【初心者向け】サーバーセキュリティに対する攻撃や必要な対策-サーバー担当者が知っておきたいセキュリティの話～

一口にサーバーセキュリティと言っても、リスクや攻撃の種類、必要な対策は様々です。この記事ではサーバーセキュリティを確保し対策すべきリスクや、主なサイバー攻撃の種類を紹介します。その上で、具体的な対策の種類や、対策に役立つサービスまで紹介するので参考にして下さい。

サーバーセキュリティの対策が重要である理由

サーバーセキュリティの対策は、なぜ重要なのでしょうか。対策の内容について検討する前に、その重要性について簡単におさらいしておきましょう。

企業活動にサーバーは欠かせない

多くの企業では、以下にあげるような目的でサーバーを活用しています。

• 基幹システムの運用
• 社内コミュニケーションツールの運用
• 機密情報・顧客情報などの保存・共有
• 自社公式サイト・ECサイトの運営など

これらは企業が活動していく上で欠かせません。

サーバーが攻撃されると様々な被害が発生する

企業活動に欠かせないサーバーが、サイバー攻撃を受けそれが成功してしまうと様々な被害が発生します。サーバーが機能しなくなることで復旧するまで業務を停止せざるを得なくなる他、機密情報・顧客情報が漏えいすることも少なくありません。

業務停止や情報漏えいによって、取引先や顧客にまで被害が及ぶ可能性もあります。仮に業務が長い時間停止する事態になれば、少なからず取引先や顧客に迷惑をかけることにはなるでしょう。

その結果、取引先や顧客からの信頼を落とすことになります。一度失った信頼を、取り戻すのは簡単ではありません。

サーバーセキュリティを脅かす脅威/攻撃の例

サーバーセキュリティを脅かし、企業に被害をもたらす脅威や攻撃の種類は少なくありません。ここではその中でも、よくニュースに取り上げられる代表例を紹介します。

サーバーに多大な負荷をかける「DDoS攻撃」「リフレクション攻撃」

DDoS攻撃とは、膨大な数のコンピューターから特定のネットワーク・サーバーに対し一斉に攻撃をしかける手法です。攻撃者は一般的に、ボットウィルスに感染し遠隔操作が可能となった大量のコンピューター群（ボットネット）を踏み台として利用します。

一方でリフレクション攻撃とは、DDoS攻撃のなかでも昨今主流となっている攻撃手法です。リフレクション攻撃では、攻撃者やボットネットは「直接的に」対象へ攻撃をしかけません。代わりにインターネット上で公開されているDNSサーバーやNTPサーバーに対し送信元を偽装したパケットを送信します。その上で、DNSサーバーなどからの返答が攻撃対象に届くようにするのです。

この場合、もともと攻撃者がDNSサーバーなどに送ったパケットに比べ、数十倍もの容量となったパケットが攻撃対象に届くこともあります。その結果、リフレクション攻撃はDDoS攻撃よりインパクトが大きくなりやすいわけです。

サーバーがDDoS攻撃やリフレクション攻撃を受けると過負荷になり、最悪の場合、長時間にわたり機能が停止してしまうことも少なくありません。これら攻撃は、脅迫目的（金銭を支払えば攻撃をやめる）に使われることもあります。

※参考記事

未知の脆弱性を突く「ゼロデイ攻撃」

ゼロデイ攻撃とはOSやミドルウェアなどの脆弱性が発見された際に、そのことが広く知られる前にその脆弱性をつく攻撃手法です。脆弱性をつく攻撃からサーバーを守る場合、一般的には開発元が提供するパッチを適用します。

しかしゼロデイ攻撃は、開発元によるパッチ提供が開始される前に脆弱性をついた攻撃を行うのです。そのため、ゼロデイ攻撃を防ぐのは簡単ではありません。

※参考記事

重要データを”人質”にとる「ランサムウェア」

ランサムウェアとは、コンピューターのデータを暗号化したりロックしたりして使用できない状態に追い込むマルウェアです。攻撃者はコンピューターを使えない状態にしたあと、復元するのと引き換えに身代金（ランサム）を要求します。

この身代金が膨大な金額にのぼる例も少なくありません。また身代金を支払ったからといって、必ずしも攻撃者が約束通り復元に応じるとは限らない点も注意が必要です。

※参考記事

データベースを不正に操作する「SQLインジェクション」

SQLインジェクションとは、データベース（SQL）と連携したWebアプリケーションなどを対象とした攻撃手法です。SQLインジェクションでは、外部からSQL文を攻撃対象に注入（インジェクション）し不正な操作を実行するのです。これによりデータベースに書き込まれた個人情報・機密情報の漏えい、データベース・ウェブサイトの改ざんといった被害につながります。

