はじめに

Webサイトは,日常生活には欠かせないものになり,多くの人が利用者として日に一度は目にするものです。
今回は,運用管理側の目線で「Webサイト/サーバの運用管理」について紹介します。部局や研究室等のWebサイト/サーバの担当者・管理者・責任者などになっている方は是非ご一読ください。

Webサイト/サーバ運用管理チェックリスト

Webサイト/サーバは,運用や管理を怠るとサイバー攻撃を受ける確率が格段に高くなります。Webサイト/サーバを運用管理する場合は,必ず運用管理責任が発生しますので,以下のチェックリストを参考に,適切に運用管理を行ってください。

特に,学外に公開するまたは重要な情報を扱うWebサイト/サーバを運用管理する場合は,必ずチェックリストにより,セキュリティ対策に漏れがないか確認してください。

(参考)Webサイト/サーバ運用管理チェックリスト

WebサイトとWebサーバ

Webサーバは,OS〜サーバソフトウェア〜Webアプリケーションフレームワーク〜Webアプリケーションなどの様々なソフトウェアで構成されています。そして,WebサイトはそのWebサーバの上で動作しています。

Webサイトが動作する環境の概念図(IPA)

安全にWebサイトを運用するためには,安全な運用管理が行われているWebサーバ上でWebサイトを適切に運用する必要があります。

自身が運用しているWebサイトは。。。

  • どこにあるサーバで動作していますか?
  • 誰が管理しているサーバで動作していますか?
  • どのように管理されているサーバで動作していますか?

管理と責任分界点

Webサイトを運用していても,全ての方がWebサーバの知識を有しているわけではありません。
多くの方が「Webサイトの運用」と「Webサーバの管理」を無意識的に切り分けており,管理を保守業者へ業務委託する等して運用していることが多いかと思います。しかし,「サーバの運用管理を保守業者へ業務委託すること」と「丸投げ」することでは意味が異なります。また,クラウドサービス等を利用しているからと言って,サーバの運用管理の全てから解放されるわけではありません。

保守業者へ業務委託しても,クラウドサービス等を利用しても,Webサイトの最終的な運用管理責任はあくまでご自身(担当者や管理者)になりますので,「誰にどこまでの責任があるか(責任分界点)」を明確にした上で,適切な運用管理をお願いします。

保守業者へ業務委託する場合

サーバの運用管理を業務委託する場合は,必ず業務委託に関する仕様書を基に業務委託契約が結ばれます。
この場合,予め「業務委託内容の設計=責任分界点の設計」が必要になります。どのような契約内容(業務委託内容)かが重要であって,業務委託の事実だけでは免責の理由になりませんので,十分ご留意願います。

クラウドサービス等を利用する場合

クラウドサービス等を利用する場合,各サービスの利用規約等を遵守した上で契約を結びます。
この場合,サーバの運用管理の大半がクラウドサービス運用会社に委託されることが一般的ですが,「サーバの運用管理の全てから解放されるわけではない」点に留意してください。パスワードの運用管理や,ログイン履歴の確認,コンテンツの運用管理などはあくまで契約者の責任になりますので,利用規約の内容を精査し,責任分界点をしっかり把握した上でサービスを利用するよう十分ご留意願います。

自身で運用管理する場合

サーバの運用管理には,様々な知識や技術が必要になるだけでなく,人的コスト(ご自身の労力)も継続的に必要となります。

運用管理のチェックポイント

運用管理体制

Webサイト全体の情報セキュリティ対策

構築(計画)の段階では予め次の事項について対策の検討を行ってください
運用の段階では定期的に対策の見直しを行ってください

  • 情報セキュリティ要件を明確にする。
    (アクセス制御・認証,データ暗号化,セキュリティアップデート,侵入・攻撃対策,情報漏洩対策など)
  • 運用とメンテナンスの方法を明確にする。
    (誰が,いつ,何を,どのように実施するのかなど)

サポートライフサイクルを考慮した運用計画

サーバ本体,OS,サーバソフトウェア,ウェブアプリケーションなどには,サポート期間(寿命)が存在します。
サポート期間が終了すると,保守部品や修正プログラムの提供が受けられず,安全性が確保できませんので,サポート期間内の製品で運用を継続することが重要です。
サポート期間は,販売元や配布元の公式サイト等で情報が公開されています。

Webサイトの稼働だけでなく,サーバ本体,OS,サーバソフトウェア,ウェブアプリケーションなどのサポート期間(サポートライフサイクル)を考慮し,ウェブサイトの運営期間(システムの更新計画)まで設定した全体計画を立てることが重要です。

なお,OSS(オープンソースソフトウェア)は,サポートライフサイクルが明記されていない場合があります。利用者の減少やOSSコミュニティの解散,組織の買収によるサポート団体の消滅など予期せぬサポート切れに備え,採用や運用を検討してください。

サポートライフサイクルを考慮した運用計画の概念図(IPA)

運用形態と設置場所

Webサイトは自組織内にサーバを設置するのが一般的でしたが,今では,レンタルサーバやクラウドサービスといった第三者が提供しているサービスを活用してWebサイトを運用するケースも珍しくありません。しかし,選択したサーバの運用形態によって,事業者とのメンテナンス責任の範囲が異なることに十分留意してください。

Webサーバに格納する情報(公開する情報等)や運用管理体制,必要な情報セキュリティ用件を満たしているかなどを総合的に判断し,適切な運用形態を選択することが重要です。

管理対象項目別の管理責任の例(IPA)

