サラリーマンのすらすらIT日記

IT関連を中心とした日々を綴ります。
--/--/--

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
2014/01/31

本気でWebサイトのセキュリティを考えると...

ITセキュリティのことを考えだすと、いくらでも考えることがあります。実際には費用対効果を考えて、どこかで落とし所を見つけて「これでよし」とすることになります。Webサイトの運営する上で、どこまで考えておけばいいかということ。私の得た結論は、「Web上にデータベースを持っていて、かつ利用者に安心して使っていただくには、自分でWeb環境を構築するのがベスト」というもの。これは、自前でハードウェアを持つ場合と、ハードウェアは専用のレンタルサーバ("さくらVPS"などの共用でないもの)を使う場合の両方がありますが、いずれにしてもソフトウェア環境は自分で設定します。なぜ共用レンタルサーバではダメなのか? その理由を以下で説明します。

考慮する点は、DBとSSL。

1.共用レンタルだとDBアクセスがそのサーバからのみ許可されている。

これはサーバ提供者からするとセキュリティを最も考慮していると思われます。他のサーバからのDBアクセスを許可すると、不正アクセスや高負荷アクセスへの対策が難しくなるからです。しかし問題はDBを触る環境をユーザに与えるためにGUIツール(例えばphpMyAdmin)をそのサーバにインストールされているケース。この手のツールは脆弱性が一般に知られていることが多く、サーバ提供者が適切なアップデートをしていない場合、脆弱性を狙った攻撃を受ける可能性が高くなります。多くのユーザが利用していることもあり、頻繁にアップデートすることが難しいため、古いまま放置されていることも多い。同様のことが、WordPressなどのCMSを使っている場合にもいえます。

phpMyAdminを狙った攻撃については、こちらのサイトが詳しい。

2.共用SSLは安価だが心配。専用SSLは高価なこともある。

SSLのメリットの一つは暗号化。もう一つのメリットはWebサイトのなりすましを防げる点。暗号化については、無線LAN(特に公衆Wifi)などでWebサイトを使用しない限り、普通はあまり考えなくてもいいのかもしれません。考えるべきなのは、なりすましの方。

高木浩光氏の日記に共用SSLサーバの危険性が理解されていないという記事があります(今はリンクが切れています)。これを読むと共用SSLの怖さがよくわかります。ということで専用SSLを検討することになるのですが、さくらインターネットでは安いプランで専用SSLを使えないので、専用SSLが使えるプランに変えざるを得ない。これが結構高い。これならちょっとがんばって勉強して、さくらVPSで運用した方が安いし、制約も少ないと思います。

どちらの選択肢にするか、現在検討中です。

スポンサーサイト

コメント

コメントの投稿

  • URL
  • コメント
  • パスワード
  • 秘密
  • 管理者にだけ表示を許可する

トラックバック

トラックバックURL:http://sookibizviz.blog81.fc2.com/tb.php/1822-377e37aa

■  カレンダー

07 | 2017/08 | 09
- - 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31 - -

■  プロフィール

sookibizviz

Author:sookibizviz
仕事の内容やソフトの紹介を交えながら、日々の悪戦苦闘を綴っていきます。

■  最新記事

■  最新コメント

■  最新トラックバック

■  月別アーカイブ

■  カテゴリ

未分類 (64)
BizViz (24)
IT (1119)
計量 (76)
環境 (26)
数学 (181)
ニュース (46)
本 (187)
音楽 (113)
囲碁 (5)
将棋 (26)
ブログ (14)
日記 (19)

■  FC2カウンター

■  検索フォーム

■  RSSリンクの表示

■  QRコード

QRコード
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。