サーバーセキュリティ対策の必要性|6つの対策方法を解説

「サーバーセキュリティの対策って必要なの?」
と疑問に感じていませんか?

結論、サーバーのセキュリティ対策は企業活動を続けていく上で必要不可欠です。
その理由は、サーバーは企業の機密情報や事業活動に必要不可欠なデータを保存している企業が多く、それらの情報を狙ったサイバー攻撃を受けやすくなっているからです。

もしサイバー攻撃を受けると、機密情報が漏えいしたり、事業を続ける上で必要なシステムが消えてしまうなどのリスクが高まります。さらにはこのような状況に陥った企業に対して顧客や取引先企業からの信用を失ってしまう可能性があるのです。

そのため、サーバーセキュリティの対策は必須となっています。

ただし、セキュリティの必要性を理解するだけではサイバー攻撃は防げません。
サーバーのセキュリティ対策を正しく理解して実行してこそ、サイバー攻撃を防ぎ、企業を安全に事業活動できるよう導けるのです。

そこでこの記事では以下の内容を解説していきます。

この記事を読むことで、サーバーセキュリティ対策の必要性を理解できるだけでなく、サーバーセキュリティの対策方法まで知って、実際に対策を実行できます。

ぜひ最後までお読みください。

1.サーバーセキュリティの対策は必須

サーバーセキュリティ対策は企業活動を続ける上で必須です。

サーバーは以下のように、機密情報や事業活動に必要不可欠なデータを保存している企業が多く、サイバー攻撃(※)を受けやすくなっています。

  • 社内資料のファイル共有
  • 「会計」「在庫管理」などの業務システム
  • メールの送受信データ
  • 生産管理情報
  • 営業支援ツール
  • ECサイト
  • 顧客情報
  • 社内用コミュニケーションツール

もしサーバーに情報セキュリティ対策を施していない場合、サイバー攻撃によって上記のような重要な情報やデータを漏えい、消失するリスクやシステムを停止させてしまうリスクがあるのです。

そして、こうしたトラブルに対応する時間や労力、顧客や関係者の情報を漏えい・消失させてしまった場合に損害賠償の支払いが必要になるなど、サーバーセキュリティを怠り、サイバー攻撃を許してしまった際の損失は計り知れません。

さらには、このような状況になった企業に対して、顧客や取引先は社会的信用をなくすことにもつながりかねないのです。

たとえば、仕入れ販売を行うECサイトを運営しているA社の場合、サーバーに対する攻撃で顧客の住所・クレジットカード情報や、取引先との機密情報を盗まれてしまうと、顧客や取引先に被害が発生する可能性が高くなるだけでなく、「A社は情報セキュリティ対策がずさんで、信頼できない」と企業イメージが下がり、顧客離れや取引停止になってしまうおそれがあります。

したがってサーバーセキュリティの対策は必ず行うようにし、企業活動を安心して続けられるようにしましょう。

※サイバー攻撃:インターネットを通じてサーバーやパソコンなどのコンピューターシステムに破壊活動や不正アクセス、データの改ざんや窃取などを行うこと

2.サーバーセキュリティを脅かす2つのサイバー攻撃リスク

サーバーを所有している場合、大きく分けて2つのサイバー攻撃リスクがあります。

  • 標的型攻撃
  • 無差別型攻撃

2章では、上記のリスクが具体的にどのようなものなのかを解説していきます。

2-1.標的型攻撃

標的型攻撃とは、明確な目的を持ち、特定の組織を狙って仕掛けるサイバー攻撃のことです。

その目的は、

  • 攻撃対象への嫌がらせ
  • 盗み出した情報で金銭的利益を得ること

です。

標的型攻撃は、以下のような被害を企業や団体にもたらし、企業活動を危機に陥れます。

▼標的型攻撃が企業や団体にもたらす被害

  • サイトやサーバーのダウン
  • サーバーに保存されている企業の機密情報の漏えい
  • サーバーに保存されている顧客の個人情報の漏えい
  • Webサイトの改ざん
  • ECサイトなどの顧客の個人アカウントの不正利用
  • 企業が持つサイトの不正アクセス
  • サーバーに保持されているデータベースの破壊

実際に2013年にE社では、およそ11万人分のクレジットカード情報が標的型攻撃によって漏えいしてしまうという事態が発生しています。
また2015年には、N社が標的型攻撃によって、少なくとも125万件の情報が漏えいし、個人の「氏名」「性別」「住所」が流出してしまうという事態も発生しています。

