サーバーのセキュリティ対策。考えうるリスクと基本の対処法を解説

従業員個人のパソコンへのセキュリティ対策も重要ですが、企業の情報を膨大に保存しているサーバーへの攻撃は、被害が甚大になるため、より強固にしておく必要があります。

企業規模の大小は関係ありません。中小企業でも大企業と関係や取引のある場合は狙われやすくなります。取引メールやネットワークを介して、大企業のシステムに侵入しやすくなるからです。実際に中小企業を足がかりにして、大企業が保有する個人情報が流出する事例が2018年に起きています。個人情報の流出は企業の信用性低下につながりかねません。そのため事前のセキュリティ対策は、企業経営を安全に進めるための重要な要素と言えます。

この記事では、セキュリティの基本情報とサーバーのセキュリティ対策について解説します。

セキュリティの脆弱性とは？

サーバーに外部から攻撃を受けた場合に想定されるリスクを把握する必要がありますが、その前に、サーバーセキュリティを語る上で必要不可欠である「脆弱性」について解説します。

脆弱性が発見されると、開発メーカーから更新プログラムが提供されることがあります。しかし、脆弱性は完全に解決することは難しく、次々と新たな脆弱性が発見されているのが現状です。

想定されるリスク

現在、インターネットへの接続なしに、業務はできないと言っても過言ではありません。また働き方改革により、社外で多数のWi-Fiを利用したり、スマートフォンやタブレットを業務で使用したりするケースが増えています。下記は、独立行政法人情報処理推進機構（IPA）が発表した「情報セキュリティ10大脅威 2019」です。

＜参照元：独立行政法人情報処理推進機構（IPA）「情報セキュリティ10大脅威 2019」をもとに作成＞

ランキングのほとんどが外部からの攻撃による脅威となっています。このことから、外部からの攻撃に備えることが、セキュリティ対策の第一歩であることがわかります。
では、次項で具体的な外部からの攻撃について解説します。

サーバーセキュリティを脅かすリスク

脆弱性に対する外部からの攻撃にはいくつか種類があります。ここではその代表的なものについて紹介していきます。

標的型攻撃について

上述の「組織」向け脅威で1位となっていた「標的型攻撃」は、対象を特定して攻撃してくる手法です。代表的なものには「DoS・DDoS」「SQLインジェクション」「ブルートフォースアタック」などがあります。下記より、個別に解説します。

DoS・DDoS
DoS攻撃・DDoS攻撃は比較的昔から使われた手法です。簡単かつシンプルな原理であるため、現在でも多くの攻撃が見受けられます。

ブラウザから閲覧しにくいサイトがありますが、これはサーバーの性能による要因以外にも、何らかのデータが大量に送受信されている可能性があります。このように、悪意を持ってサーバーに大量のデータを送りつけ、アクセス集中によるサーバーダウンを狙うサイバー攻撃のことを「DoS攻撃（Denial of Service Attack）」と呼びます。

「DoS攻撃」の発展型として、複数のIPを使って攻撃対象により大きな負荷をかける手法が、「DDoS攻撃（Distributed Denial of Service Attack）」です。「トロイの木馬」などのマルウェア（悪意のあるソフトウェアやコードの総称）を使い、不正に複数のコンピューターを乗っ取って、攻撃を仕掛けるものです。

DoS・DDoS攻撃を行う目的は、単純な嫌がらせや金銭などを目的とした脅迫行為、競合サイトに対しての妨害行為、抗議活動、他のサイバー攻撃の隠ぺいなどが挙げられます。

SQLインジェクション攻撃
SQL文を使用したデータベースのWEBサイトやアプリケーションに対し、本来使用されないSQL文を挿入（インジェクション）することで、データベース上の情報を盗み取ったり、改ざん、消去をしたりする攻撃方法のことです。WEBサイトやアプリケーションの脆弱性を狙ったもので、情報漏えいにもつながる攻撃のため、非常に危険です。

ブルートフォースアタック
ブルートフォースアタック（Brute Force Attack）とは、パスワードを破る攻撃方法で、考えうるすべてのパターンを試してくるため、別名「総当たり攻撃」とも呼ばれます。

例えるならば、番号式のチェーンロックをすべての組み合わせで試していくようなイメージです。人間が行うと途方もない時間がかかってしまいますが、プログラムされたコンピューターの処理能力だとわずかな時間しかかかりません。

