
AWS入門 初心者が覚えておくべきAWSの基本
「サーバーセキュリティの対策って必要なの?」
と疑問に感じていませんか?
結論、サーバーのセキュリティ対策は企業活動を続けていく上で必要不可欠です。
その理由は、サーバーは企業の機密情報や事業活動に必要不可欠なデータを保存している企業が多く、それらの情報を狙ったサイバー攻撃を受けやすくなっているからです。
もしサイバー攻撃を受けると、機密情報が漏えいしたり、事業を続ける上で必要なシステムが消えてしまうなどのリスクが高まります。さらにはこのような状況に陥った企業に対して顧客や取引先企業からの信用を失ってしまう可能性があるのです。
そのため、サーバーセキュリティの対策は必須となっています。
ただし、セキュリティの必要性を理解するだけではサイバー攻撃は防げません。
サーバーのセキュリティ対策を正しく理解して実行してこそ、サイバー攻撃を防ぎ、企業を安全に事業活動できるよう導けるのです。
そこでこの記事では以下の内容を解説していきます。
この記事を読むことで、サーバーセキュリティ対策の必要性を理解できるだけでなく、サーバーセキュリティの対策方法まで知って、実際に対策を実行できます。
ぜひ最後までお読みください。
サーバーセキュリティ対策は企業活動を続ける上で必須です。
サーバーは以下のように、機密情報や事業活動に必要不可欠なデータを保存している企業が多く、サイバー攻撃(※)を受けやすくなっています。
もしサーバーに情報セキュリティ対策を施していない場合、サイバー攻撃によって上記のような重要な情報やデータを漏えい、消失するリスクやシステムを停止させてしまうリスクがあるのです。
そして、こうしたトラブルに対応する時間や労力、顧客や関係者の情報を漏えい・消失させてしまった場合に損害賠償の支払いが必要になるなど、サーバーセキュリティを怠り、サイバー攻撃を許してしまった際の損失は計り知れません。
さらには、このような状況になった企業に対して、顧客や取引先は社会的信用をなくすことにもつながりかねないのです。
たとえば、仕入れ販売を行うECサイトを運営しているA社の場合、サーバーに対する攻撃で顧客の住所・クレジットカード情報や、取引先との機密情報を盗まれてしまうと、顧客や取引先に被害が発生する可能性が高くなるだけでなく、「A社は情報セキュリティ対策がずさんで、信頼できない」と企業イメージが下がり、顧客離れや取引停止になってしまうおそれがあります。
したがってサーバーセキュリティの対策は必ず行うようにし、企業活動を安心して続けられるようにしましょう。
※サイバー攻撃:インターネットを通じてサーバーやパソコンなどのコンピューターシステムに破壊活動や不正アクセス、データの改ざんや窃取などを行うこと
サーバーを所有している場合、大きく分けて2つのサイバー攻撃リスクがあります。
2章では、上記のリスクが具体的にどのようなものなのかを解説していきます。
標的型攻撃とは、明確な目的を持ち、特定の組織を狙って仕掛けるサイバー攻撃のことです。
その目的は、
です。
標的型攻撃は、以下のような被害を企業や団体にもたらし、企業活動を危機に陥れます。
▼標的型攻撃が企業や団体にもたらす被害
実際に2013年にE社では、およそ11万人分のクレジットカード情報が標的型攻撃によって漏えいしてしまうという事態が発生しています。
また2015年には、N社が標的型攻撃によって、少なくとも125万件の情報が漏えいし、個人の「氏名」「性別」「住所」が流出してしまうという事態も発生しています。
サーバーセキュリティ対策を怠ると、このような標的型攻撃から自社のサーバーを守れず、さまざまな被害が発生し、企業活動を脅かすのです。
無差別型攻撃とは、メール・Webサイトを経由し不特定多数へ向けて攻撃をおこなうサイバー攻撃のことです。特定のターゲットに対し攻撃を行う「標的型攻撃」と対照的に、無差別型攻撃はその名の通り、攻撃対象を選びません。
無差別型攻撃の目的は攻撃者によってさまざまですが、以下のようなものがあります。
