レンタルサーバーによるセキュリティ対応比較（１）

JPCERTのによって、2016年第1四半期（1月～3月）年に報告された脆弱性の種類が明らかにされて（PDF）います。

この報告によれば

累計では、「クロスサイト・スクリプティング」だけで56%を占めており、次いで「DNS情報の設定不備」「SQLインジェクション」となっています。

としています。
アプリケーション脆弱性上位の割合は、

1. クロスサイト・スクリプティング　56%
2. SQLインジェクション　12%
3. ディレクトリ・トラバーサル　2%

となっており、一般的に良く知られている脆弱性への基本的な対策が不可欠だと分かります。

これら脆弱性に加えてWordPressでよく取り上げられるのはブルートフォースアタックでしょうか。
これについても何らかの対策が必要とされています。

近年はブログやECサイトが一般的になり、それに応じてアプリケーション内部だけではなく、サーバー上でこれら脆弱性や攻撃への対策を可能にしているレンタルサーバーが一般的になってきています。

レンタルサーバーでの一般的な対策

各社サーバーが導入している、一般的な対策には以下のようなものがあります。

IDS/IPS

それぞれ、当たり前ですが略号です。

IDS

（Intrusion Detection System：侵入検知システム）

IPS

（Intrusion Prevention System：侵入防御システム）

IDSはその名前のとおり、不正な侵入や攻撃を検知するシステムです。
検知しかしてくれないんです。
検知だけしてどうしてくれるのか。
見てるだけなのか。
メールを送ってくれたり、もしかしたら事務所のパトライトを回したりしてくれることもあるかもしれません。
実際に攻撃に対処するのは人間の仕事になります。
攻撃元のIPアドレスからの通信を遮断したり、サーバーを再起動したり、人間が対策を実施するのでケースバイケースで柔軟な対応が可能ですが、調査や対処方法の検討など、どうしても対策を実施するまでに時間がかかります。
調査したり議論したりしている間に被害が拡大したり、大量のデータが漏洩してしまう可能性もあるわけです。
有名な日本人ハッカー、下村努が書いたテイクダウンという本にもありましたが、目の前で自分のマシンがハッキングされ、データがどんどん抜かれているのに気づいた管理者がどうすればいいかわからずにLANケーブルを引き抜いた場面の描写がありました。
さすがにいまどきはそんな荒っぽいことはしないと思いますが。

IPSは検知だけでなく、遮断などの対策も実施してくれる仕組みです。
検知だけでなく遮断もしてくれる、とてもナイスそうな仕組みなんですが、そのアクセスが有害か無害かの判断がつかないことがあります。
これは攻撃かなー、どうかなー、攻撃じゃなかったらせっかく利用してくれてる人に迷惑だし、どうしようかなー、ちょっとわかんないなー、とか優柔不断満開でやっていると最終的にほとんどスルーしてしまいます。
IPSはさすがコンピューター、疑わしきは罰する感じで非情にバサバサと遮断してくれます。
しかしやっぱり遮断しちゃだめなものも勢いで遮断しちゃったりするわけで、適切に対処するためには人の判断も必要になってきます。
最終的に人間が対応するIDSと、有無を言わさずに遮断するIPSはお互いの欠点を補完しあっていると言えます。

WAF（Webアプリケーションファイアウォール）

IDS/IPSより一歩進んだ感じのする対策がWAFです。
IDS/IPSは主にOSやWEBサーバーへの攻撃を検知し、対策を実施するための仕組みです。
例えば、Dos攻撃やOS/Webサーバーの脆弱性を狙った攻撃などです。
WAFの守備範囲は主にWebアプリケーションに対するものです。
冒頭に挙げたSQLインジェクション、クロスサイトスクリプティングなど、アプリケーションの脆弱性に対する攻撃を柔軟に検知し、遮断します。
しかし、柔軟すぎて誤検知されることも少なくなく、WAFを有効にしていたためにサイトがうまく動作しなかったという報告もチラホラ見かけます。
そのため、有効/無効をサイト管理者が変更でき、容易に無効にされてしまうセキュリティ機能でもあります。

IPS/IDSとWAFは完全に守備範囲が異なるわけではなく、実際にサーバーに組み込まれているそれぞれの仕組みの特性によりますが、双方共に遮断可能な攻撃もあります。

サッカーで言えばセンターバックとサイドバックというか。
野球で言えばショートとサードというか。
三遊間抜かれる可能性もあるわけですけど。

実際のサーバーでは

このブログをどんな方がお読みなのか分かりませんが、これからブログやWebサイトを立ち上げようとする方が多いのかなー、ぜひ多いといいなー。
そんなあなたのために、サーバー毎にどのような脆弱性/攻撃対策が行われているかチェック/比較してみましょう。
チェックしてみるのは低価格な以下のレンタルサーバーです。

• さくらインターネット　レンタルサーバー
• ロリポップ
• WADAX
• KAGOYA 共用サーバー
• XSERVER
• 4stars
• ヘテムル
• お名前.com 共用サーバー
• VALUE SERVER（何故かこのブログが入っているサーバーです）

他にも様々なサーバーがありますが、もう際限がないのでよく名前を聞く上記のリストで調査してみました。

比較結果は次回。