サーバーセキュリティ対策を怠ると、このような標的型攻撃から自社のサーバーを守れず、さまざまな被害が発生し、企業活動を脅かすのです。

2-2.無差別型攻撃

無差別型攻撃とは、メール・Webサイトを経由し不特定多数へ向けて攻撃をおこなうサイバー攻撃のことです。特定のターゲットに対し攻撃を行う「標的型攻撃」と対照的に、無差別型攻撃はその名の通り、攻撃対象を選びません。

無差別型攻撃の目的は攻撃者によってさまざまですが、以下のようなものがあります。

  • 盗み出した情報で金銭的利益を得ること
  • 対象を無差別に嫌がらせをする
  • 技術の見せつけ

「コンピュータウイルス」「トロイの木馬」「ワーム」「ランサムウェア」などのマルウェア(※)を使用して、不特定多数に攻撃を行います。

無差別型攻撃によって発生する恐れのある被害は以下のとおりです。

▼無差別型攻撃が企業や団体にもたらす被害

  • マルウェアに感染し、コンピューター内のファイルやシステムがアクセス制限によって使用不能になる
  • サーバーに保存されている企業の機密情報の漏えい
  • サーバーに保存されている顧客の個人情報の漏えい
  • ECサイトなどの顧客の個人アカウントの不正利用
  • 企業が持つサイトの不正アクセス

最近では、無差別攻撃に対する情報セキュリティ対策が発達し、減少傾向にありますが、あくまで対策を行えば防げるというものであるため、サーバーの情報セキュリティ対策は必ず行うべきだといえるでしょう。

※マルウェア:情報漏えいやシステムを停止させるなど、悪意のあるソフトウェアのこと。

3.サーバーセキュリティ対策6つの方法

サーバーは情報セキュリティ対策を行わないと、あらゆるサイバー攻撃のリスクにさらされてしまうことがわかりましたが、サーバーセキュリティ対策にはどのような方法があるのでしょうか。

そこで3章では、具体的な情報セキュリティ対策として以下6つの方法をご紹介します。

サーバーセキュリティ 6つの対策

それぞれ詳しく見ていきましょう。

3-1.セキュリティパッチを適用する

1つめの対策は、「セキュリティパッチを適用する」ことです。

セキュリティパッチとは、ソフトウェア・OSに発見された脆弱性・セキュリティホール(※)を修正するプログラムです。定期的に更新されるソフトウェア・OSのセキュリティパッチを適用することで、最新のサイバー攻撃への対策ができ、サーバーのセキュリティを高められます。

セキュリティパッチは、OS・ソフトウェアのアップデートを行うことで自動的に適用できます。
PC内のOS・ソフトウェアのバージョンをチェックし、古い場合はアップデートして、セキュリティパッチを更新しましょう。

※「セキュリティホール」:コンピューターのOSやソフトウェアでプログラムの不具合や設計ミスが原因となって発生する、セキュリティ上の欠陥のこと。

3-2.憶測のしにくいパスワードにする

2つめの対策は「憶測のしにくいパスワードにする」ことです。

サーバーのパスワードを憶測のしやすいものに設定してしまうと、総当たり攻撃(※1)や辞書攻撃(※2)などによってパスワードが当てられてしまい、サーバーに不正アクセスされる可能性があります。
さらに、サーバー内部の情報の漏えい・Webサイトの改ざん等に繋がってしまうのです。

そこでパスワードを憶測しにくいものにすることで、こうしたリスクを回避できます。

憶測のしやすいパスワードは、

  • 短い文字数
  • シンプルな文字列(123456、1111など)
  • 氏名や固有名詞、誕生日が含まれている

といった特徴を持っています。

そのため、以下の方法でパスワードを作るようにしましょう。

▼憶測のしにくいパスワードを作る方法

  • 桁数を増やす
  • 数字や英文字、記号など、異なる種類の文字を組み合わせる
  • 意味のある文言を使用しない
  • 個人名や固有名詞、誕生日などは使用しない
  • シンプルな文字列を避ける(123456、1111など)