「コンピュータウイルス」「トロイの木馬」「ワーム」「ランサムウェア」などのマルウェア(※)を使用して、不特定多数に攻撃を行います。
無差別型攻撃によって発生する恐れのある被害は以下のとおりです。
▼無差別型攻撃が企業や団体にもたらす被害
最近では、無差別攻撃に対する情報セキュリティ対策が発達し、減少傾向にありますが、あくまで対策を行えば防げるというものであるため、サーバーの情報セキュリティ対策は必ず行うべきだといえるでしょう。
※マルウェア:情報漏えいやシステムを停止させるなど、悪意のあるソフトウェアのこと。
サーバーは情報セキュリティ対策を行わないと、あらゆるサイバー攻撃のリスクにさらされてしまうことがわかりましたが、サーバーセキュリティ対策にはどのような方法があるのでしょうか。
そこで3章では、具体的な情報セキュリティ対策として以下6つの方法をご紹介します。
それぞれ詳しく見ていきましょう。
1つめの対策は、「セキュリティパッチを適用する」ことです。
セキュリティパッチとは、ソフトウェア・OSに発見された脆弱性・セキュリティホール(※)を修正するプログラムです。定期的に更新されるソフトウェア・OSのセキュリティパッチを適用することで、最新のサイバー攻撃への対策ができ、サーバーのセキュリティを高められます。
セキュリティパッチは、OS・ソフトウェアのアップデートを行うことで自動的に適用できます。
PC内のOS・ソフトウェアのバージョンをチェックし、古い場合はアップデートして、セキュリティパッチを更新しましょう。
※「セキュリティホール」:コンピューターのOSやソフトウェアでプログラムの不具合や設計ミスが原因となって発生する、セキュリティ上の欠陥のこと。
2つめの対策は「憶測のしにくいパスワードにする」ことです。
サーバーのパスワードを憶測のしやすいものに設定してしまうと、総当たり攻撃(※1)や辞書攻撃(※2)などによってパスワードが当てられてしまい、サーバーに不正アクセスされる可能性があります。
さらに、サーバー内部の情報の漏えい・Webサイトの改ざん等に繋がってしまうのです。
そこでパスワードを憶測しにくいものにすることで、こうしたリスクを回避できます。
憶測のしやすいパスワードは、
といった特徴を持っています。
そのため、以下の方法でパスワードを作るようにしましょう。
▼憶測のしにくいパスワードを作る方法
※1「総当り攻撃」:理論的にあり得るパターンのすべてを入力して解読する方法。たとえば、4桁の数字のパスワードであれば、0000から9999までをすべて入力してパスワードを当ててしまう。
※2「辞書攻撃」:パスワードに使用されやすい単語や人名、生年月日などを組み合わせて、繰り返しログインを試みるというもの。
3つめの対策は「ログ管理を行う」ことです。
ログ管理とは、サーバーシステムが残した、「誰が」「いつ」「どのアカウントで」「何をしたのか」といったデータ履歴を収集し、管理することです。
ログ管理を行うことによって、サーバー内で行われた過去の操作をたどることができ、外部・内部からの攻撃の発見に繋がります。発見後なんらかの対策を講じることで、不正な操作・サイバー攻撃による被害を最小限に留めることができます。
ログ管理方法として、定期的にサーバーのログ管理画面からログをチェックすることで、サーバーで不正な操作や不審なエラーの増加がないかを監視します。
対象とするべきログの具体例は以下のとおりです。
4つめの対策は「不要なサービスを停止、アプリケーションを削除する」ことです。
不要なサービスや、使用していないアプリケーションを放置してしまうと、放置している間に更新を忘れてしまい、セキュリティホールが改善されずに脆弱性が高まってしまいます。
事業者が提供しているサービスやアプリケーションは、バージョンを更新する度にセキュリティ面の課題を解決し、最新のサイバー攻撃に対する対策を導入しています。
そのため、更新忘れをするということは、セキュリティーホールを放置することにつながり、サイバー攻撃を受ける危険性を高めてしまうのです。
不要なサービス・使用していないアプリケーションを停止・削除することで、こうした攻撃を受ける可能性を無くし、サイバー攻撃によって受けるリスクを回避することができます。