＜参照元：独立行政法人 情報処理推進機構（IPA）「コンピュータウイルス・不正アクセスの届出状況[2008年9月分および第3四半期]について」をもとに作成＞

上図のように、大文字、小文字を区別しない英字4桁だと約3秒で破られてしまいます。組み合わせの数が多ければ多いほど解読されにくくなるため、桁数や使用する文字種を多くするといいでしょう。

しかし、この解読時間は2008年のものです。時代とともに処理能力は想像もしないスピードになっている可能性がありますので注意しましょう。

無差別型攻撃

標的型攻撃に対し、無差別攻撃はメールやWEBサイトを通して、不特定多数のユーザーに対してマルウェアを感染させます。その中でも、近年はランサムウェアによる被害が拡大しています。

ランサムウェア
感染するとパソコン内のデータが暗号化され、読めなくなってしまいます。「WannaCry」「TeslaCrypt」など、これまでに猛威を振るったランサムウェアはいくつもありますが、脅迫状を表示して身代金（ランサム）を要求することが共通していることから総じてランサムウェアと呼ばれます。個人のパソコンから共有フォルダなどに感染が拡大するリスクがあるため非常に悪質です。従業員のセキュリティ教育はもちろんですが、企業全体で最新のセキュリティソフトを用いてスパムメールをブロックするのが肝要です。

基本的なサーバーセキュリティ対策

ここではセキュリティ対策として、基本的な方法をいくつか紹介します。

セキュリティパッチの管理

現在最も多いのが、既知の脆弱性に対するサイバー攻撃です。従って、まずは既知の脆弱性に対応することが、不正アクセスなどの被害を減らす一番の方法です。その中で重要なのが「セキュリティパッチ」。これはソフトウェア上の問題点や脆弱性に対し、それらの不具合を解決するための修正プログラムです。

セキュリティパッチを適用してソフトウェアを常に最新の状態に更新しておくと、問題点や脆弱性を解決しやすくなり、サイバー攻撃に対するリスクを大きく低減できます。

安全なパスワードの作成

安全なパスワードを作成することも、基本的なセキュリティ対策の1つです。安全なパスワードの作成条件には以下のような方法が挙げられます。

しかし、せっかく安全なパスワードを設定しても、パスワードが漏れてしまったら意味がありません。部外者に伝えないことはもちろんのこと、電子メールなどでのやり取りの方法や、パスワードを書いたメモの取り扱いなどパスワードの保管方法にも留意が必要です。

ログ管理

万全のセキュリティ対策をしていても、不正アクセスやウイルス感染のリスクは残ります。これに対し、ログを管理することで、迅速な原因究明や事後対応を行い、被害を最小限に抑える考え方が重要です。例えば、内部犯行による情報漏えいがあった場合、ログを遡って原因を調査できます。

WEBサーバーにおけるセキュリティ対策

WEBサイトを運用する上で、WEBサーバーを利用するケースは多いでしょう。WEBサーバーを利用する際にもセキュリティ対策は必須です。この方法にはさまざまな種類があり、守る場所や目的によって異なる対策が求められます。代表的な対策として、ファイアウォール、WAFなどがあります。

ファイアウォール

防火壁（ファイアウォール）のようにネットワークの間に立ち、不正アクセスをブロックするシステムを指す「ファイアウォール」。WEBサーバーに標準搭載されています。パケット内の送信元・送信先のIPアドレスと通信ポートの情報をチェックし、不要な攻撃を防止できます。しかし、許可されたポートからの通信で攻撃された場合は防ぐことはできず、次に説明するWAFなどの対策が必要となります。

WAF

「Web Application Firewall」の略で、アプリケーションの脆弱性を悪用した攻撃からWEBサイトを防御するための技術です。WEBアプリケーションとして代表的なサーバーやデータベースの前面に配置することで、SQLインジェクションやブルートフォースアタックといった攻撃を防ぎます。

まとめ〜脆弱性の発見と対策に終わりはない〜

今回は、サーバーのセキュリティについて、考えられるリスクやその対策について紹介しました。サイバー攻撃は日々進化しており、いたちごっこのような様相になっていることは否めませんが、従業員へのセキュリティ教育、最新のセキュリティパッチの管理などを徹底することで、リスクを限りなく低減できます。

企業の情報漏えいは、企業活動の継続に甚大な影響を及ぼします。常に可能な限りの対策を行いましょう。