VPSを安心して継続的に利用するには、セキュリティについて理解し効率的な対策が必要です。残念ながら、利用開始時の設定だけでは不十分です。利用者にちょうど良いプランの選択から始まり、使い始めてからも稼働状況の点検が大切です。可能な限りリスクを減らしつつ、対策する時間を抑え本業に集中できる効果的な方法をまとめました。
目次
概要
VPSのセキュリティ対策は、初めて動かすときに「ちょっと設定すればそれで終わり」という訳ではありません。何もしなくても動作する場合がありますが、リスクを抱え込むことになります。そのためできる限り簡素化したルールのもと、効率良く管理や利用をするのが望ましいと考えます。以下3つの段階に分けて必要な考え方と対策を整理しています。
- サーバー会社とプランの選定時
- プラン申込み後の初期設定時
- 利用中
情報システムのリスク全般について、カゴヤのサーバー研究室では以下の記事でわかりやすく解説しています。VPSのセキュリティにも多くの考え方が当てはまります。
情報システムのリスクマネジメントとは?対策事例をご紹介します
なぜ情報システムの「リスク」を、「マネジメント」しなければならないのでしょうか。この「リスク」の範囲は広く、誰も免れることはできません。だからこそバランス良く効率的で負担の少ない方法を、着実に実施し続ける「マネジメント」が必要です。綿密な調査だけでなく、解決する目標を自ら決めて実行することが何よりも大切です。想定する「リスク」によりどのような解消事例があるのか、あわせてご紹介します。 情報システム…
(注)VPSのOSにはLinuxとWindowsの2種類あります。本記事ではLinuxの場合で説明をしています。
【VPSのセキュリティを向上する方法】(1) サーバー会社とプランの選定時
日本国内だけでもVPSを提供している業者は多く、最適なプランを探し当てるのは大変です。広告などでよく目にする会社名や料金、基本性能に関心が向くのは仕方がないことです。そこで面倒ですが、ふだんから複数のサービスを試用し比較検討することが重要になります。それぞれの業者で、少しずつサービス内容が改善されている場合が多いからです。
業者のセキュリティ対策は十分かどうかを確認するポイントは、以下の3つあると考えます。
比較や選択のポイント(a) 自社でデータセンターを保有しサーバーの管理を行っているか
VPSのサービスを提供している業者の中には、自社でデータセンターを保有せず他社のサーバーを利用しているところがあります。独自のサービスを付加するなど、利用者にとってのメリットは少なくありません。それでもサーバーを実際に管理している方が、そうでない場合に比べて各種のセキュリティを維持し、障害に強いと考えるのが自然です。やはり問題解決の膨大なノウハウを蓄積し、また直に問題に対応するため、利用者との連絡がより正確で早くなるためです。
比較や選択のポイント(b) サポート体制
自由に途切れずに、かつ安全にVPSが利用できるよう、業者としてどのようなサービスを提供しているか調べる必要があります。例えば以下のようなサポート体制です。
- 関連するヘルプページの充実度やわかりやすさ
- サポート窓口で対応可能な曜日や時間帯(土日祭や夜間の状況)
- サポート窓口の対応方法(メール、電話、テキストチャット、ビデオ通話など複数あるか)
比較や選択のポイント(c) VPSの管理画面
VPSの利用開始時や機能の変更時など、業者の管理画面上で設定を行います。普段は使わないからこそ、その管理画面は簡素であるべきです。これで利用者が設定を間違う可能性を減らすことができます。セキュリティを維持するために、業者であらかじめ基本的な設定が済ませていることが前提です。
実は、利用者にとって管理画面での操作時間はごくわずかです。大半の時間はWindows端末などから専用のアプリを使用して、VPSを遠隔操作します。その際に使われている技術は、SSHと呼ばれています。詳しくは、カゴヤのサーバー研究室では以下の記事で詳しく解説しています。
SSHとは?仕組みとSSHサーバーの設定をわかりやすく解説します!