運用管理体制の策定と確認

Webサイトは複数のサーバソフトウェアやウェブアプリケーションで構成されており,不具合や脆弱性が発見された場合は速やかにアップデートが必要になります。ほかにも,ネットワークのトラブルやサイバー攻撃の発生,物理サーバを利用している場合にはハードウェア等にトラブルが発生する可能性も考えられます。以上のことに留意して,Webサイトの運用管理体制の構築や構成確認リスト等の策定を行い,定期的に見直すことで,緊急事態発生時にも対応を円滑に行うことが可能になります。

  • Webサイトの運用には常にメンテナンスが求められることに留意し,日頃からトラブルが発生した場合を想定した運用管理体制を構築する。
  • Webサイトを構成するシステムの概念図や,バージョン情報,サポートの有無など使用しているソフトウェア等の情報が確認できるようにリストを作成し,定期的に更新する。
システムの概念図とチェック体勢のイメージ(IPA)

情報セキュリティレベルの維持管理

Webサイトの情報セキュリティレベルは,運用開始から時間が経過するにつれ,低下していくことに留意してください。
運用開始時点では確認されていなかった攻撃手法や脆弱性が発見されるため,通常のWebサイトの運用(コンテンツの更新等)作業に加えて,Webサイト全体の情報セキュリティレベルを維持するための取り組みが必要不可欠です。

  • ソフトウェア開発者の公式ウェブページの定期的な閲覧等の情報収集活動。
  • 脆弱性情報を収集している機関(JVNやIPAなど)の活用。
  • 情報セキュリティの専門家による発信情報の活用。
  • 定期的なアップデート作業や脆弱性診断の実施。

本サイトでもIPAやJVNが発信する脆弱性情報を自動的に収集し,サイトTOP下部にリンクを掲載しています。定期的に確認し,該当する脆弱性情報等の情報収集においてご活用ください。

技術的対策

管理者向け

セキュリティアップデートの適用

サーバOSがメーカー(もしくは開発者グループ)の保守期間内であれば,定期的にセキュリティアップデート(セキュリティ修正プログラム)が提供されます。サーバOSの脆弱性を放置すると,サイバー犯罪に合う可能性が高くなりますので,定期的に確認を行い,常に新バージョンを利用するよう心がけてください。

【セキュリティアップデートが必要な項目】

  • サーバOS
  • サーバソフトウェア(Apache,PHP等)
  • ウェブアプリケーション(WordPress等)
不要なサービスの停止及び不要なソフトウェア/アプリケーションの削除

運用にあたって不要なサービスやアプリケーションは,セキュリティアップデートの手間が増えるだけでなく,脆弱性が発見された場合に多大なセキュリティリスクになります。サーバ運用は「ミニマム構成での運用」が原則ですので,必要なものを必要なだけ導入して,適切に運用管理してください

プロセスの稼働状況や導入されているパッケージの確認を行い,不必要なものがあれば停止/削除してください。

稼働プロセス確認画面のサンプル
各種ログの確認と適切な管理

ログの運用管理は,サーバ管理者には必要不可欠なものです。ログは確認をするだけでなく,不測の事態に備えて一定期間(1年程度)保存しておくことを推奨します。

webサーバーのログファイル(サンプル)
その他適切なセキュリティ対策の実施

サーバは用途によって様々な運用や設定が存在します。適切な情報セキュリティを担保するために,セキュリティレベルを低下させる可能性のある運用や設定等の洗い出しを行い,適宜対策を実施してください。

【セキュリティレベルを低下させる可能性のある運用や設定の例】

  • 不必要なユーザの存在
  • ユーザへの不適切な権限付与
  • 不適切なアクセス制限
  • メーカーサポート対象外のOSやアプリケーション等の運用
  • 不測の事態が発生した際の体制不備

Webサイト運用担当者向け

認証情報(ユーザID/パスワード)の適切な運用管理

サーバへアクセスする際に用いる認証情報は,適切な運用管理を行ってください。特に,認証情報の使い回しや安易な文字列の利用,他人に推測されやすい文字列の利用等は絶対にやめてください。

適切なアクセス権の設定と確認

ユーザが必要以上の情報等にアクセスできると,情報の漏えいや改ざんが発生する確率が高くなります。ユーザには必要なアクセス権のみを付与し,必要以上の情報等にアクセスできない運用を行ってください。

アクセス権設定画面のサンプル
ファイルの不適切な公開等,運用上の不備のチェック

不適切な情報公開による情報漏えい事案が後を絶ちません。Webサイトにアップロードしたコンテンツは,不必要な情報が公開されていないか,改ざんされた形跡がないか等の確認を定期的に行ってください。

Webサイト更新用端末のセキュリティ対策の実施

標的型メール攻撃など近年のサイバー攻撃は,リテラシーの低いユーザが利用している端末(PCやスマホ)が狙われています。セキュリティ対策が講じられている可能性が高いサーバを攻撃するよりも,低コストで攻撃が成功する確率が高いため,ユーザ端末を踏み台にしてサーバから情報を搾取する攻撃が行われます。端末への一般的な情報セキュリティ対策を講じた上で,Webサイトが更新できる端末(端末のIPアドレス等)を限定し,Webサイト更新専用端末にするなどの対策を行ってください

CMSの運用管理について

CMS(WordPress等)は,一般的なWebサイトの運用管理とは対応方法が異なる点が存在します。上記の内容を踏まえた上で,以下の項目をご確認ください。

CMSにおける一般的なセキュリティ対策について