あらゆる種類のオンラインプロジェクトにおいて、セキュリティは不可欠です。しかし、金銭的なコストに加えて、セキュリティ上の問題はダウンタイムを引き起こし、プロジェクトを妨げたり、顧客データを危険にさらしたりする可能性があります。また、売上や事業、さらにブランドイメージやWebサイトの信頼性にも影響を及ぼすことがあります。
始めるにあたって、覚えておくべきさまざまなオンラインビジネスに対するセキュリティ脅威があります。ここでは、共有ホスティングのユーザーが直面する可能性のあるセキュリティ上の課題と、それらを防止および解決する方法を見ていきます。
共有ホスティングのセキュリティ
共有ホスティングの性質とその構造上、狙われやすい領域がいくつかあります。そして、ほとんどのセキュリティ設定はホスティングプロバイダーによって管理されますが、ユーザーも一部のセキュリティリスクを積極的に管理し、軽減することができます。共有ホスティングで最もリスクが高い領域は、次のカテゴリに分類されます。
ホスティングプロバイダーレベル
サーバーレベル(製品および共有サーバーに関連)
ユーザー管理(インストールされたソフトウェア、設定、日常利用に関連)
ホスティングプロバイダーレベルのセキュリティ
アカウント、ホスティングサービス、データに関する潜在的な問題を軽減するために、適切なセキュリティ対策が整っているホスティングプロバイダーを選ぶのが常に最善です。
注意すべき点は次のとおりです。
高いアカウントセキュリティとデータプライバシー(多要素認証と安全なプラットフォーム)。
サーバーレベルでのDDoS攻撃の緩和。
ソフトウェアの定期バックアップ(通知付き)。
もう1つ覚えておくべきことは、共有ホスティングでは環境が分離されていないという点です。そのため、1つのWebサイトが機密データを暗号化しないなど、弱いセキュリティ対策を取っていると、他のユーザーにもリスクをもたらす可能性があります。1つのサイトのデータベースにアクセスした攻撃が、サーバー上の他のアカウントとやり取りする接続やスクリプトを見つけることもあります。
また、1つのサイトが感染し、共有ファイル、スクリプト、またはデータベース接続を通じてサーバー上の他のサイトに広がる、マルウェア拡散のリスクもあります。マルウェアが複数のサイトに感染すると、データ侵害やさらなる悪用につながる可能性があります。
共有ホスティングプロバイダーは、更新が利用可能になっても、デフォルトではすぐにサーバーソフトウェアや設定を更新しない場合があることに注意してください。これにより脆弱性が生まれ、悪用される可能性があります。たとえば、サイバー犯罪者は古いバージョンのPHPやMySQLをよく標的にします。
つまり、サーバー上のすべての更新が速やかに行われるよう確認する必要があります。また、ホスティングプロバイダーが次の項目をサポートまたは提供しているか確認するのが最善です。
SSL証明書
ファイアウォール
カスタマーサポート
ユーザーが管理
共有ホスティングのソフトウェアインフラストラクチャ
ホスティングプロバイダーはソフトウェアインフラストラクチャのセキュリティに責任を負いますが、ホスティングユーザーは追加ソフトウェアやカスタムコードのセキュリティを管理する必要があります。
安全でないプラグインとテーマ
セキュリティ上の考慮事項の1つは、プラグイン、ツール、サービスの選択です。これらが正規または安全でない場合、サーバー上のすべての共有ホスティングユーザーが、さまざまな攻撃やマルウェア感染のリスクにさらされる可能性があります。
また、正規かつ公式のソフトウェアが使用されていても更新されておらず、セキュリティ上の脆弱性になる可能性もあります。これはWordPressの更新で起こり得ることで、常に自動適用されるわけではないため、メールや通知で注意して確認する必要があります。
更新を自分で適用する必要がある場合、見落としやすくなります。これはプロバイダーを選ぶ際に覚えておくべき点です。
ホスティングの更新については、次の方法で確認できます。
メール
ダッシュボード内のアラート
コンテンツ管理システム(CMS)プロバイダーのリリースノート
フォーラム
パスワード管理
パスワード管理が安全に行われていないと、ホスティング環境で不正アクセスを許す可能性があります。セキュリティ侵害は、弱いパスワードや推測しやすいパスワード、またはセキュリティ認証情報が複数のユーザー間で共有されている場合に発生することがあります。
ブルートフォース攻撃
これは、アクセスを得るまで大量のパスワードの組み合わせを試行するマルウェアを伴うものです。パスワードが十分に強力でない場合、より簡単にアクセスされる可能性があります。
ファイル権限
ファイル権限の誤りは、データベース認証情報などの機密情報の漏えいを引き起こす可能性があります。この種の侵害は、攻撃対象となったWebサイトだけでなく、サーバー上の他のユーザーにとってもリスクとなり得ます。
サーバーレベルのセキュリティ
すでに述べたように、ユーザーは他のShared Hostingユーザーとサーバーリソースを共有します。適切に管理されていない場合、共有環境は考慮すべきさまざまなセキュリティリスクをもたらす可能性があります。
DDoS攻撃
