レンタルサーバーのセキュリティ
2022-09-07
レンタルサーバーを借りて、サイトをセットアップしたら(あるいはその前に)まずチェックしておきたい項目。
- SSL 通信(証明書設定)
- アクセスログファイル
まず前提として、①当該サイトに何らかのアクセス制御の仕組みがあり、②それによって保護されている機密情報の類が現に存在するか、もしくは今後存在し得る、という場合に要検討。そうでない場合まで必ずしも厳密に考える必要はないと思う。
SSL (TLS)
これは保護すべき情報が無かったとしても、導入が推奨される。しかし実施していないサイトも多い。最近はボタン一つで設定が可能な場合も多いので(主要レンタルサーバー)導入は簡単。
一方上述の前提条件に当てはまるような場合(保護すべきサイト)では必須。
アクセスログファイル
レンタルサーバー各社で通常提供される機能ではある。ただ細かな設定方法やファイルの取得方法はいろいろ異なる。まず実施すべきは、ログファイルの保存期間のチェック。大抵、初期設定ではせいぜい1ヶ月間の保存期間などとなっている場合が多い。それでは短いので、できれば年単位に変更。
ログファイルの保存容量もサーバープランのストレージ全体容量に含まれるので、(ログファイルが容量を食いつぶさないように)初期値が短期間となっているのは致し方ないと思う。そこはあくまでユーザーの選択で期間を決めるべきところだ。
以上が最低限必要。WAF というのも最近当たり前に提供されるようになったが、過大な期待はできない。例えばサイトへの不正なログイン試行というような単純な攻撃さえ WAF のみでは止めることはできないと思われる。