VPSのセキュリティ機能比較(二段階認証・ログイン通知・SSH公開鍵認証)
カテゴリ:VPS比較
VPSのセキュリティについて
VPSはインスタンスが作成されれば、rootユーザーの権限が付与されるため、セキュリティには特に気を遣う必要のある種類のレンタルサーバーです。仮に管理画面への不正ログインを許せばサイトの改ざんや破壊、DNSの変更等が行われ、自サイトの被害のみならず、利用しているユーザーにも大きな損害を与えかねません。
またrootユーザーでのOSへの不正ログインが行われれば、サイトの改ざんや情報漏洩はもちろん、ボットのインストール等、その影響範囲は計り知れないでしょう。特に痕跡を残さずに不正プログラムを仕込まれれば、気づかないまま攻撃者(加害者)となってしまう事さえあります。
VPSを長らく利用している方は、OSのログを見ればSSH認証やSMTP認証、POP3認証のブルートフォース攻撃や辞書攻撃がひっきりなしに行われている事を目にしているはずです。
参考ブルートフォース攻撃はあらゆるパスワードのパターンを試して不正ログインを試みる攻撃を指し「総当たり攻撃」とも訳されます。一方、辞書攻撃はパスワードに辞書に載っているような「よく使われそうな語句」を用いて不正ログインを試みる攻撃手法です。VPSを運用している以上これらの攻撃は必ず行われると思っていいでしょう。
そこでこの記事では管理画面(コントロールパネル)やSSH接続に対するVPS各社の不正ログイン防止機能を比較してみたいと思います。
Note作成したWebサイトのプログラム上のバグやアプリ設定の不備、フレームワークやOSライブラリの脆弱性に起因するセキュリティリスクに関しては、本記事の趣旨から外れるため扱いません。
Note 以下は 2022/02/27 時点での情報を基に記述しています。
二段階認証
現在最も強力な不正アクセス防止機能として挙げられるのは二段階認証機能です。
恐らく殆どの方は、VPSに限らず様々なWeb上のサービスにアカウントを登録しているはずです。また同じパスワードを登録しているサービスもいくつか出てくるものです。
そういった場合に、特に危険なのは不正アクセスや不正売買等で手に入れたアカウント情報(ユーザー名とパスワードのリスト)を用いてログインを試みる「アカウントリスト攻撃」です。複数のサービスでのパスワードの使いまわしは本人も気づかないうちに行っている場合も多くアカウント情報リストによる不正ログインには特に注意が必要です。
二段階認証ではユーザー固有のスマートフォンなどのデバイスを用いて認証を実施するため、たとえパスワードが分かっても第三者が認証を行うことは非常に難しくなります。そこで各社の二段階認証の対応状況と種類を以下の表にまとめてみました。
下表のようにWebARENA Indigo以外はいずれかの種類の二段階認証に対応しています。
| VPS | Google認証アプリ | SMS | 音声電話 | メール |
|---|---|---|---|---|
| ConoHa VPS | 〇 | × | × | × |
| さくらのVPS | 〇 | 〇 | 〇 | × |
| お名前.comのVPS | × | 〇 | × | 〇 |
| カゴヤのVPS | 〇 | × | × | × |
| WebARENA Indigo | × | × | × | × |
参考認証アプリには、Google以外にもMicrosoftなどのいくつかのアプリが利用されますが、調べた限りここで取り上げた会社のVPSではGoogle社製以外の対応は確認できませんでした。
Note二段階認証の認証方法には上記のように複数の種類がありますが、認証アプリによる認証以外はスマートフォンの電波が入らない場所にいると認証が行えません。場合によっては電波の入りにくい場所や地域でログインせざるを得ない場合も想定されるため、認証アプリが最も安心できる手法と言えるでしょう。
ログイン通知
万が一不正ログインがあった場合でも、いち早くそれを知る事ができれば被害は最小限に抑えられます。 そのためにはログイン時にその旨が毎回メールで通知されるログイン通知機能も意外に役立ちます。 以下ではログイン通知機能の有無について表にまとめてみました。
下表のようにさくらとWebARENA Indigo以外はログイン通知機能に対応している状況です。
| VPS | ログイン通知 |
|---|---|
| ConoHa VPS | 〇 |
| さくらのVPS | × |
| お名前.comのVPS | 〇 |
| カゴヤのVPS | 〇 |
| WebARENA Indigo | × |
SSH公開鍵認証
VPSを利用しているのであれば、rootユーザーの権限が付与されるため、SSHでrootユーザーでログインできるのは便利ですが、反面、サーバー乗っ取りなどのセキュリティリスクも生じます。そこで安全にrootユーザーでSSHに接続できるSSH公開鍵認証機能についても比較してみました。
注意VPSであるため手動でSSH用の鍵(公開鍵と秘密鍵のペア)を作成してSSH公開鍵認証を設定することは可能です。ここでのSSH公開鍵認証機能はあらかじめSSH用の鍵が用意されている、あるいは管理画面上から自動生成できる事を意味しています。
下表のようにさくら以外はSSH公開鍵認証機能はすべてのVPSで対応しています。
なお、さくらでは管理画面からSSH公開鍵を登録することは可能ですが作成はできません。鍵(公開鍵と秘密鍵のペア)を自分で作成する必要があるため△の評価としています。
| VPS | SSH公開鍵認証 |
|---|---|
| ConoHa VPS | 〇 |
| さくらのVPS | △ |
| お名前.comのVPS | 〇 |
| カゴヤのVPS | 〇 |
| WebARENA Indigo | 〇 |
NoteWebARENA Indigoはインスタンスの作成後に管理画面上からSSH公開鍵認証用の鍵を作成する必要があります。
Note公開鍵認証を利用するには管理画面からダウンロードした秘密鍵(Private Key)をSSHクライアントソフト側にインポートしておく必要があります。
参考なお、手動によるSSH公開鍵認証の設定方法については「SSHの公開鍵認証の設定」の記事をご参照ください。
まとめ
一部のVPSを除けばほぼすべての機能に対応していますが、特に使い勝手の良い認証アプリによる二段階認証に対応しているConoHa
のVPSかカゴヤ・ジャパン
のVPSがおすすめです。
公開日時:2022年02月26日 22:59:35
最終更新日時:2022年06月12日 23:01:32
