初めてサーバーをレンタルされる方を対象に、最低限、認識しておきたいセキュリティに関するポイントを説明します。これはセキュリティに重点を置いてレンタルサーバーを選ぶ場合に必要となる知識です。
レンタルしたサーバーへのアクセスはインターネットを利用して行います。つまり、インターネットへ接続できる環境さえあれば、誰でもサーバーをレンタルする事が出来ます。
ISP が提供するメールや FTPサーバーへのアクセスと異なり、インタネットを利用してレンタルサーバーへ接続するため、常に盗聴、改ざんの危険性のリスクが高くなるという事を認識しておく必要があります。
特に、一般家庭では無線LAN の普及によりその危険性が増しています。
メールサーバやホームページスペースとして提供される FTP 接続を行うネットワークを比較した場合、レンタルサーバーと従来の ISP が提供するサービスとでは、以下に示す違いがあります。
レンタルサーバへの接続はインターネットを介して接続するという点に注目して下さい。
ISP が提供するメールサーバーへ届いたメールを受信する場合、インターネットを流れないため盗聴の危険性はありませんが、レンタルサーバーのメールサーバーへ接続する場合は、インターネットを経由するため、盗聴、改ざんの危険性が付き纏います。
メールの場合、利用者とサーバー間で暗号化しても、サーバーに届くまでの経路は何の保証もないため意味がないと思われるかも知れません。
しかし、組織内メールとして活用する場合など機密性が求められるケースもあります。このようなケースでは、メール受信メール送信双方に暗号化保護された通信経路がホスティングサーバー事業者から提供される必要があります。
専用サーバー、VPS の場合は独自にサーバーを構築する事も可能ですが、共用であるホスティングサービスはそれが出来ません。
Yahoo!BB が契約者向けに提供しているメールサーバーは、インターネット上で不特定多数に無料で提供してきたフリーのメールサーバーを利用しています。
既存のインフラを利用する事でコストを削減していますが、このような ISP はホスティングサービスが提供するメールサーバーと同じです。盗聴、改ざんのリスクは、通常のISP に比べて高いという事になります。
インターネット上で提供されるサービスは、レンタルサーバーに限らず常に盗聴の危険性が付き纏います。特に一般家庭においては無線LAN の普及により、以前に増して危険性が高まっていると言えます。
レンタルサーバーへのアクセスコードが盗聴された場合、被害は広範囲に及びます。
メールサーバーへ不正アクセスを許すと情報漏洩に直結します。また、成りすましにより第三者に被害が及ぶ可能性もあります。
盗聴対策 : POP Over SSL (受信) / SMTP Over SSL (送信)
盗聴対策 : 同一ドメインにおける機密性の確保について
FTP は、主にホームページ更新作業のために提供されています。FTP へのアクセスコードが盗聴された場合、ホーム-ページの改ざんを許すことになります。
盗聴対策 : FTP Over SSL
FTP Over SSL に対応した FTP クライアントが必要になります。
SQL データベースサーバーへのアクセスコードが盗聴された場合、データベースに格納された全ての情報が流出します。ネットショップ運用など個人情報を管理するようなケースでは更に被害は甚大になります。
盗聴対策 : Web サイトの SSL暗号化 (共用SSL / 専用SSL)
SSH が提供されない場合は、phpMyAdmin などを利用する事でブラウザ経由で MySQL データベースのメンテナンスも可能です。この場合、phpMyAdmin を設置するディレクトリが htpps:// (SSL) でアクセスできる必要があります。
何れのサービスも盗聴から通信を守るためには通信経路ごと暗号化される必要があります。つまり、サーバーが対応している必要があります。
個人向けのホスティングサービスには、扱う情報の重要性や価格の問題からこのような安全対策が提供されないケースが殆どです。また、ビジネス向けホスティングサービスでも、事業者により対応に差があります。
セキュリティを重視してホスティング サービスを選ぶ場合は、上記、対策が行えるかどうかに着目して選べば、後々後悔しないで済みます。
関連 => ネットショップ運用に求められるサーバーの機能 ~ ホスティング