企業サイトや商用サイトをホスティングサービスで運用する際、セキュリティ対策は必ず意識しておかないといけません。
ホスティングサービスはあくまでもWebの領域を借りているだけです。
サイトの改ざんや情報の漏えいが発生した場合、ホスティングサービスとしては保証してくれないことがほとんどですので自己ですべての責任を負わないといけません。
今回はInfinitoPLUSを利用する上で実施すべき内容をまとめてみます。
FTPユーザを制限する
コンテンツをアップロードするとき等に必要になってきますが使用していない時は無効にしましょう。
- 管理画面へログインし [ウェブサイト] → [概要] 画面で右下の 「編集」ボタンを押します。
- FTPの設定の項目の「FTPサポート」のチェックをはずして「送信」ボタンを押します。
- FTPを使用するときは「FTPサポート」のチェックを入れ「送信」ボタンを押します。
- パスワードを変更するときは「FTPサポート」のチェックを入れ新しいパスワードを入力し「送信」ボタンを押します。
ファイルのアクセス権限を制限する
- 管理画面へログインし [ウェブサイト] → [ファイルマネージャー] へ移動し「ファイルマネージャーを開く」押します。
- アクセス権を変更したい各ファイルやディレクトリの右端の鍵マークを押します。
- 必要最低限の権限を設定し「OK」ボタンを押します。
例)Anonymous WebユーザーからのPHPファイルへのアクセスは読み取りのみ許可する
※FFFTPなどのFTPクライアントソフトからは権限の変更はできないので注意が必要です。
WebAlertを利用する
InfinitoPLUSにはWebAlertというマルウェア感染検知・通知のサービスがあります。
現在稼働しているWebサイトはぜひチェックしましょう。
1回のみのクイックプランは無料で診断ができます。
WebAlertの詳細情報
http://home.isle.ne.jp/service/webalert/
利用規約
http://home.isle.ne.jp/order/pdf/n/infinitoPLUS_agreement.pdf
==
今回のGumblar騒動ですが実際InfinitoPLUSサポートに問い合わせをしました。
利用者としてできるセキュリティ対策は上述した内容とクライアントPCのウィルスチェックだそうです。
サーバ側ではFirewall、WAF、IDSなどは導入していないそうなので、外部からの攻撃はすべてコンテンツ側で防御しなくてはいけません。
タグ: Security
