— Server & Website Security
ホームページ
サーバーの
セキュリティ対策
ホームページ・サーバーのセキュリティ-20年の運用実績
ツアーオンライン株式会社では、ウェブ制作やホスティング、ドメイン、SSL、メールなど現在のビジネスでは欠かすことの出来ないインターネットインフラ事業をおこなっており、不正アクセス、盗聴、改ざんなどの情報漏えいリスクから保護するために、物理的、技術的なセキュリティを強化していくことが重要だと考えています。別途掲げる「情報セキュリティポリシー」のもと、お客様のホームページとサーバーで20年の運用実績を生かして様々なセキュリティ対策をおこなっています。
セキュリティ対策には、大きく分けると 「サーバーのセキュリティ対策」 とコンテンツ部分の 「ホームページのセキュリティ対策」 の2種類があります。
弊社では、ホームページとサーバーの保守管理を一括しておこなっていますので、双方にまたがった総合的なセキュリティ対策を実施してお客さまのホームページを保護しています。この機会に弊社へのホームページ管理移管をぜひご検討ください。
サーバーの
セキュリティ対策
ホームページを収容するサーバーでのセキュリティ対策には、SSL(Secure Socket Layer)やネットワークレベルでのファイアウォール(Firewall)、Webアプリケーションを対象としたWAF(Web Application Firewall)、不正侵入防止システムのIPS、IDSなどがあります。
ホームページの
セキュリティ対策
ホームページのセキュリティ対策には、ワードプレスの場合は管理画面への不正ログイン防止各種(認証の工夫やロックなど)、特定ファイルへのアクセス禁止、海外IPアドレスからのアクセス禁止、アラート、CGIを使ったお問い合わせフォームやお知らせへの不正使用対策などがあります。
お客さまのホームページを保護するセキュリティ体制
ツアーオンライン株式会社の保守管理サービスはお客さまのホームページにさまざまなセキュリティ対策を実施しています。
サーバーのセキュリティ対策
お客さまがご利用のサーバーで実施している対策、または対応・利用可能なセキュリティ対策についてご案内いたします。いずれもお客さまの方でやっていただく作業はございません。すべて弊社側で作業を実施していますのでご安心ください。
ウェブ、メール、DB、DNSサーバーをすべて分散
各種サーバーを分離独立させて堅牢な環境で運用
ウェブサーバー、メールサーバー、DNSサーバー、バックアップサーバーは異なるエリアのデータセンターに分散化。物理的に切り離すことで、他のサーバーや外部の影響を受けにくい高度で堅牢な環境を保持、障害発生時の共倒れリスクを取り除いています。
一般的なレンタルサーバーのようにウェブとメール、バックアップ、DNSが同一のサーバー領域に入っているとサーバーダウン時に全部いっぺんに影響が出てしまいますが、
弊社のメールサーバーは仮にウェブサーバーで障害が発生した時もメールは影響を受けることはありません。またその逆も同様です。
安心のRAID10&データ自動バックアップ
当社のウェブサーバー、メールサーバーは上記の通りに単独分離していますが、さらに万が一の事態に備え、両サーバー自体を RAID10&データ自動バックアップしています。すべてのお客さまに標準装備です。
同一のデータを複数のストレージに書き込む「RAID10」の方式でデータを保存しているため、もし片方のストレージが故障した場合でも、停止せず利用を継続することができます。
また両サーバー全体が故障してしまうなどの事態に備え、一定周期でサーバーすべての「バックアップ」を自動で行っています。
運用管理については全てデータセンター側でおこないますのでお客さまの方でやっていただくことはございません。ご安心ください。
24時間365日有人で監視
サーバーを収容する国内データセンターは、大規模地震を考慮した制震や耐震、免震構造設計で、無停電電源装置(UPS)と非常用発電装置により、停電の際にも安定した電力供給を続けます。
またデータセンターでは保守担当者が「24時間365日有人監視」をおこなっており、万が一の障害発生時にもスピーディーに復旧対応に取り組みます。サーバー管理については全て事業者側でおこないますのでお客さまの方でやっていただくことはございません。ご安心ください。
ファイアウォール(Firewall)
ー全てのお客さま標準ー
サーバーサイドでネットワークレベルのファイヤーウォールを実施しています。全てのお客さま標準装備です。
外部からの不正なアクセスをおこなうIPアドレスやポート番号などを遮断して、ネットワーク攻撃、DoS攻撃などによるデータやプログラムの盗み見、改ざん、破壊等が行われるのを防ぎます。これはほとんどのホスティング事業者でおこなわれているものです。
