一般ユーザーが意識することはあまり多くないと思いますが、世界中にインターネットが普及している現在、レンタルサーバーは常に外部からの脅威にさらされています。サーバーへの攻撃は日本国内からよりも、むしろ海外から日々多く発生しているのが現状です。
元々サーバーやデータセンター全体のサービスレベルでは、各社ともに様々なセキュリティ対策を行っていますが、近年は各サーバーを利用しているユーザーレベルでも様々なセキュリティ機能を利用できるようになってきました。
今回は、レンタルサーバーにおける、ユーザーレベルでのセキュリティ機能の実装状況を比較してみたいと思います。
レンタルサーバーのユーザーレベルのセキュリティ対策とは
「セキュリティ対策」といえば、ファイアウォールやウィルスチェックなどが思い浮かぶと思いますが、レンタルサーバーで提供されているユーザーレベルのセキュリティ対策には、以下のようなものがあります。
| WAF(Webアプリケーションファイアウォール) | Web サイトを対象にした外部からの不正アクセスをブロックする機能 |
| IPS(Intrusion Prevention System) | 不正侵入防御システム |
| IDS(Intrusion Detection System) | 不正侵入検知システム |
| 国外IPアドレス制限機能/フィルタ | 国外からのアクセスを制限する機能 |
| Web改ざん通知 | Webサイトが改ざんされた場合に通知する機能 |
| Webウイルスチェック | Webサイトにウィルスなどが埋め込まれていないかチェックする機能 |
| アップロードファイルウイルスチェック | FTPなどでウィルスが含まれたファイルがアップロードされないかチェックする機能 |
レンタルサーバー毎に同じ機能でも名称が違っていたり、複数の機能が一つのサービスとして提供されていたりしますが、現時点では主に上記のような機能が提供されています。
各機能の詳しい説明については、「4.セキュリティ-外部攻撃からユーザーを守るセキュリティ機能が充実しているサーバーは?」をあわせて参照してください。
レンタルサーバー各社のセキュリティ対策実装状況
では、実際に当サイトで紹介しているレンタルサーバー各社のセキュリティ対策の実装状況を見ていきましょう。
まずは、外部からの直接の攻撃に対する防御策である、WAFとIPS / IDS、また国外IPアドレス制限機能/フィルタです。
| WAF | IPS | IDS | 国外IPアドレス制限機能/フィルタ | |
| エックスサーバー | ○※ | × | (△) | △ / WordPressやFTPでも可能 |
| カゴヤ | ○ | ○ | × | .htaccess |
| さくらインターネット | ○ | × | × | ○ |
| heteml | ○ | × | × | .htaccess |
| クローバー | × | × | × | WordPressやFTPで可能/.htaccessの利用可 |
| ABLENET | × | × | × | × |
| WADAX | ○(オプション) | ○ | × | × |
| ロリポップ | ○ | × | × | × |
| お名前.com | × | × | × | × |
| WebARENA | × | ○ | × | × |
| Bizメール&エコノミー | – | – | – | × |
| SpeeVer | × | ○ | ○ | × |
| iCLUSTA+ | × | × | × | × |
※2018年7月に提供開始
近年 WAF を実装するレンタルサーバーが増えてきましたが、この中でも約半数近くが実装しています。WADAX だけは、WAF の利用にあたりオプション料金が発生しますが、3か月無料などのキャンペーンも実施していることもありますので、お試ししてみるのもいいかもしれません。
また、IPS と IDS ですが、こちらは厳密にいうと機能が異なります。ただ、IDS の機能もある IPS を利用しているところもあるようなので、IPS だけであっても十分と言えるかもしれません。
最後の国外IPアドレス制限機能/フィルタですが、「○」ついているさくらインターネットに関しては、コントロールパネルからワンクリックで設定できるようになっています。また、「△」のエックスサーバーもコントロールパネルから拒否IPを簡単に設定できます。