※参考記事

総当たり方式でパスワードを解読する「ブルートフォース攻撃」

ブルートフォース攻撃とはアカウントのパスワードなどの文字列について、考えうる限りのパターンで解読を試みるサイバー攻撃の手法をさします。ブルートフォース（brute force）とは、「力づく」「強引」といった意味を示す英語です。

ブルートフォース攻撃では、あらかじめ「123456」「PASSWORD」などよくあるパスワードのパターンをたくさんリストアップしておきます。その上で、そのリストを使い総当たり方式でパスワードの解読を試みるわけです。ブルートフォース攻撃によりサーバー管理者のパスワードが盗まれた場合、機密情報の漏えいやWebサイトの改ざんなどの被害につながります。

悪意のあるウェブサイトへ誘導する「クロスサイトスクリプティング」

クロスサイトスクリプティングとは攻撃対象のWebサイトに罠をしかけ、攻撃者が用意した別Webサイトのスクリプトを実行させる攻撃手法です。ユーザーが攻撃対象のWebサイトを訪れ罠にかかってしまうと、悪意のあるWebサイトへ誘導され攻撃者のスクリプトが実行されてしまいます。

その結果、そのユーザーは個人情報を盗まれるなどの被害に見舞われるのです。攻撃者がクロスサイトスクリプティングで罠を仕掛ける対象として、Webサイトの掲示板・アンケート・サイト内検索などがあげられます。攻撃対象のサイトから悪意のあるWebサイトへ誘導（サイトをクロス）することから、クロスサイトスクリプティングと名付けられました。

※参考記事

DNSキャッシュポイズニング

DNSキャッシュとは簡単に言うと、Webサーバーなどがインターネット上で存在する場所（IPアドレス）を示す情報です。DNSキャッシュポイズニングとは、DNSキャッシュを不正な手段によって偽のデータへ書き換える攻撃手法を指します。

その結果、ユーザーは攻撃対象のWebサイトを訪れたつもりが、偽のDNSキャッシュによって悪意のあるサイトへ誘導されてしまうのです。悪意のあるサイトは、多くの場合で攻撃対象のWebサイトに似せて作られています。結果ユーザーはそれが自分の訪れたWebサイトと信じて疑わず、個人情報を送信してしまうなどするのです。

※参考記事

サーバーセキュリティを守るための対策/リスクマネジメント

サーバーの管理者は、本記事で紹介したようなサイバー攻撃からサーバーを守るためにも、事前の対策が欠かせません。この項では、実際にどのような対策・リスクマネジメントが必要になるかを解説します。

情報システムのリスクマネジメント対策計画を立てる

サーバーセキュリティにおいてリスクマネジメントとは、サイバー攻撃のリスクを管理し被害を回避もしくは最小限にとどめるための手法です。情報システムのリスクマネジメント対策計画では、リスクに対応するための調査や対策に必要な予算・スケジュールをまとめます。

情報システムのリスクマネジメント対策計画についての詳細やまとめ方については、以下記事を参考にして下さい。

基本的なセキュリティ対策は怠らない

サーバーをサイバー攻撃から守るためには、以下にあげる基本的なセキュリティ対策は最低限行っておく必要があります。

■OSやミドルウェア、アプリケーションを常に最新の状態に保つ

OSなどに存在する脆弱性は、サイバー攻撃の原因となります。修正プログラムが公開された場合は、できるだけ速やかに適用して、脆弱性を解消することが必要です。

■アカウントの適切な管理

テスト用のアカウントなど、不要なアカウントが残ったままだとサイバー攻撃を受けるリスクが高まります。不要なアカウントは削除しましょう。

■推測されにくいパスワードの設定

パスワードが簡単であると、ブルートフォース攻撃などで悪意のある第三者にアカウントを奪われる可能性が高くなります。多少管理は面倒になりますが、推測されにくい複雑なパスワードを設定するようにしましょう。

■ファイルやディレクトリに対するアクセス制御

サーバーのファイルやディリクトリに対するアクセス制御が適切でないと、機密情報が参照されたり不正にプログラムが実行されたりします。外部に公開すべきでないファイル・ディレクトリは、インターネットからアクセスできないようアクセス制御を行っておくことが必要です。