SSHとは「Secure Shell」の略で、ネットワークに接続された機器を遠隔操作し、管理するための手段です。ポイントはSecure(安全)に!で、そのために必要な仕組みが用意されています。この記事では初心者の方にも分かるように、あらためてSSHの概要や設定方法などの基本を解説します。 SSHとは? SSHの設定や利用方法について説明する前に、まずは基本をおさえましょう。 なぜSSHを使うか? …
【VPSのセキュリティを向上する方法】(2) プラン申込み後の初期設定時
おおまかな流れは以下の通りです。
(A) 業者の管理画面上で必要な設定を行う
(B) 遠隔操作で必要な設定をして、安全な方法でVPSに接続する
(C) セキュリティを向上するための設定をする(一例)
検証にあたり以下のVPSを利用しました。(2022年2月時点)
| 企業名 | カゴヤ・ジャパン |
| プラン名 | KAGOYA CLOUD VPS |
| CPU | 2コア |
| メモリー | 2GB |
| ストレージ | SSD 25GB |
| OSテンプレート | Ubuntu 20.04 LTS |
| 料金 | 日額 24円/、月額660円(税込価格) |
(A)業者の管理画面上で必要な設定を行う
遠隔よりSSHで安全に接続するためには、まずは鍵(公開鍵)を設定します。おおよその流れは以下の通りです。
- 鍵(公開鍵)を作成する(鍵を持っている人のみがVPSにアクセスできるようにする)
- 鍵(公開鍵)を利用者自身のPCにダウンロードし、安全な場所に保管する
- SSHで接続するたびに、鍵(公開鍵)のファイルを読み込むため、保管場所を忘れないようにする
カゴヤ・ジャパンの管理画面の場合、「ログイン用認証キー」の作成部分が該当しています。下記の例では、「ログイン用認証キー_20210416045737」を選択した状態です。以前に作成した「ログイン用認証キー」も選択可能です。
なおVPSの管理画面では、設定項目はセキュリティに関連しないこともあります。カゴヤ・ジャパンでは以下のページにまとめられています。
マニュアル(KVM)
https://support.kagoya.jp/vps/manual/index.php?action=show&cat=10
(B)遠隔操作で必要な設定をして、安全な方法でVPSに接続する
上記(A)で作成した「公開鍵」を専用アプリに設定することで、安全に接続可能です。利用者はWindowsやMac OSなどのクライアントから接続します。カゴヤ・ジャパンの場合は以下の手順で実施します。
SSH接続の設定
https://support.kagoya.jp/vps/manual/index.php?action=artikel&cat=25&id=9&artlang=ja
今回はWindows用のアプリ「Tera Term」を使用しています。Tera Termのインストール方法や設定方法については、以下のページご参照ください。
Tera Term の設定
https://support.kagoya.jp/vps/manual/index.php?action=show&cat=26
(C)セキュリティを向上するための設定をする(一例)
SSH での接続をより安全にする
複数の方法がありますが、ここでは「ポート番号」の変更方法を説明します。遠隔操作のためVPSに接続する際に使われる「ポート番号」を、通常使われている番号より任意のものに変更します。これにより万一サーバーが狙われたとしても、不正な侵入から守る効果があります。ただ6万個以上ある「ポート番号」を機械的に全て検索されるなどの場合があり、絶対に安心というわけではありません。やはり他の対策と組み合わせることをおすすめします。
さきほど用意したTera Term(Windowsの場合)を用いて、VPSに接続して以下のように設定を変更します。
【コマンド】
vi /etc/ssh/sshd_config※以降、枠線がついている箇所はすべて「コマンド」の記載。
【コマンド】(15行目あたり)
Port 22156【注】ポート番号は0~65535番まであり、すでに割り当てられている番号以外に変更することができます。上記は例として「22156」に変更した場合です。
(デフォルトでは「22」になっています。)
最後に上記の内容を反映させるため、サーバーの SSHシステムを再起動します。
【コマンド】
systemctl restart sshdSSHの概要や接続方法について、カゴヤのサーバー研究室では以下のページで詳しく解説しています。
SSHとは?仕組みとSSHサーバーの設定をわかりやすく解説します!