※1「総当り攻撃」:理論的にあり得るパターンのすべてを入力して解読する方法。たとえば、4桁の数字のパスワードであれば、0000から9999までをすべて入力してパスワードを当ててしまう。
※2「辞書攻撃」:パスワードに使用されやすい単語や人名、生年月日などを組み合わせて、繰り返しログインを試みるというもの。

3-3.ログ管理を行う

3つめの対策は「ログ管理を行う」ことです。
ログ管理とは、サーバーシステムが残した、「誰が」「いつ」「どのアカウントで」「何をしたのか」といったデータ履歴を収集し、管理することです。

ログ管理を行うことによって、サーバー内で行われた過去の操作をたどることができ、外部・内部からの攻撃の発見に繋がります。発見後なんらかの対策を講じることで、不正な操作・サイバー攻撃による被害を最小限に留めることができます。

ログ管理方法として、定期的にサーバーのログ管理画面からログをチェックすることで、サーバーで不正な操作や不審なエラーの増加がないかを監視します。

対象とするべきログの具体例は以下のとおりです。

  • ファイアウォールの通信ログ
  • 侵入検知システム(IDS)や侵入防止システム(IPS)の通信ログ
  • DHCPサーバーのIPアドレス割り当てログ
  • データベースサーバーへのアクセスログ
  • ファイルサーバーへのアクセスログ
  • ファイル参照・編集・成功・失敗ログ
  • ログイン認証の成否、ログアウトログ
  • Webサーバーが利用者から受け取った入力内容のログ

3-4.不要なサービスを停止、アプリケーションを削除する

4つめの対策は「不要なサービスを停止、アプリケーションを削除する」ことです。

不要なサービスや、使用していないアプリケーションを放置してしまうと、放置している間に更新を忘れてしまい、セキュリティホールが改善されずに脆弱性が高まってしまいます。
事業者が提供しているサービスやアプリケーションは、バージョンを更新する度にセキュリティ面の課題を解決し、最新のサイバー攻撃に対する対策を導入しています。
そのため、更新忘れをするということは、セキュリティーホールを放置することにつながり、サイバー攻撃を受ける危険性を高めてしまうのです。

不要なサービス・使用していないアプリケーションを停止・削除することで、こうした攻撃を受ける可能性を無くし、サイバー攻撃によって受けるリスクを回避することができます。

3-5.管理者権限のアカウントを変更する

5つめの対策は「管理者権限のアカウントを変更する」ことです。
サーバー内には管理者権限というものがあり、そのアカウントIDを変更することで、情報セキュリティ対策を施すことができます。

管理者権限のアカウントはサーバーに対して全ての操作を行う権限が与えられているため、このアカウントを不正利用されてしまうと、甚大な被害が発生するリスクがあります。そのため管理者権限のアカウントを変更することで、アカウントの不正利用から起こる、サイトへの不正アクセス・情報の漏えい・サイトの改ざんといったさまざまなリスクを防ぐことができます。

管理者権限のアカウントはデフォルトではIDが統一されており、そのままでは解読される危険性が高いため、サーバーの設定画面から変更を行いましょう。管理者権限のアカウントID変更方法は、OSによって異なるため、使用しているOSごとに変更方法を調べていくことが大切です。

一例としてWindows10での管理者権限アカウントID変更方法を確認していきましょう。
Windows10ではデフォルトで「Administrator」という名前がデフォルトで使用されており、このアカウントを変更します。

  • 1. まずはキーボードのWindowsキー・Rキーを同時押しし、「ファイル名を指定して実行」ウィンドウを開きます。
  • 2. ウィンドウのテキストボックスに「gpedit.msc」と入力し、「OK」ボタンをクリック。
  • 3. これによって「ローカルグループポリシーエディターウィンドウ」が開くため、こちらから「コンピューターの構成」・「Windows の設定」・「セキュリティの設定」・「ローカル ポリシー」・「セキュリティ オプション」の順にフォルダを移動します。
  • 4. 「ローカルグループポリシーエディターウィンドウ」の画面右側のウィンドウに、「Administratorアカウント名の変更」という項目があるため、こちらをダブルクリックで選択していきましょう。
  • 5. 最後に「ローカルセキュリティの設定」タブより、新しく設定したい名前を入力し、「OK」もしくは「適用」ボタンをクリックします。

