【システムエンジニア目線での安全性確認】レンタルサーバを利用するあなたへ簡単に説明します
【本ブログの概要】
東証のシステム障害やドコモ口座問題など、昨今システム問題が多く発生しており、何かと世間を騒がせています。個人でもそうですが、法人でサービスを作るような場合は、情報漏洩や障害は致命傷にもなりかねません。
そのため、SE(システムエンジニア)目線でレンタルサーバの安全性を「非機能要件」というSEがよく利用する切り口で各サービスの内容を確認してみました。
最初は難しい言葉が並びますが、確認するポイントは簡単なので、お付き合いください。
【非機能要件とは】
一般的には以下の6項目を示す(IPA(情報処理推進機構)資料より)
①可用性、②性能性・拡張性、③運用・保守性、④移行性、⑤セキュリティ、⑥システム環境エコロジー。
今回は、「安全」という事で特に①の可用性と⑤のセキュリティを確認します。
他のカテゴリも今後確認できたら追加したいと思います。
【確認ポイント】
・可用性:システムサービスを継続的に利用可能とするための要求
→本ブログでは障害対策やバックアップ内容を確認します
・セキュリティ:情報システムの安全性の確保に関する要求
→本ブログではウィルスや暗号化などの対策及びデータ改ざんなど攻撃への対処を確認します。
【各サービスの内容】
(1)エックスサーバ(エックスサーバ株式会社)
https://business.xserver.ne.jp/
①可用性
・障害頻度:年数回
・耐障害性:国内データセンターで24h365日監視、ディスク仮想化(RAID10)
・バックアップ:1日1回自動で専用バックアップサーバへ。Web・メールデータ「過去7日分」データベース「過去14日分」のデータを保持
②セキュリティ
・アクセスにIDとパスワード設定可
・国際IPや短時間の複数回ログインに対するアクセス制限
・不正な命令でデータ改ざんを行う等に対する対策(Webサイト保護対策)
・通信の暗号化(SSL暗号化:無償・有償によりランクあり)
・メール受信時に自動ウィルスチェック
(2)ロリポップレンタル(GMOペパボ株式会社)
★月々100円(税抜)からオンラインショップを運営!
独自SSL・高機能カート・クレジット決済が簡単導入
①可用性
・障害頻度:具体的な記載なし
・耐障害性:ディスク仮想化(システムRAID10、ユーザRAID50)
・バックアップ:一番安いプランだと月300円で個別バックアップ(7世代)。その他プランだと無償だが、復旧時は10000円手数料かかる
②セキュリティ
・アクセスにIDとパスワード設定可
・海外アタックガードにより海外IPアドレスからの特定のアクセスを制限
・不正な命令でデータ改ざんを行う等に対する対策(Webサイト保護対策)
・通信の暗号化(SSL暗号化:無償・有償によりランクあり)
・メール受信時に自動ウィルスチェック
(3)mixhost(アズポケット株式会社)
月額880円からの高速LiteSpeed採用クラウド型レンタルサーバー
①可用性
・障害頻度:稼働率99.99%を保証
・耐障害性:東京都内の大手データセンター、ディスク仮想化(RAID10)
・バックアップ:物理的に離れたデータセンターに設置されたバックアップサーバーに1日1回自動的にバックアップ
過去14日間のバックアップからデータを無料で復元
②セキュリティ
・アクセスにIDとパスワード設定可
・不正な命令でデータ改ざんを行う等に対する対策(Webサイト保護対策)
・通信の暗号化(SSL暗号化:無償でも利用可で、自分の個別購入したSSLも利用可)
・メール受信時に自動ウィルスチェック。
【上記内容からの考察】
①可用性
各サービスともに記載内容が乏しいため判断が難しいが、記載内容だけで判断するなら、mixhostが一番可用性が高いと考える。(以下判断材料)
・稼働率99.99%を保証しているので年1hも止まらない計算になる。通常何らかの「利用不可」の障害が起きれば1h程度は復旧にかかると考えられるため障害に強いと判断
・「物理的に離れたデータセンター」にバックアップがあるため、大震災のような大規模災害でもデータさえあれば、復旧がスムーズにできる。
ただし、どのサービスも特別な障害を考慮しなければ問題ないものと考える。
(以下判断材料)
・サーバやディスクは「仮想化」技術を使って「共有」する形なので装置障害があれば他装置を利用可能。
・サーバは「データセンター」にあるようなので、電源やシステム的なバックアップはセンターとして実施していると推察される。(ロリポップはサーバ設置場所が確認できなかったが170万人が利用していれば何らかの「データセンター」にあると想定)
※参考
「自分の領域だけが障害」となった場合のバックアップは個別バックアップが必要なので有償でも実施しておいた方が良い。
②セキュリティ
基本的にどれも同様にウィルス対策や外部からの攻撃には同様の対策がとられているため安全だと考える。(判断材料としてはウィルスチェック、Webサイト保護対策、通信暗号化が搭載)
ただし、海外IPを自動排除する機能がmixhostには見当たらなかった。
アダルトサイトも運営できることを売りにしているからなのか、自分で設定すれば海外IPはアクセス拒否できますのでそのためかもしれません。
※参考
mixhostのサービス一覧にhtaccess利用可の記載があり、htaccess設定により色々な方法でアクセス制限かけることができる。(日本国内アドレスとか、~.jpだけ許可するとか)
【あとがき】
各社のホームページしか判断材料がないので、あまり違いが明確にはなりませんでしたがどのサービスも一定の安全性は確認できました。
月額利用料やオプションでお金をだせば相当な機能が増やせますのでコストパフォーマンスを比べた場合、「何を重視するか」により選択するサービスも変わってくると思います。
また、システムエンジニアとしての視点ですので実際のブログ作成者やデザインなどにこだわる方とは意見が異なるかもしれません。
しかし、各サービスのページを見ても専門用語で、「優れていること」しか書いてませんので、参考にして頂ければ幸いです。