ホームページ・サーバーのセキュリティ対策
— Server & Website Security

ホームページ
サーバーの
セキュリティ対策

ホームページ・サーバーのセキュリティ-20年の運用実績

ツアーオンライン株式会社では、ウェブ制作やホスティング、ドメイン、SSL、メールなど現在のビジネスでは欠かすことの出来ないインターネットインフラ事業をおこなっており、不正アクセス、盗聴、改ざんなどの情報漏えいリスクから保護するために、物理的、技術的なセキュリティを強化していくことが重要だと考えています。別途掲げる「情報セキュリティポリシー」のもと、お客様のホームページとサーバーで20年の運用実績を生かして様々なセキュリティ対策をおこなっています。

セキュリティ対策には、大きく分けると 「サーバーのセキュリティ対策」 とコンテンツ部分の 「ホームページのセキュリティ対策」 の2種類があります。

弊社では、ホームページとサーバーの保守管理を一括しておこなっていますので、双方にまたがった総合的なセキュリティ対策を実施してお客さまのホームページを保護しています。この機会に弊社へのホームページ管理移管をぜひご検討ください。

サーバーの
セキュリティ対策

サーバーでの セキュリティ対策

ホームページを収容するサーバーでのセキュリティ対策には、SSL(Secure Socket Layer)やネットワークレベルでのファイアウォール(Firewall)、Webアプリケーションを対象としたWAF(Web Application Firewall)、不正侵入防止システムのIPS、IDSなどがあります。

サーバーのセキュリティ対策を見る

ホームページの
セキュリティ対策

ホームページでの セキュリティ対策

ホームページのセキュリティ対策には、ワードプレスの場合は管理画面への不正ログイン防止各種(認証の工夫やロックなど)、特定ファイルへのアクセス禁止、海外IPアドレスからのアクセス禁止、アラート、CGIを使ったお問い合わせフォームやお知らせへの不正使用対策などがあります。

ホームページのセキュリティ対策を見る

お客さまのホームページを保護するセキュリティ体制

ツアーオンライン株式会社の保守管理サービスはお客さまのホームページにさまざまなセキュリティ対策を実施しています。

各種サーバーを分散化

ウェブやメールなどの各種サーバーは異なるエリアのデータセンターに分散化。外部の影響を受けにくい高度で堅牢な環境を保持、障害発生時の共倒れリスクを除去。

安心のRAID 10

同一のデータを複数のストレージに書き込む「RAID10」でデータを保存。もし片方のストレージが故障した場合でも、停止せず利用を継続が可能。

24時間365日監視

各データセンターでは保守担当者が「24時間365日有人監視」をおこなっており、万が一の障害発生時にもスピーディーに復旧対応が可能。

ファイアウォール

ネットワーク攻撃、DoS攻撃などによるデータやプログラムの盗み見、改ざん、破壊等が行われるのを防御。

脆弱性アップデート

各種アプリケーションの脆弱性対応やマイナーアップデート、バグフィックスなどを適宜実施して常に安全にご利用いただける状態を保持。

WAF

クロスサイトスクリプティング(XSS)やSQLインジェクションといったウェブサイトへの不正なアクセスを検知し、攻撃を防御、遮断。

SSL 通信の暗号化

データを暗号化して送受信。クレジットカード番号入力ページや個人情報を入力するお問い合わせフォームなどで情報が盗み取られるのを防止。
【オプション】

厳密なパスワード管理

FTP発行時に社内ルールのもと複雑で適切なパスワードを発行、管理しています。万が一の時もパスワード即時再発行サービスで安心。

データバックアップ

弊社ではお客さまのサイトやサーバーのバックアップを手動、自動の双方、さまざまな方法で実施。

高セキュリティメール

メールサーバーも24時間365日有人監視、不正中継対策、送信・受信のSSL暗号化、ウイルスメール自動除去など高度なセキュリティ対策を実施。

障害検知システム

お客さまのサイトが正常に表示されているか、を5分おきに自動で監視して、ネットワーク障害発生時にはすぐに対応出来る体制を構築。

不正ログイン防止

ワードプレス管理画面には、ログインロック、強固なパスワード、ログイン時の追加認証など不正ログイン防止対策を標準で実施。

フォーム悪用防止

お問い合わせフォームの自動返信機能を悪用した攻撃を防止するための対策を実施。

改ざん・侵入検知

お客さまのサイトを巡回自動スキャンし、マルウェアなど悪意あるファイルが見つかった場合は早期発見。
【オプション】

サーバーのセキュリティ対策

お客さまがご利用のサーバーで実施している対策、または対応・利用可能なセキュリティ対策についてご案内いたします。いずれもお客さまの方でやっていただく作業はございません。すべて弊社側で作業を実施していますのでご安心ください。

