カゴヤのサーバー研究室：VPSでやってみよう

VPSのセキュリティを保ち続けるポイントをわかりやすく解説します！

2022年06月01日 11時00分更新

文●西山一郎

※本記事はカゴヤ・ジャパンが提供する「カゴヤのサーバー研究室」に掲載された「VPSのセキュリティを保ち続けるポイントをわかりやすく解説します！」を再編集したものです。

　VPSを安心して継続的に利用するには、セキュリティについて理解し効率的な対策が必要です。残念ながら、利用開始時の設定だけでは不十分です。利用者にちょうど良いプランの選択から始まり、使い始めてからも稼働状況の点検が大切です。可能な限りリスクを減らしつつ、対策する時間を抑え本業に集中できる効果的な方法をまとめました。

概要

　VPSのセキュリティ対策は、初めて動かすときに「ちょっと設定すればそれで終わり」という訳ではありません。何もしなくても動作する場合がありますが、リスクを抱え込むことになります。そのためできる限り簡素化したルールのもと、効率良く管理や利用をするのが望ましいと考えます。以下3つの段階に分けて必要な考え方と対策を整理しています。

1. サーバー会社とプランの選定時
2. プラン申込み後の初期設定時
3. 利用中

　なおVPSのOSにはLinuxとWindowsの2種類があります。本記事ではLinuxの場合で説明をしています。

【VPSのセキュリティを向上する方法】（1）サーバー会社とプランの選定時

　日本国内だけでもVPSを提供している業者は多く、最適なプランを探し当てるのは大変です。広告などでよく目にする会社名や料金、基本性能に関心が向くのは仕方がないことです。そこで面倒ですが、ふだんから複数のサービスを試用し比較検討することが重要になります。それぞれの業者で、少しずつサービス内容が改善されている場合が多いからです。

　業者のセキュリティ対策は十分かどうかを確認するポイントは、以下の3つあると考えます。

｜比較や選択のポイント（a）自社でデータセンターを保有しサーバーの管理を行っているか

　VPSのサービスを提供している業者の中には、自社でデータセンターを保有せず他社のサーバーを利用しているところがあります。独自のサービスを付加するなど、利用者にとってのメリットは少なくありません。それでもサーバーを実際に管理している方が、そうでない場合に比べて各種のセキュリティを維持し、障害に強いと考えるのが自然です。やはり問題解決の膨大なノウハウを蓄積し、また直に問題に対応するため、利用者との連絡がより正確で早くなるためです。

｜比較や選択のポイント（b）サポート体制

　自由に途切れずに、かつ安全にVPSが利用できるよう、業者としてどのようなサービスを提供しているか調べる必要があります。例えば以下のようなサポート体制です。

・関連するヘルプページの充実度やわかりやすさ
・サポート窓口で対応可能な曜日や時間帯（土日祭や夜間の状況）
・サポート窓口の対応方法（メール、電話、テキストチャット、ビデオ通話など複数あるか）

｜比較や選択のポイント（c） VPSの管理画面

　VPSの利用開始時や機能の変更時など、業者の管理画面上で設定を行います。普段は使わないからこそ、その管理画面は簡素であるべきです。これで利用者が設定を間違う可能性を減らすことができます。セキュリティを維持するために、業者であらかじめ基本的な設定が済ませていることが前提です。

　実は、利用者にとって管理画面での操作時間はごくわずかです。大半の時間はWindows端末などから専用のアプリを使用して、VPSを遠隔操作します。その際に使われている技術は、SSHと呼ばれています。詳しくは、カゴヤのサーバー研究室では以下の記事で詳しく解説しています。

●SSHとは？仕組みとSSHサーバーの設定をわかりやすく解説します！

【VPSのセキュリティを向上する方法】（2）プラン申込み後の初期設定時

　おおまかな流れは以下の通りです。

（A）業者の管理画面上で必要な設定を行う
（B）遠隔操作で必要な設定をして、安全な方法でVPSに接続する
（C）セキュリティを向上するための設定をする（一例）

　検証にあたり以下のVPSを利用しました。（2022年2月時点）

｜（A）業者の管理画面上で必要な設定を行う

　遠隔よりSSHで安全に接続するためには、まずは鍵（公開鍵）を設定します。おおよその流れは以下の通りです。

・鍵（公開鍵）を作成する（鍵を持っている人のみがVPSにアクセスできるようにする）
・鍵（公開鍵）を利用者自身のPCにダウンロードし、安全な場所に保管する
・SSHで接続するたびに、鍵（公開鍵）のファイルを読み込むため、保管場所を忘れないようにする

　カゴヤ・ジャパンの管理画面の場合、「ログイン用認証キー」の作成部分が該当しています。下記の例では、「ログイン用認証キー_20210416045737」を選択した状態です。以前に作成した「ログイン用認証キー」も選択可能です。

　なおVPSの管理画面では、設定項目はセキュリティに関連しないこともあります。カゴヤ・ジャパンでは以下のページにまとめられています。

●マニュアル（KVM）（サポートページ）

｜（B）遠隔操作で必要な設定をして、安全な方法でVPSに接続する

　上記（A）で作成した「公開鍵」を専用アプリに設定することで、安全に接続可能です。利用者はWindowsやMac OSなどのクライアントから接続します。カゴヤ・ジャパンの場合は以下の手順で実施します。

●SSH接続の設定（サポートページ）

　今回はWindows用のアプリ「Tera Term」を使用しています。Tera Termのインストール方法や設定方法については、以下のページをご参照ください。

●Tera Term の設定（サポートページ）

｜（C）セキュリティを向上するための設定をする（一例）

★SSH での接続をより安全にする

　複数の方法がありますが、ここでは「ポート番号」の変更方法を説明します。遠隔操作のためVPSに接続する際に使われる「ポート番号」を、通常使われている番号より任意のものに変更します。これにより万一サーバーが狙われたとしても、不正な侵入から守る効果があります。ただ6万個以上ある「ポート番号」を機械的に全て検索されるなどの場合があり、絶対に安心というわけではありません。やはり他の対策と組み合わせることをおすすめします。

　さきほど用意したTera Term（Windowsの場合）を用いて、VPSに接続して以下のように設定を変更します。

【コマンド】
　　　vi /etc/ssh/sshd_config

【コマンド】（15行目あたり）
　　　Port 22156

※注：ポート番号は0～65535番まであり、すでに割り当てられている番号以外に変更することができます。上記は例として「22156」に変更した場合です。（デフォルトでは「22」になっています。）

　最後に上記の内容を反映させるため、サーバーの SSHシステムを再起動します。

【コマンド】
　　　systemctl restart sshd

★ファイアウォール

　幾つかの設定方法があります。ここでは「iptables」を使って設定をします。ひとつ前の項目にも出てきた「ポート」の開閉で制御します。使うポート番号のみを開け、他は閉めたままにします。たとえ面倒でも、必要なポート分を設定していきましょう。

　例えば「80」番のポート番号を開ける方法は以下の通りです。

【コマンド】
　　　iptables -A INPUT -p tcp --dport 80 -j ACCEPT
　　　iptables -A INPUT -p tcp --sport 80 -j ACCEPT

※注1：多くの場合2行分の設定をします。似ているようですが1文字異なります。（上の場合「d」と「s」の部分）
※注2：ポート番号で「80」番は、一般的なWebサイトで暗号化されていない場合に使われています。このように一部のポート番号は、あらかじめ用途が決められています。

　最後にVPSに設定を保存します。（Ubuntu 20.04 LTSの場合）