5つめの対策は「管理者権限のアカウントを変更する」ことです。
サーバー内には管理者権限というものがあり、そのアカウントIDを変更することで、情報セキュリティ対策を施すことができます。
管理者権限のアカウントはサーバーに対して全ての操作を行う権限が与えられているため、このアカウントを不正利用されてしまうと、甚大な被害が発生するリスクがあります。そのため管理者権限のアカウントを変更することで、アカウントの不正利用から起こる、サイトへの不正アクセス・情報の漏えい・サイトの改ざんといったさまざまなリスクを防ぐことができます。
管理者権限のアカウントはデフォルトではIDが統一されており、そのままでは解読される危険性が高いため、サーバーの設定画面から変更を行いましょう。管理者権限のアカウントID変更方法は、OSによって異なるため、使用しているOSごとに変更方法を調べていくことが大切です。
一例としてWindows10での管理者権限アカウントID変更方法を確認していきましょう。
Windows10ではデフォルトで「Administrator」という名前がデフォルトで使用されており、このアカウントを変更します。
6つめの対策は「不要アカウントの削除」です。
現在使用していない、または使用頻度の少ない不要なアカウントを削除していきます。
たとえば退職済みの社員のアカウントは不要アカウントですが、退職後に職場のサーバーにアクセスをして機密情報を抜かれてしまったり、内部社員が退職済み社員のアカウントを不正利用して、顧客の個人情報を抜き取るなど、不要アカウントを放置しておくリスクは大きいため、削除が必要なのです。
不要アカウントを洗い出し、全て削除するようにしましょう。
サーバーの情報セキュリティ対策についてお伝えしましたが、実は信頼できるクラウドサービスへサーバーを移行することによって、セキュリティを高くすることが可能です。
その理由は、
からです。
サーバーをクラウドへ移行する際には、メリット・デメリットがあるため、以下を参考にしながら、クラウドへ移行するかどうかを検討すると良いでしょう。
クラウドサーバーへの移行 |
||
メリット |
|
|
---|---|---|
デメリット |
|
|
クラウド移行が |
|
NTT東日本では、「クラウド導入コンサルティング」というサービスをご提供しており、熟練した知識や能力が必要となるクラウドサービスの導入について、LAN環境構築から接続ネットワーク、クラウドを活用したサービスの企画、開発、運用など、ワンストップでご提案が可能です。
導入の過程では、よりセキュリティの高いサーバー環境を整えていただくためにはどのようなネットワーク、セキュリティシステムや機能が必要なのか、お客様の環境に合わせて提案させていただきます。
また2,000以上のサービス(機能)を持つクラウドの「AWS」や「Microsoft Azure」をお取り扱いしており、多くの利用シナリオの実現や利便性の向上、セキュリティの強化が可能になっています。
クラウドを活用した数多くのサービスの企画、構築、運用を通して培われたノウハウや実績をもとに、さまざまなご相談を承ります。
※Amazon Web Services(AWS)は、米国その他の諸国における、Amazon.com, Inc.またはその関連会社の商標です。 ※Microsoft Azure(Azure)は、マイクロソフト グループの企業の商標です。
ぜひ一度、弊社のクラウド導入運用コンサルティングをご検討ください。
この記事ではサーバーの情報セキュリティ対策の必要性や、実際の対策方法について解説しました。
ここで改めてこの記事の内容をおさらいしましょう。
◆サーバーセキュリティの対策は必須
◆サーバーセキュリティを脅かす2つのサイバー攻撃リスク
【標的型攻撃】
【無差別型攻撃】
◆サーバーセキュリティ対策6つの方法
◆サーバーをクラウドへ移行することでセキュリティを高くしよう
オンプレミスとクラウドを比較 e-Bookをダウンロードして理解を深めましょう!