ウェブ、メール、DB、DNSサーバーをすべて分散

メール、ウェブ、DB、DNSサーバーをすべて分散
各サーバーを分離独立

各種サーバーを分離独立させて堅牢な環境で運用

ウェブサーバー、メールサーバー、DNSサーバー、バックアップサーバーは異なるエリアのデータセンターに分散化。物理的に切り離すことで、他のサーバーや外部の影響を受けにくい高度で堅牢な環境を保持、障害発生時の共倒れリスクを取り除いています。

一般的なレンタルサーバーのようにウェブとメール、バックアップ、DNSが同一のサーバー領域に入っているとサーバーダウン時に全部いっぺんに影響が出てしまいますが、
弊社のメールサーバーは仮にウェブサーバーで障害が発生した時もメールは影響を受けることはありません。またその逆も同様です。

安心のRAID10&データ自動バックアップ

安心のRAID10&データバックアップ

当社のウェブサーバー、メールサーバーは上記の通りに単独分離していますが、さらに万が一の事態に備え、両サーバー自体を RAID10&データ自動バックアップしています。すべてのお客さまに標準装備です。

同一のデータを複数のストレージに書き込む「RAID10」の方式でデータを保存しているため、もし片方のストレージが故障した場合でも、停止せず利用を継続することができます。

また両サーバー全体が故障してしまうなどの事態に備え、一定周期でサーバーすべての「バックアップ」を自動で行っています。

運用管理については全てデータセンター側でおこないますのでお客さまの方でやっていただくことはございません。ご安心ください。

24時間365日有人で監視

24時間365日有人でしっかり監視

サーバーを収容する国内データセンターは、大規模地震を考慮した制震や耐震、免震構造設計で、無停電電源装置(UPS)と非常用発電装置により、停電の際にも安定した電力供給を続けます。

またデータセンターでは保守担当者が「24時間365日有人監視」をおこなっており、万が一の障害発生時にもスピーディーに復旧対応に取り組みます。サーバー管理については全て事業者側でおこないますのでお客さまの方でやっていただくことはございません。ご安心ください。

ファイアウォール(Firewall)

ー全てのお客さま標準ー

ファイアウォール(Firewall)

サーバーサイドでネットワークレベルのファイヤーウォールを実施しています。全てのお客さま標準装備です。

外部からの不正なアクセスをおこなうIPアドレスやポート番号などを遮断して、ネットワーク攻撃、DoS攻撃などによるデータやプログラムの盗み見、改ざん、破壊等が行われるのを防ぎます。これはほとんどのホスティング事業者でおこなわれているものです。

※お客さまがご利用のサーバー機種によって多少の違いはありますが基本的な機能は変わりません。
※弊社ではお客さまのサイトの仕様やご契約年度によって収容サーバーやデータセンターが異なりますが、これらの対策は全てのお客さまを対象に実施しています。

脆弱性など定期アップデート実施

ー全てのお客さま標準ー

お客さまのホームページが収容されているサーバーサイドでは、インストールされている各種アプリケーションの脆弱性対応やマイナーアップデート、バグフィックスなどを適宜実施して常に安全にご利用いただける状態を保っています。

またサーバー稼働24時間365日監視や障害発生時の迅速な復旧作業、定期的な機器メンテナンスなどもおこなっておりますのでご安心ください。※全てのお客さま標準対応です。

※弊社ではお客さまのサイトの仕様やご契約年度によって収容サーバーやデータセンターが異なりますが、これらの対策は全てのお客さまを対象に実施しています。
※OSやPHPの大きなアップデートの場合はお客さまのホームページに影響が出る可能性もあるため極力実施いたしませんが、やむを得ない場合はアップデートを実施した上で弊社の方でサイトの動作を確認しております。

WAF(Web Application Firewall)

ー全てのお客さま標準ー

WAF(Web Application Firewall)※全てのお客さま標準

WAF(Web Application Firewall)は、外部に公開をしているWebアプリケーションを対象にしたセキュリティ対策です。上記のネットワークレベルのファイヤーウォールでは防ぐことのできない部分をカバー出来ます。全てのお客さま標準装備です。