※お客さまがご利用のサーバー機種によって多少の違いはありますが基本的な機能は変わりません。
※弊社ではお客さまのサイトの仕様やご契約年度によって収容サーバーやデータセンターが異なりますが、これらの対策は全てのお客さまを対象に実施しています。
WAF(Web Application Firewall)
ー全てのお客さま標準ー
WAF(Web Application Firewall)は、外部に公開をしているWebアプリケーションを対象にしたセキュリティ対策です。上記のネットワークレベルのファイヤーウォールでは防ぐことのできない部分をカバー出来ます。全てのお客さま標準装備です。
クロスサイトスクリプティング(XSS)やSQLインジェクションといったウェブサイトへの不正なアクセスを検知し、攻撃を防御(ブロック)、遮断します。外部からの不正アクセスを100%完全に防げる訳ではありませんがとても効果的な対策です。
※WAFは比較的近年一般的になって来たファイアーウォールでお客さまのサーバーが古い場合は設置されていないこともあります。
※基本的には全てのお客さまサイトで標準装備ですが、WAFによってお客さまサイトの更新が出来ないどの場合は一部機能をOFFにしているケースもあります。
脆弱性など定期アップデート実施
ー全てのお客さま標準ー
お客さまのホームページが収容されているサーバーサイドでは、インストールされている各種アプリケーションの脆弱性対応やマイナーアップデート、バグフィックスなどを適宜実施して常に安全にご利用いただける状態を保っています。
またサーバー稼働24時間365日監視や障害発生時の迅速な復旧作業、定期的な機器メンテナンスなどもおこなっておりますのでご安心ください。※全てのお客さま標準対応です。
※弊社ではお客さまのサイトの仕様やご契約年度によって収容サーバーやデータセンターが異なりますが、これらの対策は全てのお客さまを対象に実施しています。
※OSやPHPの大きなアップデートの場合はお客さまのホームページに影響が出る可能性もあるため極力実施いたしませんが、やむを得ない場合はアップデートを実施した上で弊社の方でサイトの動作を確認しております。
厳密なサーバーFTPパスワード管理
ー全てのお客さま標準ー
FTP、FTPS、SSHはお客さまのパソコンなどからソフトを使用してサーバーにアクセスすることが出来る情報です。
弊社ではFTPS発行時に社内ルールのもと複雑で適切なパスワードを発行、管理しています。サーバー移管時にはこれまでの使っていた他社に漏れているパスワードを削除して新しいものを作成します。(FTP情報は弊社が発行するもので、お客さま自身は特に作業は発生いたしません)
パスワード即時再発行サービスで安心
万が一、何らかの理由でFTPパスワードが流失した場合やFTP経由での不正アクセスが起きた場合、またFTP情報を知る社員が退職してしまった場合は、弊社にご連絡をいただければ即、FTPパスワードを変更いたします。即時再発行の安心サービスです。
SSL 暗号化証明書の導入
ーオプションー
SSL(Secure Socket Layer)はネット上でデータを暗号化して送受信する仕組みで、ネットシップのクレジットカード番号入力ページや個人情報を入力するお問い合わせフォームなどで情報が盗み取られるのを防止するために広く利用されています。
近年、必須となってきた常時 SSL 化はホームページ全体をSSL化(URLが http → https )するもので、Googleなどの事業者が強く推奨していることから導入が加速しています。
具体的にはサーバーにSSL(暗号化証明書)をインストールして、使用ドメインと結びつけることで可能になります。弊社ではご利用サーバーへのSSL設置作業とホームページのSSL化対応も一括で提供、つい忘れがちな年度ごとの契約更新やお支払いも全ておこないます。ご希望のお客さまはお問い合わせください。
データのバックアップと復旧対策
ー全てのお客さま標準ー
バックアップは厳密にはセキュリティ対策とは異なりますが、双方をきちんと実施することでお客さまは安心してサイトの運営に専念することができます。
弊社ではお客さまのサイトやサーバーのバックアップを手動、自動の双方、さまざまな方法でおこなっております。※全てのお客さま標準対応です。
バックアップ実施内容については別ページにまとめてありますので下記ボタンからご覧下さい。
独立環境のメールサーバーも高セキュリティ
ー全てのお客さま標準ー