共有ホスティングアカウントは、分散型サービス拒否(DDoS)攻撃に対して脆弱です。これは、オンラインシステム、サーバー、またはネットワークに接続要求(インターネットトラフィック)が大量に送り込まれる攻撃です。これらの攻撃は多くの場合、ボットのネットワーク(ボットネット)によって実行され、通常のインターネットユーザーが一定期間Webサイトにアクセスできなくなります。
リソース制限とその影響
隣接するホスティングアカウントが攻撃を受けると、そのアカウントがより多くのリソースを消費するため、他のユーザーは利用できなくなります。最終的な結果として、Webサイトの動作が遅くなるか、利用できなくなります。
ホスティングプロバイダーは、ファイアウォールや自動トラフィック監視などの監視対策を適用し、近隣アカウントが攻撃を受けた際に他のユーザーが影響を受けないよう、DDoS事案に対応できます。
同じサーバー上での攻撃の影響を防止または軽減するための対策には、次のものがあります。
大容量ルーター
Anti-DDoSシステム
アカウントの分離
ファイアウォール
侵入検知・防止システム(IDPS)
トラフィック制御
セキュリティ対策が講じられていても、共有環境でのWebホスティングは、共有ホスティングアカウントの構造上、やや脆弱です。
共有IPアドレスのセキュリティ
場合によっては、複数のプランやWebサイトを含む共有ホスティングアカウントが、すべて同じIPアドレスを共有します。つまり、サーバー上のこの1つのIPアドレスがサイバー攻撃を受けると、本来の標的でなかったものも含め、広範囲のホスティングプランやWebサイトが影響を受ける可能性があります。
共有ホスティングにおけるデータ侵害
共有ホスティング環境では、1つのWebサイトが侵害されると、攻撃者が同じサーバー上の他のサイトのファイルやデータベースにアクセスする方法を見つける可能性があります。つまり、適切に設定されていないサーバーはデータ侵害に対してより脆弱であり、他のユーザーアカウントへの不正アクセスを許すことになります。
サーバー上の特定のWebサイトが、DDoS攻撃、SQLインジェクション、またはクロスサイトスクリプティングなどの攻撃を受けている場合があります。その結果としてリソースが混乱すると、攻撃者がサーバー上の他の脆弱性を悪用しやすくなり、複数のサイトのデータが侵害される可能性があります。
共有ホスティングのセキュリティカスタマイズ
共有ホスティング製品では、サーバーセキュリティを自分で管理する必要はありませんが、rootアクセスを提供するホスティングオプションほど柔軟に設定することはできません。
ホスティングプロバイダーは通常、最も重要なセキュリティ機能を制御する標準的なセキュリティ設定を提供しますが、これは一部のユーザーの特定のニーズを満たさない場合があります。セキュリティ設定をより柔軟に構成したい場合は、専用サーバーまたはVirtual Machine(VPS)ホスティングサービスを選ぶほうがよいでしょう。
共有ホスティングのセキュリティと他のホスティングタイプの比較
共有ホスティングとVPSおよび専用ホスティングの比較
共有ホスティングでも、ベストプラクティスに従うことでリスクを最小限に抑えることができます。しかし、より高いセキュリティ要件がある場合は、VPSまたは専用サーバーホスティングを選ぶべきかもしれません。これらのオプションでは、rootアクセスと、好みに合わせてセキュリティ設定を管理・構成する機能が提供される可能性が高いです。
専用ホスティングのセキュリティ上の利点
専用ホスティングが提供する追加のセキュリティ上の利点は、完全な分離です。共有ホスティングユーザーは同じサーバー上の他のユーザーによるリスクにさらされる可能性がありますが、専用ホスティングユーザーはサーバー全体を自分専用に使用でき、自身のセキュリティを完全に管理できます。これは仮想プライベートサーバーの所有者にも当てはまりますが、分離が仮想的であるため、VPSユーザーは専用ホスティングユーザーほど完全に独立しているわけではありません。
専用ホスティングおよびVPSホスティングの追加のセキュリティカスタマイズと制御には、追加の責任も伴うことを覚えておく必要があります。ユーザー自身にセキュリティ設定をカスタマイズおよび管理する技術スキルがない場合は、IT専門家を雇う必要があるかもしれません。
共有ホスティングを保護するための10の戦略
共有ホスティングユーザーには注意すべきセキュリティリスクがありますが、これらのリスクを最小限に抑えるために覚えておくべきベストプラクティスもあります。
1. 定期的にバックアップを作成する
Webサイトのファイルとデータベースを定期的にバックアップすることで、データ侵害やインストール済みソフトウェアの問題が発生した場合のデータ損失を防げます。また、以前の感染していないWebサイトの状態を復元することで、通常運用への復帰をより迅速に行えます。
通常は、autobackup serviceを利用するのがよい考えです。手動でバックアップを行うと、見落とされたり、十分な頻度で実施されなかったりしやすいためです。
2. 信頼できない提供元を避ける
プラグインやソフトウェアを使用する際は常に特に注意を払い、信頼できない提供元を避けてセキュリティリスクを最小限に抑えましょう。
3. 安全なパスワードと2FA/MFAを使用する