クロスサイトスクリプティング(XSS)やSQLインジェクションといったウェブサイトへの不正なアクセスを検知し、攻撃を防御(ブロック)、遮断します。外部からの不正アクセスを100%完全に防げる訳ではありませんがとても効果的な対策です。

※WAFは比較的近年一般的になって来たファイアーウォールでお客さまのサーバーが古い場合は設置されていないこともあります。
※基本的には全てのお客さまサイトで標準装備ですが、WAFによってお客さまサイトの更新が出来ないどの場合は一部機能をOFFにしているケースもあります。

SSL 暗号化証明書の導入

ーオプションー

SSL 暗号化証明書の導入(申込者のみ)

SSL(Secure Socket Layer)はネット上でデータを暗号化して送受信する仕組みで、ネットシップのクレジットカード番号入力ページや個人情報を入力するお問い合わせフォームなどで情報が盗み取られるのを防止するために広く利用されています。

近年、必須となってきた常時 SSL 化はホームページ全体をSSL化(URLが http → https )するもので、Googleなどの事業者が強く推奨していることから導入が加速しています。

具体的にはサーバーにSSL(暗号化証明書)をインストールして、使用ドメインと結びつけることで可能になります。弊社ではご利用サーバーへのSSL設置作業とホームページのSSL化対応も一括で提供、つい忘れがちな年度ごとの契約更新やお支払いも全ておこないます。ご希望のお客さまはお問い合わせください。

厳密なFTPパスワード管理

ー全てのお客さま標準ー

FTPパスワードの難易度化 ※全てのお客さま標

FTP、FTPS、SSHはお客さまのパソコンなどからソフトを使用してサーバーにアクセスすることが出来る情報です。

弊社ではFTPS発行時に社内ルールのもと複雑で適切なパスワードを発行、管理しています。サーバー移管時にはこれまでの使っていた他社に漏れているパスワードを削除して新しいものを作成します。(FTP情報は弊社が発行するもので、お客さま自身は特に作業は発生いたしません)

パスワードはドメインやメールアドレスと似通ったものにしない
パスワードの桁数は多くする(桁数はセキュリティのため非公開)
パスワードとユーザアカウントは英数字を入れる
簡易的な英語は用いない

パスワード即時再発行サービスで安心

万が一、何らかの理由でFTPパスワードが流失した場合やFTP経由での不正アクセスが起きた場合、またFTP情報を知る社員が退職してしまった場合は、弊社にご連絡をいただければ即、FTPパスワードを変更いたします。即時再発行の安心サービスです。


データのバックアップと復旧対策

ー全てのお客さま標準ー

アマゾンクラウドへの自動バックアップ

バックアップは厳密にはセキュリティ対策とは異なりますが、双方をきちんと実施することでお客さまは安心してサイトの運営に専念することができます。

弊社ではお客さまのサイトやサーバーのバックアップを手動、自動の双方、さまざまな方法でおこなっております。※全てのお客さま標準対応です。

バックアップ実施内容については別ページにまとめてありますので下記ボタンからご覧下さい。

独立環境のメールサーバーも高セキュリティ

ー全てのお客さま標準ー

独立環境のメールサーバーも高セキュリティ

WEBサーバーとは別環境で独立して運用している「メールサーバー」24時間365日有人監視」「不正中継対策(SMTP認証)」「送信・受信のSSL暗号化通信」「ウイルスメール自動除去」「海外IPアドレスフィルタなど高度なセキュリティ対策を実施しています。中小企業にとって使いやすくリーズナブルなメールサービスです。メールだけの使用も歓迎です。
メールサーバーのセキュリティ対策ついてのご案内は下記をクリックしてご覧下さい。

これらが弊社で実施しているサーバー側でのセキュリティ対策になります。ツアーオンライン株式会社では20年のホスティング運用経験を生かして、新しいセキュリティ対策に取り組み、良い対策や新しいツールがあれば積極的に試しています。

続いて、ホームページでのセキュリティ対策についてご案内いたします。

ホームページのセキュリティ対策

次に、弊社のお客さまのホームページでおこなっているセキュリティ対策についてご案内いたします。ここでのご説明はワードプレスを使って構築されているホームページのご案内が中心になります。
弊社が作成したホームページか他社で制作したホームページかという点やワードプレスか通常のhtmlサイトかによって細かい対策は異なります。

ワードプレス管理画面への不正ログイン防止対策

ワードプレス管理画面への不正ログイン防止

ホームページ制作でのソフトウェア世界シェア1位のワードプレスは、全て同じプログラム仕様で構成されていることや各自のサーバーにインストールするタイプのシステムのためセキュリティのレベルが一定ではないことなどから、ログインページや特定ファイルへの攻撃を受けやすい面があります。