3-6.不要アカウントを削除する

6つめの対策は「不要アカウントの削除」です。
現在使用していない、または使用頻度の少ない不要なアカウントを削除していきます。

たとえば退職済みの社員のアカウントは不要アカウントですが、退職後に職場のサーバーにアクセスをして機密情報を抜かれてしまったり、内部社員が退職済み社員のアカウントを不正利用して、顧客の個人情報を抜き取るなど、不要アカウントを放置しておくリスクは大きいため、削除が必要なのです。

不要アカウントを洗い出し、全て削除するようにしましょう。

4.サーバーをクラウドへ移行することでセキュリティを高くしよう

サーバーの情報セキュリティ対策についてお伝えしましたが、実は信頼できるクラウドサービスへサーバーを移行することによって、セキュリティを高くすることが可能です。

その理由は、

  • クラウド導入支援事業者に相談をしながらサーバーセキュリティ対策を施すことができる
  • クラウドサービス事業者が提供しているセキュリティサービスが利用できるため、よりサイバー攻撃に強いサーバーを作り上げることができる

からです。

サーバーをクラウドへ移行する際には、メリット・デメリットがあるため、以下を参考にしながら、クラウドへ移行するかどうかを検討すると良いでしょう。

  • 横にスクロールします

クラウドサーバーへの移行

メリット

  • クラウド導入支援事業者に相談しながら、自社に最適なサーバーセキュリティ対策を導入できる
  • 自社で情報セキュリティ対策を行わなくても、クラウドサービス事業者が提供する、より高度なセキュリティサービスを利用できる

デメリット

  • クラウドサービス事業者によって、セキュリティレベルに差がある

クラウド移行が
向いている企業

  • クラウド導入支援事業者に相談しながら情報セキュリティ対策をしたい企業
  • 情報セキュリティ対策のしっかりしたクラウドサービス事業者を選択できる企業
  • 自社の情報セキュリティ対策に自信がなく、より高度なセキュリティサービスを利用したい場合
NTT東日本の「クラウド導入コンサルティング」を利用してセキュリティの高いサーバーを構築しよう

NTT東日本では、「クラウド導入コンサルティング」というサービスをご提供しており、熟練した知識や能力が必要となるクラウドサービスの導入について、LAN環境構築から接続ネットワーク、クラウドを活用したサービスの企画、開発、運用など、ワンストップでご提案が可能です。

導入の過程では、よりセキュリティの高いサーバー環境を整えていただくためにはどのようなネットワーク、セキュリティシステムや機能が必要なのか、お客様の環境に合わせて提案させていただきます。

また2,000以上のサービス(機能)を持つクラウドの「AWS」や「Microsoft Azure」をお取り扱いしており、多くの利用シナリオの実現や利便性の向上、セキュリティの強化が可能になっています。
クラウドを活用した数多くのサービスの企画、構築、運用を通して培われたノウハウや実績をもとに、さまざまなご相談を承ります。

※Amazon Web Services(AWS)は、米国その他の諸国における、Amazon.com, Inc.またはその関連会社の商標です。
※Microsoft Azure(Azure)は、マイクロソフト グループの企業の商標です。

ぜひ一度、弊社のクラウド導入運用コンサルティングをご検討ください。

NTT東日本のクラウド運用コンサルティングについて詳しく知りたい方はこちら

まとめ

この記事ではサーバーの情報セキュリティ対策の必要性や、実際の対策方法について解説しました。

ここで改めてこの記事の内容をおさらいしましょう。

◆サーバーセキュリティの対策は必須

◆サーバーセキュリティを脅かす2つのサイバー攻撃リスク

【標的型攻撃】

  • DoS攻撃・DDos攻撃
  • SQLインジェクション攻撃
  • ブルートフォースアタック
  • OSコマンド・インジェクション攻撃
  • バッファオーバーフロー攻撃
  • クロスサイトスクリプティング攻撃

【無差別型攻撃】

  • ランサムウェア

◆サーバーセキュリティ対策6つの方法

  • セキュリティパッチを適用する
  • 憶測のしにくいパスワードにする
  • ログ管理を行う
  • 不要なサービスを停止、アプリケーションを削除する
  • 管理者権限のアカウントを変更する
  • 不要アカウントを削除する

◆サーバーをクラウドへ移行することでセキュリティを高くしよう

オンプレミスとクラウドを比較 e-Bookをダウンロードして理解を深めましょう!

クラウドの導入・運用に関する
ご相談、お問い合わせをお待ちしております。

ページ上部へ戻る