SSHとは「Secure Shell」の略で、ネットワークに接続された機器を遠隔操作し、管理するための手段です。ポイントはSecure(安全)に!で、そのために必要な仕組みが用意されています。この記事では初心者の方にも分かるように、あらためてSSHの概要や設定方法などの基本を解説します。 SSHとは? SSHの設定や利用方法について説明する前に、まずは基本をおさえましょう。 なぜSSHを使うか? …
ファイアウォール
幾つかの設定方法があります。ここでは「iptables」を使って設定をします。ひとつ前の項目にも出てきた「ポート」の開閉で制御します。使うポート番号のみを開け、他は閉めたままにします。たとえ面倒でも、必要なポート分を設定していきましょう。
例えば「80」番のポート番号を開ける方法は以下の通りです。
【コマンド】
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --sport 80 -j ACCEPT
【注1】多くの場合2行分の設定をします。似ているようですが1文字異なります。(上の場合「d」と「s」の部分)
【注2】ポート番号で「80」番は、一般的なWebサイトで暗号化されていない場合に使われています。このように一部のポート番号は、あらかじめ用途が決められています。
最後にVPSに設定を保存します。(Ubuntu 20.04 LTSの場合)
【コマンド】
apt install iptables-persistent【注】この保存作業(1回のみ実施)により、VPSを再起動してもiptablesの設定内容は消えません。この保存作業をしないと再起動後に設定内容が消えるため、再度設定が必要になります。
iptablesについて、詳細は以下のカゴヤ・ジャパンのマニュアルページをご確認ください。
iptables の設定
https://support.kagoya.jp/vps/manual/index.php?action=artikel&cat=20&id=48&artlang=ja
システムの最新化
最新化するためのリストを新しく(update)してから、システムの最新化(upgrade)を行います。システムの最新化にはある程度の時間がかかります。
【コマンド】
apt update
apt upgrade
【VPSのセキュリティを向上する方法】(3) 利用中
VPSを使い始めてからも、セキュリティを維持するためにやることがあります。本業で忙しく、ついセキュリティの対応が後回しになりがちです。そうならないよう以下の基本的な手順を用意し、要領良く点検作業をすることをおすすめします。
- 実施内容と方法を決める
- 決めたことをそのまま実施し、異常がないかを定期的に点検する
- 問題があれば対応する
- 方法自体に改善することがあれば直す
具体的な実施方法は、VPSを利用して進める事業の規模や扱うデータの種類によって異なります。セキュリティを維持する専用サービスの利用も検討すべきですが、まずは自組織でできる点検方法を試すことも有効と考えます。カゴヤのサーバー研究室では、以下の記事で点検(診断)方法を解説しています。
【VPS活用】自分でできるセキュリティ診断「どんな兆候も見逃さない!」
VPS(バーチャル・プライベート・サーバー)は自由度が高い分、利用者自身でしっかり面倒をみてあげなければなりません。このご時世、セキュリティ対策が不可欠ですが日々の点検も大切です。その手段としてセキュリティ診断ツールがあります。この記事では、これらの監視対象や導入方法をまとめています。また導入がより簡単な、クラウドで利用できるサービスもご紹介します。 ■検証した環境 企業名 : カゴヤ・ジャパンプ…
また用語は難しく感じますが、事業により「監査ログ」の分析まで実施した方がいい場合があります。詳しくは以下の記事が参考になります。
組織の情報システム担当者は、その稼働中に問題があれば、収集した情報をもとに分析し対処しています。その際に確認する情報が、ログ(記録)といわれるファイルです。ログには多くの種類があります。「監査ログ」の目的や仕組みは何でしょうか。セキュリティ対策を効率的に進める手段としても活用できます。 監査ログとは? ログ(記録)とは? パソコンやサーバーなどを操作すると、操作した内容が記録として残ります。例えば…
セキュリティを維持するための考え方(まとめ)
たとえ簡易的なものでも、セキュリティの向上を目的として実施したことを記録し、活用することは重要です。また日々点検することを決め、定期的な対策をすることは何より大切と考えます。
VPSのセキュリティは本業とは関係がなく、商売につながらないから無料や格安の料金でできることで十分という考え方もあるでしょう。このコストの考え方は、結果として高い買い物になることもあります。そのため可能な限り目に見えない費用(人件費や広報など)まで予想し、その影響で判断することが理想と考えます。
カゴヤ・ジャパン提供のVPSプランでは、セキュリティ維持のため以下を提供しています。
詳細は以下の公式ページをご覧のうえ、他社と比較し利用をご検討ください。
開発・検証・プログラミング学習に。無駄なコストもかけたくないあなたにおすすめのVPS
カゴヤのVPSは初期費用無料でアカウント登録さえしておけば、必要なときだけ日額課金でサーバーを立ち上げ可能!料金は使った分だけ。