■不要なアプリケーション・サービスの削除

使っていないアプリケーションやサービスが残ったままだと、それらの脆弱性が放置され攻撃を受けるリスクが高まります。必要なアプリケーション・サービス以外は削除するか、悪用されないよう停止しておきましょう。

■ログの保存や分析

サーバーログを保存しておき定期的に分析することで、サイバー攻撃の可能性やウイルス感染などの可能性にいち早く気づけます。またサイバー攻撃を受けた際は、ログを原因の究明などに役立てることも可能です。

サーバーセキュリティに役立つサービスを導入する

サーバーのセキュリティを維持するためには、上述した基本的な対策だけでは残念ながら十分とは言えません。以下にあげるサービスを導入して、よりセキュリティを強固に保つ必要があります。

■ファイアウォール

ネットワークの境界に設置され、あらかじめ決められた基準をもとにネットワーク的に不正と判断されるアクセスを遮断するソフトウェアです。主にポート番号やIPアドレスなどの情報をもとに、不正なアクセスからサーバーを防御します。

※関連記事

■IDS/IPS

サイバー攻撃のなかには、ポート番号・IPアドレスによる情報だけでは不正と判断できない種類も少なくありません。IDS/IPSはパケットの中身をチェックして不正なアクセスを検知したり、不正なアクセスからサーバーを防御したりするシステムです。

※関連記事

■WAF

Webアプリケーションの脆弱性をつくサイバー攻撃を防御することを専門とするシステムです。ファイアウォールやIDS/IPSでは防ぐのが困難なクロスサイトスクリプティング・SQLインジェクションなどの対策としても、WAFは適しています。

※関連記事

■脆弱性診断

ネットワークやOS・システムなどに存在する脆弱性を洗い出し、対策を施すためのサービスです。セキュリティ診断と呼ばれることもあります。

※関連記事

サーバーセキュリティの保持に有効なサービスの例

以下、サーバーセキュリティの対策としても有効な、カゴヤの主なサービスを紹介します。この中でも「マネージド付」の種類に関しては、設定や運用をカゴヤにお任せいただけるのでお客様に負担がかかりません。難しい専門知識も不要です。

【サーバーセキュリティの保持に有効なサービスの例】

専用ファイアウォール	外部からの不正なアクセスを防御する、お客様専用のファイアウォールサービスです。
マネージド付ファイアウォール	設定変更・機器監視をカゴヤが代行するマネージドがついたお客様専用のファイアウォールサービスです。
WAF（AEGIS for KAGOYA）	クラウド監視型でサーバーへの負荷がほとんどないWAFサービスです。サーバーに対する不正な多数のリクエストを検知・遮断するという意味で、DDoS攻撃の対策にも役立ちます。
IPS	ご利用の回線を、IPS機能を持った回線に切り替えるサービスです。
専用UTM	統合的なセキュリティ機能（ファイアウォール＋IPS＋ウィルスチェック＋SPAMチェック）を搭載したUTMを提供するサービスです。
マネージドVPNサービス（VMR）	実績があるバリオセキュア社製の多彩なセキュリティ機能が利用可能な、マネージド付きのVPNサービスです。
マネージド付セキュアルーター	実績あるバリオセキュア社の運用監視・設定サービスがついたルーター提供サービスです。
バックアップサービス	指定したスケジュールで、任意の外部ストレージへバックアップできるサービスです。
クラウドバックアップ	クラウド環境を利用し、BCP対策としても有効なバックアップサービスです。

サービス数が多くて「どれを選んでよいか分からない」という場合は、ぜひカゴヤまでご相談ください。お客様のご要望やサーバー環境などを伺った上で、最適なサービスを紹介します。

まとめ（サーバーセキュリティの相談はぜひカゴヤまで）

仮にサーバーが攻撃を受け、それが成功してしまうと情報漏えいや業務停止などの被害に見舞われることになります。それによって顧客や取引先に迷惑をかけ、企業としての信用失墜につながる可能性も否定できません。

一方、リフレクション攻撃やランサムウェアなど、企業に大きな被害をもたらすサイバー攻撃は、現在でも数多く報告されています。必要最低限のサーバーに対するセキュリティ対策の他、サイバー攻撃への対策に有効なサービスの導入も検討するとよいでしょう。

どんなサービスが自社に適しているか分からない場合は、ぜひカゴヤまでご相談ください。担当者が御社のニーズや環境などを伺った上で、豊富なカゴヤのセキュリティサービスの中から最適なものを紹介します。