また、「.htaccess」と書いてあるところは、サポートに確認したところ「.htaccess」に設定することでアクセス拒否ができると回答されたところです。
これは、.htaccess という設定ファイルに、アクセスを拒否したいIPアドレスを記入することで、利用している Webサイトに当該アドレスからのアクセスを拒否できるようになるという方法です。作業自体はごく簡単ですが、初心者には少々敷居が高く感じられるかもしれません。
基本的にどの会社でも「.htaccess」の設置は可能なので、「×」になっている会社でも、「.htaccess」に必要な内容を記載すれば国外からのアクセスを遮断できるようになると思います。
その他のセキュリティ機能
直接的な外部からの攻撃に対するセキュリティ対策以外にも、アップロードされたファイルにウィルスが混入していないか、サイトが改ざんされていないかなどを確認する機能もあります。
以下にその実装状況です。
| Web改ざん通知 | Webウイルスチェック | アップロードファイルウイルスチェック | |
| エックスサーバー | △ | × | × |
| カゴヤ | △(類似機能オプション) | × | × |
| さくらインターネット | ○(オプション) | × | × |
| heteml | △ | × | × |
| クローバー | × | × | × |
| ABLENET | × | × | × |
| WADAX | × | ○ | × |
| ロリポップ | × | × | ○ |
| お名前.com | × | × | × |
| WebARENA | ○(5ページ以上オプション) | × | × |
| Bizメール&エコノミー | × | – | – |
| SpeeVer | ○(オプション) | × | × |
| iCLUSTA+ | × | × | × |
こちらはあまり実装されているレンタルサーバーは多くありません。また、オプションでの提供も多いですね。
Web改ざん通知が「△」になっているエックスサーバーと heteml ですが、ユーザー用機能はありませんが、サーバーのサービス側で Webサイトの改ざんを検知した場合に、レンタルサーバー会社からユーザーに通知をしてくれたり、ユーザーの要請により調査することも可能とのことでした。
該当の機能が実装されていて簡単に使えるようなお手軽な感じではありませんが、十分必要なサービスは提供してくれているので、安心ですね。
なお、これらの機能をオプションとして利用する場合は、提供されているサービスやサービスの利用状況にもよりますが、比較的高い料金を支払わなければならないことが多いです。
例えば、さくらインターネットのWeb改ざん通知サービスの場合は「100ページ 1日1回のチェック」で月額2,160円、カゴヤのWebウイルスチェックの場合はシマンテックのその他の高度な機能を有したサービスで年額42,768円かかるなど。料金面から考えると、どちらかというと、トラブル発生により社会的信用を失う恐れがある企業向けのサービスと言えるかもしれません。
レンタルサーバーの各種セキュリティ対策を比較まとめ
以上、レンタルサーバーの各種セキュリティ対策を比較してみました。
単純に各セキュリティ対策の実装状況のバランスが比較的いいといえるのは、カゴヤですね。カゴヤはマニュアルなども充実しているので、使用したことがない機能であっても、安心して使えると思います。
なお、ユーザーレベルでの機能が実装されていないレンタルサーバーでも、必ずしもセキュリティが弱いというわけではありません。たとえ、ユーザーレベルでの機能がなくても、サーバー・サービスレベルでの対策がしっかり実施されていれば安心して利用することができます。
例えば、エックスサーバーに関しては、「サーバー・サービスレベルで、ファイアウォールや IDS などによる監視をはじめとして、外部企業による定期的なソフトウェアなどの脆弱性診断を実施」しているとサポートから回答をもらいました。Webサイトの改ざんなども、前述のとおり対応してくれています。
そうなると、表面的に見えるサービスだけでは判断が難しくなってきてしまうのですが、一つの目安としては、過去に大きなトラブルが発生している会社は、利用を避けるのがベターという判断ができると思います。
とはいえ、以前に比べると各社共にセキュリティにはかなり気を配っていると思いますし、ユーザーレベルでのセキュリティ対策な今後もより重視されていくと思いますので、注目していきたいと思います。