弊社ではワードプレスが登場した十数年前の黎明期より数多くのサイト構築を経験して来ており、現在もっとも得意なシステムの一つです。

それ故にワードプレスの弱い点も理解しており、セキュリティに関してはサーバーにインストールした時点ですぐに各種対策を実施しています。

また他社が制作をして弊社に移動されて来たお客様のサイトも移管完了後出来るだけのセキュリティ対策はおこなっています。

ここでは弊社が実施している対策についてご紹介いたします。当然おこなうべきことが大半ですが、経験上意外になおざりになっているものです。ご覧ください。

ログインユーザ名とパスワードを強固なものに変更(必ず実施)

以前ほど多くはありませんが、移管されるサイトでまれにログインユーザ名やパスワードが簡単なものであることがありますので、弊社ではリスキーだと判断した場合は、まず双方をなるべく桁数が多く、ドメインやサイト名と関連の無い組み合わせに変更いたします。古いユーザーアカウントとパスワードは過去の担当者に漏れているので削除して使用不可にしています。

ログインロックの実施(必ず実施)

ハッキング狙いの攻撃は機械的にログイントライを短時間で繰り返します(ブルートフォース攻撃、リスト攻撃)。これらに有効な対策の一つである一定時間の間に数回ログインに失敗したら「ログインロック」を実施します。この設定をすることで指定回数に達した接続元IPアドレスを指定時間ブロックしますので、攻撃者は管理画面にアクセス出来なくなります。

ログイン時の追加認証の実施(必ず実施)

ワードプレスは通常、インストールするとユーザ名とパスワードの2種を入力してログインしますが、ハッキング対策の一つとして3つめの入力で簡単な計算の答えを入れたり、日本語を入力したりを必須に設定します。

この設定をすることで、機械的にログインを試みている攻撃者をブロックします。特に日本語入力は海外の人に理解出来ないのでとても効果的です。

その他にGoogle社が提供するリキャプチャを設置して不正なログイントライを自動でブロックする方法もとれます。

ログインURLの変更(出来るだけ実施)

ワードプレスのログインURLは通常、wp-login.php の固定で推測されやすいため、あえてログインページURLを変更します。そうすると知らない人はログインページに辿り着く事が難しくなります。

ただ「出来るだけ実施」となっているのは、まれにURLを変更すると不具合が出るテーマがあるためです。弊社では可能な限り変更します。

これらがワードプレス管理画面への不正ログイン防止対策です。それ以外にもさまざまな対策が可能ですが、弊社では新しい対策が登場した場合は検証をおこない、導入可能と判断できれば全てのお客さまに対応を実施しています。


ワードプレス管理画面に海外からアクセス禁止

ー出来るだけ実施ー

ワードプレス管理画面に海外からアクセス禁止対策(出来るだけ実施)

ワードプレス管理画面に不正アクセスしてくるのは、ほとんどが海外からなので、管理画面自体に海外からアクセスできなくします。これはとても有効な手段です。
具体的には日本以外のIPアドレスのリストをピックアップした上で、それ以外(結果的に海外)のIPアドレスからのアクセスを禁止することで可能になります。まれに誤作動で日本国内からのアクセスもブロックしてしまうことがありますが、その場合はすぐに設定を解除して、作業が終わったら再度ONにするだけです。

頻繁に海外から更新をするお客さま以外は弊社ではなるべく実施しています。

ワードプレスやプラグインのバージョン最新

ワードプレスやプラグインのバージョンを最新する

サイトセキュリティ対策の基本はワードプレスやプラグインを常に最新版にアップデートすることです。常に新しい状態にしておくことは大きなセキュリティ対策になります。

大きくカスタマイズした独自テーマや更新が止まっているプラグインを使用している場合、アップデートをしてみると不具合が出ることもあります。弊社の経験では10回に1回くらいです。軽微なプラグインアップデートであればさほど影響はありませんが、ワードプレスのメジャーアップデートの場合はバックアップを取った上で少し慎重に作業する必要があります。

ワードプレスの「メジャーアップデート」は4~5ヶ月に1回くらいの頻度、「マイナーアップデート」は必要に応じて都度リリースされています。プラグインの更新も含めると、ほぼ毎週何らかのバージョンアップがおこなわれていることになります。

