こんにちは、ニフティクラウドテクニカルサポート担当です。
今回は、クラウドのセキュリティ対策について、ブログに書きたいと思います。
はじめに
クラウドのセキュリティ対策と聞いて、どのようなものを想像されるでしょうか?
サーバーのセキュリティ対策であれば脆弱性をついてくるので、パッチを適用したり、ファイアウォールでアクセス制限をしたりといったことが行われると思います。
もちろんそれらも必要なことですが、様々な脅威がある中で今回はフィッシングについて取り上げたいと思います。
ニフティクラウドのコントロールパネルはサーバーの追加や削除、ネットワークの変更などいろいろな機能を有しており、容易にシステム構築が可能です。
そのような重要なコントロールパネルが乗っ取られたらどうなるでしょうか。悪意を持った人が、サーバーの大量設置や削除など、不正利用を行うかもしれません。知らないうちに不正利用から乗っ取られた被害者から加害者の立場になるかもしれないのです。
そのようなことを防ぐために、コントロールパネルでは『IP許可制限』や『パターン認証』といった機能を保有しており、これらを活用して対策を立てていくことが重要となります。
それでは、順を追ってみてみましょう。
何が問題なの?
以前から、インターネット利用者向けにフィッシングが行われています。ここで改めてひとことで説明すると、フィッシングとは「正規のWebサイトを装って、アカウントのIDやパスワード、個人情報を取得しようとする詐欺」のことです。
JPCERT/CCの『インシデント報告対応四半期レポート(公開日:2014-10-09)』によると、フィッシングは減少傾向にはあるものの、引き続き注意は必要です。
このレポートでは、全インシデントの中で、フィッシングが9.4%を占めています。
フィッシングにより、一般的には以下のような被害が想定されます。
- クレジットカード情報の不正利用
- インターネットバンキングにおける不正出金
- インターネットオークションにおけるなりすまし
- 個人情報の不正売買
対策、どうすればいいの?
では、フィッシングに対してどのように対策すればよいのでしょうか?
一般的な対策としては、『ニフティ伊藤求のセキュリティ・スコープ 第14回 日本国内向けフィッシングに注意』に記載の以下の方法を実施することが重要です。
- 一呼吸置いてからクリック
- ドメインの確認方法
- 同じID・パスワードを他のサイトで使い回ししない
- 最新のブラウザー、最新のアンチウイルスソフトを使う
また、サービス事業者の対策として、「フィッシング対策ガイドライン」が公開されています。その中で、『サービス事業者におけるフィッシング詐欺対策』として39の要件が定められています。39項目全てを満たすことが理想ですが、現実的には費用と効果のバランスを見ながら対策を行っていくことになります。
ニフティクラウドでの対策は?
ニフティクラウドではセキュリティ向上の一環として、コントロールパネルに「IP許可制限」や「パターン認証」の機能があります。
『IP許可制限』は、コントロールパネルへのアクセスについて、特定のホストやIPアドレスからのアクセスのみを許可する機能です。許可したIPアドレス以外からのアクセスを制限します。例えば、会社からコントロールパネルへアクセスする元のIPアドレスが決まっている場合には、そのIPアドレスを登録することにより、コントロールパネルへのアクセスを会社のみに限定できます。この機能を使うことで、コントロールパネルへの余計なアクセスを制限することが可能になります。
『パターン認証』は、コントロールパネルへログインする際に、乱数表の数字位置や順番をパスワードとして用いる認証方式のことです。@nifty IDとは別にパターン認証を利用することで、セキュリティの強化を実現できます。
この機能を使うことで、毎回異なる数字の入力で安全性を高めることができ、なりすまし被害防止に役立ちます。
これらの機能は、先に記載している『サービス事業者におけるフィッシング詐欺対策』の要件の中に当てはまります。
●IP許可制限が満たしている要件
1.要件18 正規Webサイトにアクセス可能な端末を制限すること
⇒要件そのものを実現している機能となっています。
●パターン認証が満たしている要件
1.要件24 特別な認証方法を採用する場合には、その方式に特有のぜい弱性対策を行うこと
⇒認証失敗可能回数を設けており、パスワードを5回連続して間違えると、アカウントロックされる仕組みとなっています。
IP許可制限は無料のため、お気軽にご利用ください。パターン認証は月額3,800円(2014年12月12日時点)となっておりますが、認証を強固にするためにもぜひご活用ください。
なお両機能とも、マルチアカウント毎にも設定可能です。
一般的な対策に加えて、IP許可制限やパターン認証を活用してニフティクラウドのセキュリティ向上にお役立ていただければと思います。
本コラムは、ニフティ株式会社HPに掲載されている「ニフティクラウド ユーザーブログ」より転載したものです。