WEBサーバーとは別環境で独立して運用している「メールサーバー」も「24時間365日有人監視」「不正中継対策(SMTP認証)」「送信・受信のSSL暗号化通信」「ウイルスメール自動除去」「海外IPアドレスフィルタ」など高度なセキュリティ対策を実施しています。中小企業にとって使いやすくリーズナブルなメールサービスです。メールだけの使用も歓迎です。
メールサーバーのセキュリティ対策ついてのご案内は下記をクリックしてご覧下さい。
これらが弊社で実施しているサーバー側でのセキュリティ対策になります。ツアーオンライン株式会社では20年のホスティング運用経験を生かして、新しいセキュリティ対策に取り組み、良い対策や新しいツールがあれば積極的に試しています。
続いて、ホームページでのセキュリティ対策についてご案内いたします。
ホームページのセキュリティ対策
次に、弊社のお客さまのホームページでおこなっているセキュリティ対策についてご案内いたします。ここでのご説明はワードプレスを使って構築されているホームページのご案内が中心になります。
弊社が作成したホームページか他社で制作したホームページかという点やワードプレスか通常のhtmlサイトかによって細かい対策は異なります。
ワードプレス管理画面への不正ログイン防止対策
ホームページ制作でのソフトウェア世界シェア1位のワードプレスは、全て同じプログラム仕様で構成されていることや各自のサーバーにインストールするタイプのシステムのためセキュリティのレベルが一定ではないことなどから、ログインページや特定ファイルへの攻撃を受けやすい面があります。
弊社ではワードプレスが登場した十数年前の黎明期より数多くのサイト構築を経験して来ており、現在もっとも得意なシステムの一つです。
それ故にワードプレスの弱い点も理解しており、セキュリティに関してはサーバーにインストールした時点ですぐに各種対策を実施しています。
また他社が制作をして弊社に移動されて来たお客様のサイトも移管完了後出来るだけのセキュリティ対策はおこなっています。
ここでは弊社が実施している対策についてご紹介いたします。当然おこなうべきことが大半ですが、経験上意外になおざりになっているものです。ご覧ください。
以前ほど多くはありませんが、移管されるサイトでまれにログインユーザ名やパスワードが簡単なものであることがありますので、弊社ではリスキーだと判断した場合は、まず双方をなるべく桁数が多く、ドメインやサイト名と関連の無い組み合わせに変更いたします。古いユーザーアカウントとパスワードは過去の担当者に漏れているので削除して使用不可にしています。
ハッキング狙いの攻撃は機械的にログイントライを短時間で繰り返します(ブルートフォース攻撃、リスト攻撃)。これらに有効な対策の一つである一定時間の間に数回ログインに失敗したら「ログインロック」を実施します。この設定をすることで指定回数に達した接続元IPアドレスを指定時間ブロックしますので、攻撃者は管理画面にアクセス出来なくなります。
ワードプレスは通常、インストールするとユーザ名とパスワードの2種を入力してログインしますが、ハッキング対策の一つとして3つめの入力で簡単な計算の答えを入れたり、日本語を入力したりを必須に設定します。
この設定をすることで、機械的にログインを試みている攻撃者をブロックします。特に日本語入力は海外の人に理解出来ないのでとても効果的です。
その他にGoogle社が提供するリキャプチャを設置して不正なログイントライを自動でブロックする方法もとれます。
ワードプレスのログインURLは通常、wp-login.php の固定で推測されやすいため、あえてログインページURLを変更します。そうすると知らない人はログインページに辿り着く事が難しくなります。
ただ「出来るだけ実施」となっているのは、まれにURLを変更すると不具合が出るテーマがあるためです。弊社では可能な限り変更します。
これらがワードプレス管理画面への不正ログイン防止対策です。それ以外にもさまざまな対策が可能ですが、弊社では新しい対策が登場した場合は検証をおこない、導入可能と判断できれば全てのお客さまに対応を実施しています。
ワードプレス管理画面に海外からアクセス禁止
ー出来るだけ実施ー
ワードプレス管理画面に不正アクセスしてくるのは、ほとんどが海外からなので、管理画面自体に海外からアクセスできなくします。これはとても有効な手段です。
具体的には日本以外のIPアドレスのリストをピックアップした上で、それ以外(結果的に海外)のIPアドレスからのアクセスを禁止することで可能になります。まれに誤作動で日本国内からのアクセスもブロックしてしまうことがありますが、その場合はすぐに設定を解除して、作業が終わったら再度ONにするだけです。
頻繁に海外から更新をするお客さま以外は弊社ではなるべく実施しています。
ワードプレスやプラグインのバージョン最新