すべてのバージョンアップに対して、正確に対応させることはそれなりの調査時間と作業を要するため、弊社では現在の「保守管理サービス」の範囲では常に最新バージョンへのアップデート作業は行っておりません。適宜、お客さまと作業費用とセキュリティ度合いのバランスをご相談しながら実施しています。

※なお常にワードプレスとプラグインを最新状態に保つプランの投入も検討しています。

お問い合わせフォームのセキュリティ対策

お問い合わせフォームのセキュリティ対策

お問い合わせフォームの自動返信機能を悪用した攻撃も増えています。
具体的な手口は、フォームのメールアドレス欄(通常は送信者のメール)に不特定多数のメールアドレスを勝手に記載し、お問い合わせ内容欄にマルウェア誘導URLを記載して送信、そうするとサイト運営者にそのメールが届くと同時に、自動返信機能で不特定多数のメールアドレス宛てに、御社の名義メールアドレスで誘導URLが載ったメールが送られてしまうというものです。

1日に300件400件悪用されるケースも起きており、こうなってしまうと差出人は全く無関係の(悪用されてしまった)サイト運営者になってしまいます。自社だけの被害ならともかく関係の無い人に送られるとあっては信用問題にもかかわります。特に設置してから年数の経っているお問い合わせフォームでの悪用が増えています。

弊社では具体的な対策として下記などの方法を実施いたします。

Google社提供のreCAPTCHA設定を実装して機械的な送信を防止
送信時に日本語のひらがなやカタカナを入力しないと送信出来ない欄を設置
自動返信メールには内容欄を含まないように設定変更
可能であれば自動返信設定をOFFにする

などの施策を実施すると「ぴたり」と収まるケースが大半です。ただし3番目の内容欄含まずと4番目の自動返信OFFは、送信時には悪用側にはわからないので、自社では大量に受信してしまう可能性もあります。

※お問い合わせフォームの対策は納品時の古いサイトや弊社が作成していないサイトなどでは未実施のケースもあります。
 現状はお客さまのご依頼、ご相談によって適宜、修正作業を承っています。

マルウェア(改ざん)検知サービス

ーオプションー

マルウェア探知システム(オプション)

マルウェア(改ざん)検知のシステムは、セキュリティの脅威からサイトを保護するのに大事なプログラムです。オプションで提供しています。
1日1回お客さまのサイトを巡回自動スキャンし、サイトに悪意あるコンテンツが見つかった場合はアラートを発しますので、すぐにサイト改ざんの対応と復旧に取り掛かることが出来ます。
被害度合いによっては無償ですぐに復旧できるケースもあれば深刻な状況で時間を要するケースもあります。

バックアップオプションと組み合わせることで、極めて素早くサイトを復旧することが可能です。

以上が、弊社で実施しているホームページのセキュリティ対策になります。

ツアーオンライン株式会社では20年のホスティング運用経験を生かして、新しいセキュリティ対策に取り組み、良い対策や新しいツールがあれば積極的に試して、実装可能と判断すれば採用、万全なセキュリティ対策でお客さまのホームページを保護しています。この機会にぜひ弊社へのホームページ管理移管をご検討ください。

サイト管理会社の変更、サーバー管理の移管

ホームページ管理会社の変更、サーバー管理の移管を検討されているお客さまはお気軽にご相談ください。

弊社はこれまでに数百社の企業のホームページの移管(ワードプレスの移管)、サーバーの変更をおこなっています。多くの経験を通して移管のスムーズなノウハウを蓄積しております。サイトを停止することなくスムーズな引継ぎを心がけています。

ホームページを担当していた社員が辞めてしまって更新できなくなった
ホームページ管理会社が廃業してしまうので早急に変更したい
ホームページ管理会社との関係がうまくいかないので変更したい
ホームページ管理やサーバー、ドメインを一括して管理してほしい
ワードプレスのことをよく知っている会社に変更したい

といった方も安心してお任せ下さい。

そのまま弊社サーバーに移動した上で管理の引き継ぎをいたします

現在、他社で管理しているホームページとドメイン、サーバー、メールアドレスをそのまま弊社サーバーに移動した上で管理の引き継ぎをいたします。
ご利用中のホームページのURL(例 aaaaaa.jp )やメールアドレス(例 yamada@aaaaa.jp )が変わってしまうことはございませんのでご安心ください。

また引継ぎ作業時に、旧制作会社が保有していたパスワードなども変更いたしますので、完了後はお客さまのみが知る安心パスワードになります。
ご検討の方は「サイト管理会社の変更、サーバー管理の移管について」のページをご覧下さい。

Scroll to Top