同じ発信元から大量のアクセスがあった場合に、不正アクセスと判断し、遮断します。
海外からの REST や RPC などの API通信を遮断します。
通常の運用では、全て ON です。
Webサイトの定期点検
Webサイトの定期点検では