VPS だから出来る、セキュリティー対策

 2014/02/13(木) 00:00  

現在ご覧頂いている、4CREATOR JAPAN サイトは、米国の VPS(バーチャル・プライベート・サーバ)から配信されており、複数のウェブサイトを稼働させています。

VPS についての詳細についてはここでは割愛しますが、Joomla! をビジネス用に使う場合のサーバ選択としてお勧めしております。
共有サーバでも、Joomla! を使ったウェブサイトを構築することは出来るのですが、サーバの機能を必要に応じて設定することは難しいため、専用サーバ並みに自由度の高い VPS が良いのです。

特に今回のブログ記事でお伝えしたい「セキュリティーを高める」というテーマにおいては、その自由度はとても重要になります。

Joomla! や WordPress というものは、ウェブ上で動くアプリケーションであり、PHP という言語で書かれたソースを中心に構成されています。データベースに情報を格納し、プログラムがその情報を必要に応じて取り出し、ページを生成する、という事を行なっています。

PHP は、php.ini というファイルで初期設定が行なわれますが、この php.ini を適切に設定しないと、セキュリティーに弱い状態も生まれます。

共有サーバの多くは、この php.ini の設定はさせてくれないか、制限を設けた中での設定しかさせてくれません。また、共有サーバであるが故に、多くの方が求める機能については、こちらの都合に関係なく Enable (ON) 状態になっていますし、こちらが求める機能が Disable (OFF) になっていることもあります。

また、単純な ON/OFF だけでなく、アップロードするファイル・サイズを設定したり、パスの設定(必要なファイルの場所の指定)などを行なったりすることもありますが、こういった事は、多くの共有サーバでは他のユーザーに影響が出るので行なえません。

その点、VPS は自由度があります。必要な機能を確実に設定していくことが出来ます(自己責任)。
自己責任を負いながらも、しっかり必要な設定を行うことが出来れば、強固なサーバ構築が可能であり、それは安定したウェブサイト運営につながるのです。

とはいえ、一口にサーバの設定と言っても、その範囲は多岐に渡り、とても一介のサイト制作者の範疇だけでは心もとないのも事実です。ですから、サーバ選択を行なう場合にはホスティング会社のサポート体制は重要なチェック・ポイントです。

しかし、いくらサーバ選択が良くても Joomla! やエクステンションを古いまま放置してしまえば、セキュリティー問題は起こり得ます。
アップデートは、機能が向上する目的だけで行なわれるものではなく、バグを解決したり、新たなセキュリティーの脅威に対応すべく改良を加える場合もあるので、基本的にはアップデートに追随していく必要があります。

PHP で作られたウェブ・アプリケーションの「脆弱性」を狙ったハッキングやスパムは、プログラム化された状態でネットの中を徘徊しています。いつ標的にされてもおかしくないのです。

4CREATOR JAPAN が手がけるウェブサイトには、公開するウェブサイト外にセキュリティー・プログラムを設けています。今まで、1つのウェブサイトに対し1つのセキュリティー・プログラムを設置、という方式を採用しておりましたが、この方式ですと、セキュリティー・プログラムのバージョンアップを忘れてしまうという、ヒューマン・エラーのリスクがありました。サイトが少ない場合は大丈夫ですが、サイトが増えるとケアしきれなくなる恐れがあるのです。

そこでこのほど、現在ご覧いただいている当サイトを配信しているサーバにおいて、ウェブサイトに対してではなく、サーバに対してセキュリティー・プログラムを設置する、という事を行ないました。
これは VPS だから出来ることなのですが、正直なところ、サーバに対してプログラムを設置するのは、過去マニュアルを見て挫折していたのです(苦笑)。見るからに専門的で難しそうに思えたからです。

サーバに、4CREATOR JAPAN で採用しているセキュリティー・プログラムを設置する場合、SSH という方法でサーバにアクセスしなくてはなりません。
普段、Mac や Windows では、アイコンをクリックする操作を行なっていますが、あれは人間が操作しやすいように考案された GUI と呼ばれる技術が介在していることで実現しています。ところが SSH では文字情報だけの画面で操作しなくてはなりません。これぞコンピュータ、という画面です(笑)。

ssh console
- SSH 画面のサンプル: Wsmx-WIKI より引用 -

SSH でサーバに接続するには、「鍵」が必要です。
サーバと自分が操作するローカル・コンピュータだけが知る、いわば『パスワード的役割をするソース』を双方が保有していないと接続出来ないようにすることで安全性を保つのです。

普段から SSH に馴染んでいる方には当たり前の話でも、サイト制作をしている人間にはとても難しく映るものです。「これでイケルはずなのになぁ」と随分悩んでうまくいかず、サポートに連絡すると、不正アクセスと間違われてシステムにブロックされていたよ、なんていう笑えない体験もしました。

SSH での接続が上手くいくようになってからも、慣れない『コマンド』と呼ばれる文字列を打込んで操作するので大変です。いかに普段 GUI で助けられているか痛感します。

色々悩みながらも2日かけて、サーバに対しセキュリティー・プログラムを設置する、という目標を達成しました!(出来た後で考えると「何で2日もかかったんだろう?」と思いますが、未経験の分野はそういうものですね。)

これにより、ひとつのセキュリティー・プログラムで、VPS 内の全ウェブサイトに対しセキュリティーが利くという状態となり、一元管理出来るという最大メリットを得ることが出来たのです。

結果、今まで個別に設置していたセキュリティー・プログラムが必要なくなったので、サーバ全体に対するデータ量(ファイル数/データベース数)がグっと減り、サーバ・レスポンスも心なしか良くなった気がします(気のせい?/笑)。

ここ数日、試行錯誤を繰り返しながらも、知識と経験値が相当増えました!
4CREATOR JAPAN は、Joomla! による「ウェブサイト制作」だけでなく、「サーバ選定」から「ウェブサイトの企画/設計」、安定運用のための「セキュリティー対策」等々、一括ソリューションをお届けしており、その中身も日々進化しております。

表面的な価格に現れない「安心」を今後も追求していきます!

最終修正日 2015/08/05(水) 16:26
初めてのご利用ですか? ご登録はこちら!

ログイン