銀行にお金を貯金していますか? お金を引きだすにはATMを利用しますよね? さて、質問です。
銀行に預けたお金は誰が守るのでしょう?
当然、銀行は守る努力を最大限にするでしょう。確かに銀行は自社システムのセキュリティレベル向上のために莫大な費用をかけています。でも銀行だけ頑張れば巷で聞くような不正出金を防げるでしょうか。単に銀行カードが盗まれて暗証番号が安易な番号だったかもしれないし、昨今巧妙な振り込め詐欺の話をききますよね。あなたのお金を守るのは、銀行側の当たり前の防御も当然必要ですが、あなた自身が何に対して注意すべきかを理解することが重要になります。
レベルは違えどもPleskも同様です。インターネット上に位置するメールやWebコンテンツも、あなた、会社にとって確実に重要なデータでしょう。見えない敵からあなたならどう守りますか?
これから2回に分けて、Pleskのセキュリティ向上について話をします。
1.誰が何を守るの? - 責任分岐点
先ほどの銀行の話では、ユーザ側と銀行側の守備範囲はなんとなく理解できたでしょう。ではクラウド上に借りたPleskではどうでしょうか。利用者側は、ユーザ名、パスワードを漏らさない、推測されやすいパスワードにしないといった程度の考慮で十分でしょうか。
下記の項目それぞれはサービス提供者がすべてセキュリティを担保してくれるでしょうか?
- サーバに接続するクライアントマシンとFTPクライアントアプリケーション
- ご自分で作成されたWebコンテンツ
- Plesk
- ウェブ、メールなどの各種サービスアプリケーション
- Linux、Windows等のサーバOS
残念ながらNOです。少なくともあなたの手元にあるPC環境のセキュリティは確実にあなたの守備範囲になりますが、それ以外の線引きはご契約中のサービスの契約に依存します。詳細はサービスを提供するクラウド、サービス事業者に確認をしてください。
"サービス事業者がすべて守ってくれるはずだ"と思っていたら、すべてご自身で管理しなければならない…なんてことになるかもしれません。ご自分の管理範囲を正確に理解することからあなたのデータを守る第一歩が始まります。
2.最新のソフトウェアを使おう
まずやるべきことはセキュリティ上問題のあるプログラムの利用を止めましょう。Pleskのアップデートに限らず、あなたが管理しなければならない範囲のすべてのソフトウェアにおいて最新版へのアップデート、サポートの切れているソフトウェアの削除を実施しましょう。Pleskは所詮リモコンであり、本体側のOS、各種サービス、そして、お手元のPC、各種アプリケーションのアップデートも忘れないでください。攻撃者はあらゆる手口を使ってあなたのデータの不正入手、改ざんを24時間365日試みています。
さて、最新版Parallels Plesk12 for Linuxでは2015年2月の1カ月間だけで3回のアップデートが提供され、多くのセキュリティ上の改善、バグ修正パッチが都度リリースされております。
サービス事業者側がアップデートを管理しているのであれば言うことはありません。もしPleskにログインして次の部分に最新バージョン番号が表示されていない場合、アップデートを実施しましょう。
特に設定を変えていなければ、Pleskは毎日自動でアップデートを試みます。この機能が動いていないと思う場合、マニュアルに従ってアップデートを適用ください。
もし自動アップデートが適用されていないのであれば、次の設定のチェックを推奨します。
今回はインターネット上でセキュリティを守るための基本についての話がほとんどでしたね。実際のところ、ホームページが改ざんされた、不正メール送信が行われた等の多くの理由は、Pleskの脆弱性とは関係なく、ユーザ側の不注意、準備不足によって発生しております。「Pleskの運用は本来の業務じゃないから」という理由からこうした準備ができない場合はサービス事業者にサポートを求めるのも必要でしょう。
次回の記事では、Pleskに特化したセキュリティ改善をする各種機能を紹介します。
*本記事はパラレルス株式会社からいただいた寄稿記事です。
軍事とIT 第570回 Special(2)BAEシステムズのGPS耐妨害システムIGAS
