サーバーのセキュリティに関する問題
はじめに、サーバーのセキュリティが十分でない場合に起こり得る問題について解説します。
1.機密情報や個人情報の流出
サーバーに脆弱性がある場合、サイバー攻撃を受け、機密情報や個人情報が悪意のある第三者の手に渡る可能性があります。特に、顧客のクレジットカード情報が流出すると、金銭的な補償が必要になるなど企業にとっての影響は重大です。企業が社会的信用を失う事態にもなるでしょう。顧客の個人情報を保存するサーバーはセキュリティ対策が重要です。
2.不正アクセスによる改ざん
サーバーのセキュリティが十分でなければ、不正アクセスによってWebサイトを改ざんされるおそれがあります。改ざんの内容は画像や文章を書き換えるといういたずらのようなものから、マルウェアを仕掛けられるなどさまざまです。
Webサイトにマルウェアを仕掛けられると、サイトに訪問した人のパソコンまでウイルスに感染するなど、外部にまで被害が拡大するケースもあります。
3.マルウェア拡散
サイバー攻撃の中には、サーバーそのものを使えなくする目的で行われるものもあります。サーバーに対して負荷をかけられたり、サーバー管理室に侵入されて物理的に攻撃されたりするケースがおもな例です。このような攻撃を受けるとサーバーがダウン状態となり、復旧のために時間とコストがかかってしまいます。
- 高速で安定したネットワークを、抜群のコストパフォーマンスで
おもなサイバー攻撃の種類
サイバー攻撃の手法には、さまざまな種類があります。ここでは、おもなサイバー攻撃の種類について解説します。
1.DDoS攻撃
DDoS攻撃はサーバーやネットワークに対して負荷をかけ、使用不可にする攻撃です。インターネットに接続されているパソコンやルーター、サーバーにマルウェアを仕込み、攻撃対象のサービスやサーバーに一斉にトラフィックを送り付けて攻撃対象に負荷をかけます。外部に公開しているサイトが攻撃対象になりやすく、あらゆる企業で対策を取らなければならない攻撃のひとつでしょう。
2.ブルートフォースアタック
ブルートフォースアタックは、不正アクセスを試みる攻撃手法です。正しいIDやパスワードに当たるまで、ありとあらゆる組み合わせを入力し続けます。その手法から「総当たり攻撃」とも呼ばれています。ツールを利用し、短時間で大量のパスワードを入力するというサイバー攻撃です。
3.LDAPインジェクション攻撃
LDAPインジェクション攻撃とはアクセス許可などの情報を書き換えるサイバー攻撃です。LDAPとはLightweight Directory Access Protocolの略で、サーバーからアプリケーション、各種デバイスを一元管理するディレクトリサービスに使われる通信規格です。ユーザーがLDAPにアクセスし、作業をしているときに攻撃をされます。
- 高速で安定したネットワークを、抜群のコストパフォーマンスで
サーバーを物理的に守るためには
サーバーを自社のオフィスなどに設置している場合、物理的な攻撃を受けてしまう可能性もあります。そのため、サーバー自体を破壊されないように対策をしなければなりません。ここでは、サーバーを物理的に守るための方法について解説します。
1.サーバー管理室は鍵をかけ厳重に管理
サーバーを物理的に攻撃されないためには、サーバーを設置している管理室に侵入できないようにしておかなければなりません。サーバー管理室は施錠を行い、鍵を持つ人や入出できる人を制限する必要があります。誰でも鍵を使える状態では意味がないため、鍵の管理もしっかり行いましょう。
管理業者など、外部の人がサーバー管理室に立ち入る場合は、必ず自社の担当者が同時に入出するなどの対策もしなくてはなりません。このように、サーバー管理室への立ち入りを物理的に制限すると、リスクの軽減につながります。
2.監視カメラの設置
サーバー管理室の施錠や入出制限を行うのと同時に、監視カメラの設置も有効です。出入口に監視カメラを設置すると、不正な入出の抑止につながります。また、万が一サーバー管理室に侵入されたとしても、サーバー管理室内部に監視カメラを設置しておけば、誰がいつ侵入したのかを把握できます。
3.データセンターに設置する
自社で厳重なサーバー管理が難しいという場合はデータセンターを活用しましょう。データセンターとはサーバーを設置して適切に管理してくれる場所のことです。電源や空調、ネットワークなど、サーバー管理に必要な環境が整っています。
詳細な住所を公開せず、外部からの物理的な攻撃に対処しているのもデータセンターの特徴です。サーバールームへの入退室管理など、物理的にサーバーを守るためのさまざまなサービスが提供されています。
- 高速で安定したネットワークを、抜群のコストパフォーマンスで
サーバーに関するセキュリティ対策
