カゴヤのサーバー研究室

カゴヤのサーバー研究室:VPSでやってみよう

VPSのセキュリティを保ち続けるポイントをわかりやすく解説します!

文●西山一郎

  • この記事をはてなブックマークに追加
  • 本文印刷
※本記事はカゴヤ・ジャパンが提供する「カゴヤのサーバー研究室」に掲載された「VPSのセキュリティを保ち続けるポイントをわかりやすく解説します!」を再編集したものです。

 VPSを安心して継続的に利用するには、セキュリティについて理解し効率的な対策が必要です。残念ながら、利用開始時の設定だけでは不十分です。利用者にちょうど良いプランの選択から始まり、使い始めてからも稼働状況の点検が大切です。可能な限りリスクを減らしつつ、対策する時間を抑え本業に集中できる効果的な方法をまとめました。

概要

 VPSのセキュリティ対策は、初めて動かすときに「ちょっと設定すればそれで終わり」という訳ではありません。何もしなくても動作する場合がありますが、リスクを抱え込むことになります。そのためできる限り簡素化したルールのもと、効率良く管理や利用をするのが望ましいと考えます。以下3つの段階に分けて必要な考え方と対策を整理しています。

1. サーバー会社とプランの選定時
2. プラン申込み後の初期設定時
3. 利用中

 なおVPSのOSにはLinuxとWindowsの2種類があります。本記事ではLinuxの場合で説明をしています。

【VPSのセキュリティを向上する方法】(1) サーバー会社とプランの選定時

 日本国内だけでもVPSを提供している業者は多く、最適なプランを探し当てるのは大変です。広告などでよく目にする会社名や料金、基本性能に関心が向くのは仕方がないことです。そこで面倒ですが、ふだんから複数のサービスを試用し比較検討することが重要になります。それぞれの業者で、少しずつサービス内容が改善されている場合が多いからです。

 業者のセキュリティ対策は十分かどうかを確認するポイントは、以下の3つあると考えます。

|比較や選択のポイント(a) 自社でデータセンターを保有しサーバーの管理を行っているか

 VPSのサービスを提供している業者の中には、自社でデータセンターを保有せず他社のサーバーを利用しているところがあります。独自のサービスを付加するなど、利用者にとってのメリットは少なくありません。それでもサーバーを実際に管理している方が、そうでない場合に比べて各種のセキュリティを維持し、障害に強いと考えるのが自然です。やはり問題解決の膨大なノウハウを蓄積し、また直に問題に対応するため、利用者との連絡がより正確で早くなるためです。

|比較や選択のポイント(b) サポート体制

 自由に途切れずに、かつ安全にVPSが利用できるよう、業者としてどのようなサービスを提供しているか調べる必要があります。例えば以下のようなサポート体制です。

・関連するヘルプページの充実度やわかりやすさ
・サポート窓口で対応可能な曜日や時間帯(土日祭や夜間の状況)
・サポート窓口の対応方法(メール、電話、テキストチャット、ビデオ通話など複数あるか)

|比較や選択のポイント(c) VPSの管理画面

 VPSの利用開始時や機能の変更時など、業者の管理画面上で設定を行います。普段は使わないからこそ、その管理画面は簡素であるべきです。これで利用者が設定を間違う可能性を減らすことができます。セキュリティを維持するために、業者であらかじめ基本的な設定が済ませていることが前提です。

 実は、利用者にとって管理画面での操作時間はごくわずかです。大半の時間はWindows端末などから専用のアプリを使用して、VPSを遠隔操作します。その際に使われている技術は、SSHと呼ばれています。詳しくは、カゴヤのサーバー研究室では以下の記事で詳しく解説しています。

●SSHとは?仕組みとSSHサーバーの設定をわかりやすく解説します!

【VPSのセキュリティを向上する方法】(2) プラン申込み後の初期設定時

 おおまかな流れは以下の通りです。

(A) 業者の管理画面上で必要な設定を行う
(B) 遠隔操作で必要な設定をして、安全な方法でVPSに接続する
(C) セキュリティを向上するための設定をする(一例)

 検証にあたり以下のVPSを利用しました。(2022年2月時点)

|(A)業者の管理画面上で必要な設定を行う

 遠隔よりSSHで安全に接続するためには、まずは鍵(公開鍵)を設定します。おおよその流れは以下の通りです。

・鍵(公開鍵)を作成する(鍵を持っている人のみがVPSにアクセスできるようにする)
・鍵(公開鍵)を利用者自身のPCにダウンロードし、安全な場所に保管する
・SSHで接続するたびに、鍵(公開鍵)のファイルを読み込むため、保管場所を忘れないようにする

 カゴヤ・ジャパンの管理画面の場合、「ログイン用認証キー」の作成部分が該当しています。下記の例では、「ログイン用認証キー_20210416045737」を選択した状態です。以前に作成した「ログイン用認証キー」も選択可能です。

 なおVPSの管理画面では、設定項目はセキュリティに関連しないこともあります。カゴヤ・ジャパンでは以下のページにまとめられています。

●マニュアル(KVM)(サポートページ)

|(B)遠隔操作で必要な設定をして、安全な方法でVPSに接続する

 上記(A)で作成した「公開鍵」を専用アプリに設定することで、安全に接続可能です。利用者はWindowsやMac OSなどのクライアントから接続します。カゴヤ・ジャパンの場合は以下の手順で実施します。