サイトセキュリティ対策の基本はワードプレスやプラグインを常に最新版にアップデートすることです。常に新しい状態にしておくことは大きなセキュリティ対策になります。
大きくカスタマイズした独自テーマや更新が止まっているプラグインを使用している場合、アップデートをしてみると不具合が出ることもあります。弊社の経験では10回に1回くらいです。軽微なプラグインアップデートであればさほど影響はありませんが、ワードプレスのメジャーアップデートの場合はバックアップを取った上で少し慎重に作業する必要があります。
ワードプレスの「メジャーアップデート」は4~5ヶ月に1回くらいの頻度、「マイナーアップデート」は必要に応じて都度リリースされています。プラグインの更新も含めると、ほぼ毎週何らかのバージョンアップがおこなわれていることになります。
すべてのバージョンアップに対して、正確に対応させることはそれなりの調査時間と作業を要するため、弊社では現在の「ワードプレス保守管理サービス」の範囲では常に最新バージョンへのアップデート作業は行っておりません。適宜、お客さまと作業費用とセキュリティ度合いのバランスをご相談しながら実施しています。
お問い合わせフォームのセキュリティ対策
お問い合わせフォームの自動返信機能を悪用した攻撃も増えています。
具体的な手口は、フォームのメールアドレス欄(通常は送信者のメール)に不特定多数のメールアドレスを勝手に記載し、お問い合わせ内容欄にマルウェア誘導URLを記載して送信、そうするとサイト運営者にそのメールが届くと同時に、自動返信機能で不特定多数のメールアドレス宛てに、御社の名義メールアドレスで誘導URLが載ったメールが送られてしまうというものです。
1日に300件400件悪用されるケースも起きており、こうなってしまうと差出人は全く無関係の(悪用されてしまった)サイト運営者になってしまいます。自社だけの被害ならともかく関係の無い人に送られるとあっては信用問題にもかかわります。特に設置してから年数の経っているお問い合わせフォームでの悪用が増えています。
弊社では具体的な対策として下記などの方法を実施いたします。
などの施策を実施すると「ぴたり」と収まるケースが大半です。ただし3番目の内容欄含まずと4番目の自動返信OFFは、送信時には悪用側にはわからないので、自社では大量に受信してしまう可能性もあります。
※お問い合わせフォームの対策は納品時の古いサイトや弊社が作成していないサイトなどでは未実施のケースもあります。
現状はお客さまのご依頼、ご相談によって適宜、修正作業を承っています。
マルウェア(改ざん)検知サービス
ーオプションー
マルウェア(改ざん)検知のシステムは、セキュリティの脅威からサイトを保護するのに大事なプログラムです。オプションで提供しています。
1日1回お客さまのサイトを巡回自動スキャンし、サイトに悪意あるコンテンツが見つかった場合はアラートを発しますので、すぐにサイト改ざんの対応と復旧に取り掛かることが出来ます。
被害度合いによっては無償ですぐに復旧できるケースもあれば深刻な状況で時間を要するケースもあります。
以上が、弊社で実施しているホームページのセキュリティ対策になります。
ツアーオンライン株式会社では20年のホスティング運用経験を生かして、新しいセキュリティ対策に取り組み、良い対策や新しいツールがあれば積極的に試して、実装可能と判断すれば採用、万全なセキュリティ対策でお客さまのホームページを保護しています。この機会にぜひ弊社へのホームページ管理移管をご検討ください。
サイト管理会社の変更、サーバー管理の移管
ホームページ管理会社の変更、サーバー管理の移管を検討されているお客さまはお気軽にご相談ください。
弊社はこれまでに数百社の企業のホームページの移管(ワードプレスの移管)、サーバーの変更をおこなっています。多くの経験を通して移管のスムーズなノウハウを蓄積しております。サイトを停止することなくスムーズな引継ぎを心がけています。
などでお困りのお客さまはお気軽にご相談ください。
そのまま弊社サーバーに移動した上で管理の引き継ぎをいたします
現在、他社で管理しているホームページとドメイン、サーバー、メールアドレスをそのまま弊社サーバーに移動した上で管理の引き継ぎをいたします。
ご利用中のホームページのURL(例 aaaaaa.jp )やメールアドレス(例 yamada@aaaaa.jp )が変わってしまうことはございませんのでご安心ください。
また引継ぎ作業時に、旧制作会社が保有していたパスワードなども変更いたしますので、完了後はお客さまのみが知る安心パスワードになります。
ご検討の方は「サイト管理会社の変更、サーバー管理の移管について」のページをご覧下さい。
