サーバ選び7つの基準

サーバーの選び方を、Googleウェブマスターアカデミーの、7つの考慮点に沿って解説します

エックスサーバー

基準3.セキュリティ

      2016/01/30

Googleは、ウェブマスターアカデミーの中で、信頼できるホスティングプロバイダを選択するように進めています。選択するときのポイントについても言及しており7つのポイントをあげています。

今回は、その中からセキュリティを意識したサーバー選びについて解説していきます。

※小難しい話はいいから結論だけ知りたいんだ!という人はまとめをご覧くださいmm

セキュリティとは

まずは、ウェブマスターアカデミーに記載されているセキュリティの説明をみてみよう。

セキュリティ: ウェブサイトを外部の脆弱性から守るためにホスティング プロバイダが講じている安全対策を調べてください。ハッキングやマルウェアへの感染など、サイトでセキュリティの問題が発生した場合にサポートが提供されるかどうか確認します。

出典:Googleウェブマスターアカデミー 新しいウェブサイトをセットアップする

外部からの、、、攻撃、、、怖い。。。

セキュリティを考慮してプロバイダを選択するということは、ユーザーに安心してウェブサイトを楽しんでもらうために必要なことなんだ。情報セキュリティのCIAって知っているかな?

しーあいえー?スパイで有名なやつですか?

それは、アメリカの諜報機関、中央情報局だね。
情報セキュリティのCIAとは、経済協力開発機構、通称OECDが策定したセキュリティガイドラインで定義されているんだ。情報セキュリティの基本概念を3つの視点で定義しているよ。

  • Confidentiality:機密性
  • Integrity:完全性
  • Availability:可用性

なるほど。どういう意味ですか?

簡単に説明すると、CIAとは「適切な人(C)が、正しい情報(I)に、必要なとき(A)にアクセスできる」状態を表しているんだ。
この3つの視点からセキュリティを検討し、セキュリティ対策を取ろうという考え方なんだ。

それぞれについて説明しよう。

Confidentiality:機密性

機密性とは

機密性とは、適切な人が情報を利用できることなんだ。

情報へのアクセス許可のある人だけが情報を利用することができ、許可の無い者は情報の使用、閲覧が出来なくすることです。

出典:個人情報保護・プライバシーマーク・ISMS取得データベース

スマホにパスワードロックをかけているかい?

もちろんかけています。もし落としたときに、誰かに見られてしまったらいやですからね。

そうだよね。スマホは個人情報の塊ともいえる。自分以外の人が利用できないように、パスワードをかけてしまう。そうすることで、機密性を高めているともいえるね。

なるほど!
パスワードをかけるほかに、機密性を高めるためにはどのような方法があるんですか?

アカウント管理

アカウント管理は重要な要素だよね。必要な人に、必要な権限を与えておこう。

SSL証明書(HTTPS)による暗号化

HTTPS通信も機密性を高めるためのセキュリティ対策だよね。SSL証明書を利用することで、ユーザーが入力した情報を暗号化することで、サーバーだけが利用することができるようになるよ。

SFTPなどによるファイル転送

ファイル転送を暗号化することも、機密性の対策といえるね。

Integrity:完全性

完全性とは

完全性とは、正しい情報を維持することなんだ。

情報資産に正確性があり改竄されていないこと。

出典:個人情報保護・プライバシーマーク・ISMS取得データベース

せっかく適切な人がアクセスしてきても、情報が信頼できないものだったら意味がないよね。

そうですね。ATMで残高照会の金額が正しくなかったとしたら怖いです。
完全性を維持するための対策にはどのようなものがありますか?

WAFやIPS/IDS

SQLインジェクションなど、悪意のあるコードの侵入を防ぐためのWAFなどがあげられるよ。

バックアップ

データ消失時に復元するためのバックアップも完全性のための重要な要素になるね。

ファイアウォール

ファイアウォールを設定することで、不必要なアクセスを遮断することができるよ。特に、SSHやFTPなど管理系のアクセスについては、適切に設定しておきたいね。

Availability:可用性

可用性とは

可用性とは、必要なときに使えることをさすよ。

情報へのアクセス許可のある人が必要な時点で情報にアクセスできること。

出典:個人情報保護・プライバシーマーク・ISMS取得データベース

必要なときに使えないことほど、悲しいことはないですからね。
可用性を維持するための対策にはどのようなものがありますか?

冗長化

ハードウェアを2台用意しておいて、1台壊れたらもう1台を利用する冗長化が考えられるね。
最近では東日本大震災をきっかけに、地理的に離れた拠点で冗長化するDR(ディザスタリカバリ)なんてこともよく話しにあがるよ。

バックアップ・リカバリー

完全性で出てきたバックアップについても、リカバリー、つまり復元方法を検討しておくことで、素早く復旧することが可能になるよ。

トレードオフになるCIA

なんとなくイメージがわいたかな?
このCIAについて対策していく必要があるんだけど、それぞれトレードオフの関係になっているんだ。

トレードオフですか?

そう。たとえば機密性を高めていくと、可用性が犠牲になってしまうんだ。

と、いいますと?

機密性を高めるためにパスワードの桁数を20桁にしたとする。そうすると、実際に使うと気にパスワードを思い出すのが大変になっちゃうよね。つまり、機密性はあがったけど、可用性は落ちることになるんだ。

なるほどー。

このトレードオフのバランスを考えてセキュリティ対策をするのが重要だね。

まとめ セキュリティを考慮したプロバイダを選ぶためには

適切な人(C)が、正しい情報(I)に、必要なとき(A)にアクセスできる

セキュリティを考慮したプロバイダを選ぶためには、情報セキュリティのCIAを意識してみよう。

  • Confidentiality:機密性を高めて、必要な人だけがアクセス可能
  • Integrity:完全性を高めて、正しい情報を維持
  • Availability:可用性を高めて、必要なときに使える状態

それぞれの観点で対策を考えましょう。
やりすぎると、どこかにしわ寄せがいってしまうので、バランスを考えることが重要ね。

 - ウェブマスター