サーバーに対するサイバー攻撃に対処するためには、いくつかの方法があります。ここでは、サーバーに関するセキュリティ対策について解説します。
1.セキュリティパッチ
セキュリティパッチとは、公開されたサーバーやソフトウェアにセキュリティ上の脆弱性がみつかったときに、それを解決するために提供されるプログラムのことです。セキュリティパッチをインストールするとセキュリティホールを修正できるため、なるべく早く入手し、テスト運用を行いましょう。
2.複数の方法で防御する
サイバー攻撃の手法は日々進化していると言われています。そのような状況の中、安全性を高めるためには複数のセキュリティ対策を組み合わせて防御していかなければなりません。基本的な対策であるファイアウォールだけでなく、不正アクセスを検知するためのIDS、不正侵入を防ぐためのIPS、アプリケーションレベルを防御するWAFなども導入しましょう。
これにより、OS、ネットワーク、アプリケーションなど、複数の階層を防御でき、より高いセキュリティ性を実現できます。
3.使用していないアカウントやアプリケーションを削除する
使用していないアカウントやアプリケーションを放置しておくと、そこからサイバー攻撃をしかけられる可能性があるため注意しましょう。普段使われないサービスやアプリケーションはセキュリティ対策が不十分になりやすいにも関わらず、放置されているケースがあります。
アカウントも同様に、使用していないアカウントを使って不正アクセスされるケースなどが考えられます。普段活用していないものは異変に気が付きにくく、問題の発見が遅れる可能性もあります。自社の状況を把握し、使用していないものや不要なものは随時整理が必要です。
4.ログの収集や分析を行う
サーバーに対してどのような操作が行われたのか、ログをみれば確認できます。定期的にログを収集して分析し、不審なログが残っていないか確認しましょう。サイバー攻撃は早期に発見できれば被害を最小限に抑えられる可能性が高いです。
人の目によるログ確認は手間や時間がかかるうえに、異常を見落とす可能性もありますログを自動で収集して分析できるツールなどを活用するといいでしょう。
5.パスワードを簡単なものにしない
セキュリティ対策の基本として、パスワードは複雑なものに設定してください。複数人で使用するパスワードは、覚えやすいように簡単なものにしがちです。しかし、簡単なパスワードはブルートフォースアタックをされれば短時間で突破されます。
大文字小文字、数字などを組み合わせて、他人が推測しにくい文字列にしましょう。使う度に新しいパスワードが発行されるワンタイムパスワードの導入もおすすめです。
6.多要素認証を設定する
サーバーやアプリケーションへのログインする際にはID・パスワードの認証だけではなく、特定の端末からしかアクセスできないよううする証明書認証や、あらかじめ設定しておいたメールアドレスやスマートフォンなどに一時的なパスワードを送付するOTP(One Time Password)認証を設定することをお勧めします。
万が一ID・パスワードが漏えいしたとしても、多要素認証によって不正アクセスを防ぐことが可能になります。
- 高速で安定したネットワークを、抜群のコストパフォーマンスで
- NUROアクセス 2G
-
クラウド時代を支えるインフラのスタンダート回線
- NUROアクセス 10G
-
高コスパの帯域確保型上下最大10Gbpsサービス
- マネージドサービス typeV
-
ネットワークセキュリティ対策を 一括アウトソーシング
- マネージドL2VPN
-
高セキュアな拠点間インターネットVPN (レイヤー2VPN)接続を安価に実現
- マネージドL3VPN
-
高セキュアな拠点間インターネットVPN (レイヤー3VPN)接続を安価に実現
- マネージドサービス typeY
-
Yamahaルーターをレンタルでご提供 ギガ対応VPNルーターの多拠点接続を低価格に
- Hypersonix
-
クラウド型管理システムで無線LAN環境を簡単導入
- ワイヤレスLAN typeN
-
簡単すぐ使える運用もお任せの マネージド無線LANサービス
まとめ
自社の機密情報や個人情報を守ったり、システムを安定稼働させたりするためには、サーバーのセキュリティ対策が必要です。サイバー攻撃はさまざまな手法で行われるため、対策方法を把握し、複数の対応を取っておきましょう。サーバーを物理的に守るための対策も重要です。
ソニービズネットワークスが提供するNUROセキュリティでは、あらゆる脅威からお客様のネットワークや情報資産を守るセキュリティサービスも提供しています。
NURO Bizが提供するセキュリティサービスの資料は下記フォームよりダウンロードいただけます。
お役立ち資料をダウンロード
「NURO Bizセキュリティカタログ」のダウンロードをご希望のお客様は、
以下必要事項をご入力ください。