●SSH接続の設定(サポートページ)

 今回はWindows用のアプリ「Tera Term」を使用しています。Tera Termのインストール方法や設定方法については、以下のページをご参照ください。

●Tera Term の設定(サポートページ)

|(C)セキュリティを向上するための設定をする(一例)

★SSH での接続をより安全にする

 複数の方法がありますが、ここでは「ポート番号」の変更方法を説明します。遠隔操作のためVPSに接続する際に使われる「ポート番号」を、通常使われている番号より任意のものに変更します。これにより万一サーバーが狙われたとしても、不正な侵入から守る効果があります。ただ6万個以上ある「ポート番号」を機械的に全て検索されるなどの場合があり、絶対に安心というわけではありません。やはり他の対策と組み合わせることをおすすめします。

 さきほど用意したTera Term(Windowsの場合)を用いて、VPSに接続して以下のように設定を変更します。

【コマンド】
   vi /etc/ssh/sshd_config

【コマンド】(15行目あたり)
   Port 22156

※注:ポート番号は0~65535番まであり、すでに割り当てられている番号以外に変更することができます。上記は例として「22156」に変更した場合です。(デフォルトでは「22」になっています。)
 

 最後に上記の内容を反映させるため、サーバーの SSHシステムを再起動します。

【コマンド】
   systemctl restart sshd

★ファイアウォール

 幾つかの設定方法があります。ここでは「iptables」を使って設定をします。ひとつ前の項目にも出てきた「ポート」の開閉で制御します。使うポート番号のみを開け、他は閉めたままにします。たとえ面倒でも、必要なポート分を設定していきましょう。

 例えば「80」番のポート番号を開ける方法は以下の通りです。

【コマンド】
   iptables -A INPUT -p tcp --dport 80 -j ACCEPT
   iptables -A INPUT -p tcp --sport 80 -j ACCEPT

※注1:多くの場合2行分の設定をします。似ているようですが1文字異なります。(上の場合「d」と「s」の部分)
※注2:ポート番号で「80」番は、一般的なWebサイトで暗号化されていない場合に使われています。このように一部のポート番号は、あらかじめ用途が決められています。
 

 最後にVPSに設定を保存します。(Ubuntu 20.04 LTSの場合)

【コマンド】
   apt install iptables-persistent

※注:この保存作業(1回のみ実施)により、VPSを再起動してもiptablesの設定内容は消えません。この保存作業をしないと再起動後に設定内容が消えるため、再度設定が必要になります。
 

 iptablesについて、詳細は以下のカゴヤ・ジャパンのマニュアルページをご確認ください。

●iptables の設定(サポートページ)

★システムの最新化

 最新化するためのリストを新しく(update)してから、システムの最新化(upgrade)を行います。システムの最新化にはある程度の時間がかかります。

【コマンド】
   apt update
   apt upgrade

【VPSのセキュリティを向上する方法】(3) 利用中

 VPSを使い始めてからも、セキュリティを維持するためにやることがあります。本業で忙しく、ついセキュリティの対応が後回しになりがちです。そうならないよう以下の基本的な手順を用意し、要領良く点検作業をすることをおすすめします。

・実施内容と方法を決める ・決めたことをそのまま実施し、異常がないかを定期的に点検する ・問題があれば対応する ・方法自体に改善することがあれば直す

 具体的な実施方法は、VPSを利用して進める事業の規模や扱うデータの種類によって異なります。セキュリティを維持する専用サービスの利用も検討すべきですが、まずは自組織でできる点検方法を試すことも有効と考えます。カゴヤのサーバー研究室では、以下の記事で点検(診断)方法を解説しています。

●【VPS活用】自分でできるセキュリティ診断「どんな兆候も見逃さない!」

 また用語は難しく感じますが、事業により「監査ログ」の分析まで実施した方がいい場合があります。詳しくは以下の記事が参考になります。

●監査ログとは?理解すればこんなに安心!

セキュリティを維持するための考え方(まとめ)

 たとえ簡易的なものでも、セキュリティの向上を目的として実施したことを記録し、活用することは重要です。また日々点検することを決め、定期的な対策をすることは何より大切と考えます。

 VPSのセキュリティは本業とは関係がなく、商売につながらないから無料や格安の料金でできることで十分という考え方もあるでしょう。このコストの考え方は、結果として高い買い物になることもあります。そのため可能な限り目に見えない費用(人件費や広報など)まで予想し、その影響で判断することが理想と考えます。

 カゴヤ・ジャパン提供のVPSプランでは、セキュリティ維持のため以下を提供しています。

・自社データセンターの高速回線
・充実したサポート体制や、シンプルな操作性
・各種のオプション
・OSとアプリのテンプレート

 詳細は以下の公式ページをご覧のうえ、他社と比較し利用をご検討ください。

●KAGOYA CLOUD VPS

(提供:カゴヤ・ジャパン)

過去記事アーカイブ

2023年
01月
02月
03月
04月
05月
2022年
02月
06月
07月
08月
09月
10月
11月
12月
2021年
06月
08月
10月
11月
12月
2020年
10月