レンタルサーバーによるセキュリティ対応比較（２）

前回の、一般的なレンタルサーバーのが実装しているセキュリティ機能を踏まえて。
実際にどのような効果があるのかをレンタルサーバ毎に比較していきましょう。

調査概要

セキュリティ機能とは別の理由でこのブログの移転と全く別のECサイトを検討する中で、各サーバー会社にセキュリティ機能について問合せした内容を元に構成しております。
なお、この情報は2016/07/03時点のもので、新しい情報が入手できれば、更新していきます。

私なりの考察

この表をぱっと見て一番充実しているのはWADAXですね。

脆弱性診断は有償ですが、大きく構成を変更する場合に利用するといいかもしれません。

KAGOYAもIPSとWAFの二段構えです。

※KAGOYAのリンク先はマネージドクラウドのページになっており、レンタルサーバーとは別のサービスです。

さくらインターネット、ロリポップ、KAGOYA、ヘテムル、お名前.comについてはWAFのみが導入されています。特にSite Guard LiteはApache Webサーバーのモジュールとしてプラグイン的になっているため導入がしやすく、費用的にもリーズナブルな様子で低価格レンタルサーバーに普及している様子です。

IDSやIPSを導入しているサービスは比較的少なめです。
WAFに比べてハードウェア機器の導入が必要であったり、ネットワーク構成変更の手間など、導入障壁が高いせいでしょうか。
しかし、IDS/IPSについては比較的枯れた技術で、情報としては公表されていませんが入っているサービスもあるのかもしれません。

4starsは「セキュリティに特化したホスティングサービス」を謳っているサーバー会社です。
今回調べているようなWebアプリケーションに対するセキュリティだけでなく、マルウェアスキャン、スパムメール判定・フィルターなど、トータルなセキュリティ対応を打ち出しています。
今回の調査の中では、IDS/IPSのは導入されていますが、WAFはないパターンです。

XSERVERはIDS/IPS、WAFどれも導入されていません。
アプリケーションのセキュリティは
「Web公開領域におけるセキュリティの確保については基本的にはお客様側の責任で対応していただく必要がございます。」
という、まぁ、当然といえば当然のスタンスです。

WAFなどの機能を提供しないことで、高パフォーマンスなサーバーを提供しようということでしょうか。
ただ、WordPress向けのセキュリティ機能※3は提供しています。
また、サーバー全体の保護の意味から、IPアドレスの遮断などは都度実施されます。

一方、エックスサーバー株式会社が提供しているsixcoreという企業向けサービスではWAFなどのセキュリティ機能も提供しています。

そして私が利用しているvalueサーバー。
現在は何もセキュリティ機能を提供していませんが、WAFを提供する予定はあるとのことです。

今回の調査結果

表だけ見れば、この中ではWADAXとKAGOYAがIDS/IPSとWAFを導入していて比較的安心、と見えます。
他の企業向けサービスも含めればIDS/IPSとWAF双方を提供しているものや、有人監視の充実を謳っているサービスもあります。

• WebARENA

WAFは導入は比較的容易なようですが、正常なアクセスを誤検知としてはじいてしまうことも多く、各サービスの注意書きにも「アプリケーションの動作に問題が発生した場合はWAFを無効にしてください」などと書かれています。
不正アクセスと判断されたものを正常なアクセスとしてマークし、次回からは正常にアクセスできるようにメンテナンスしていくことは可能なのですが、一般的な中小企業/個人がそのようなことにコストと時間をかけることは非現実的でしょう。
CMSなどのアプリケーションの動作不具合についてサーバー会社に問い合わせをすると、「WAFを無効にして試してみてください」といった回答も多く、WAFは非常に容易に無効に設定されてしまいます。

その一方、IDS/IPSは検知性能はWAFに比べて低いといわれていますがその分、誤検知のリスクは少ないため、WAFを使えない場合もIDS/IPSの保護がある方が理想的と言えるでしょう。

また、どのサーバーを選択してもサイトのセキュリティの最終責任はサイト運用者が負うべきもので、サーバー会社が提供しているセキュリティ機能はちょっとした保険程度のものです。

最後は誰も責任を取ってはくれませんので、以前の記事、「あなたにもできる！WordPressの脆弱性や攻撃への対策」なども含めた対策が必要不可欠です。

記事中の記載に誤りなどございましたらご連絡ください。