ホスティングアカウント、CMS管理パネル、FTP/SFTPアカウントには、強力で一意のパスワードのみを使用することが重要です。追加のセキュリティ層として、可能な限り二要素認証(2FA)または多要素認証(MFA)を有効にしてください。
4. 権限、ユーザーロール、アクセスを管理する
誰かが不正アクセスするのを防ぐために、適切なユーザーロールと権限を設定し、認証情報をパートナーと安全に保管・共有するようにしてください。
ホスティングアカウントとWebサイトにアクセスできる人数を制限するのは良い実践です。アクセスログとアカウントアクティビティを定期的に監視し、異常または不正な動作がないか確認しましょう。
不正アクセスを防ぐために、正しいファイルおよびフォルダー権限を設定することを忘れないでください。これには、ファイルは644、ディレクトリは755が含まれます。すべてのユーザーに完全な読み取り/書き込み/実行権限を許可する777は、本当に必要だと確信できる場合を除き避けてください。
5. Webアプリケーションファイアウォール(WAF)を使用する
WAFは、受信するWebサイトトラフィックを分析し、悪意のあるリクエストがWebアプリケーションに到達する前に特定して除外します。これにより、SQLインジェクション、クロスサイトスクリプティング(XSS)、リモートファイルインクルードなど、さまざまな種類の攻撃を防ぐのに役立ちます。
WAFは、既知の悪意あるIPアドレスやスパム、DDoS攻撃の発信元をブロックし、それらのリクエストがWebサイトのパフォーマンスに影響するのを防ぐことができます。
WAFを使用して、サイトへの悪意あるトラフィックをフィルタリングおよびブロックしましょう。一部のホスティングプロバイダーはサービスの一部としてWAFを提供しており、またはCloudflareやSucuriのようなサードパーティソリューションを利用することもできます。
6. WebサイトのセキュリティにSSL証明書を使用する
Webサイトのセキュリティとユーザーデータ保護のために、SSL証明書は不可欠な対策です。HTTPSプロトコルは、Webサイトと訪問者の間の通信を保護します。Let’s Encryptのように、多くのホスティングプロバイダーはすべてのWebサイトに無料のSSL証明書を提供しています。
7. パッチ、CMS、プラグインを定期的に更新する
セキュリティ上の脆弱性を最小限に抑えるために、コンテンツ管理システム(CMS)プラットフォーム、プラグイン、テーマは常に定期的に更新してください。
Apache、PHP、MySQLなどのすべてのサーバーソフトウェアを、ホスティングプロバイダーが完全に最新の状態に保っていることを確認してください。
8. 不審なアクティビティをスキャンして監視する
セキュリティ脅威を確認するために、不審なアクティビティの兆候を定期的に監視しましょう。cPanel Virus ScannerはSpaceship Shared Hostingプランに含まれています。また、ImunifyAVのような無料の監視サービスや、Sucuriのような無料のオンラインスキャナーもあります。
マルウェアスキャンツールはWebサイトからマルウェアを検出して削除し、多くのホスティングプロバイダーは組み込みのマルウェアスキャンを提供しています。また、WordPressのような一般的なCMSプラットフォーム向けのセキュリティプラグインも簡単にインストールできます。
9. Secure file transfer protocol(SFTP)を使用する
ファイル転送プロトコル(FTP)にはSFTPを導入し、Webサイトファイルの転送をより安全にしましょう。FTPはデータ(パスワードを含む)を平文で送信しますが、SFTPはデータ転送を暗号化します。もう1つの安全なFTP代替手段はfile transfer protocol secure(FTPS)です。
10. 強力なアカウント分離
各ユーザーの環境を分離し、ユーザーアカウントが他者に影響を与えるのを防ぐために、CloudLinuxのCageFSのような強力なユーザーアカウント分離を備えたホスティングプロバイダーを選ぶのが最善です。
追加のセキュリティに関する考慮事項
ホスティングプロバイダーが適切なセキュリティポリシーと標準に従い、CloudLinuxやcageFSのような技術を備えていることを常に確認してください。セキュリティの基本原則はユーザーから始まることを忘れず、自動バックアップ、SSL暗号化、サーバーソフトウェアの自動パッチ適用と更新など、強力なセキュリティ対策を必ず実装しましょう。
購入を検討できるセキュリティ製品には、次のものがあります。
マルウェア検出のための自動スキャンおよびクリーニングツール
Secure shell (SSH) による暗号化されたターミナルアクセス
大規模攻撃に対する攻撃防御
WAF
DDoS保護
CDN(DDoS攻撃の影響を軽減するため)
安全とセキュリティを維持
個人でもあらゆる規模の企業でも、サイバーセキュリティは常に高い優先事項であるべきです。共有ホスティングの顧客として注意すべきセキュリティ上の問題はいくつかありますが、適切な判断を行い、ベストプラクティスに従うことで、リスクを管理可能な範囲に抑えることができます。
おすすめの記事
あなたの考えを共有してください