インターネットでショッピングをしたり、サービスを利用することがあたり前となっている現代において、個人情報や金銭情報などをインターネットを通じて扱う機会が増えています。自社が開発している商品をネットショップでの販売したい、サービスの予約サイトを立ち上げたいなど個人情報や金銭情報を扱うウェブサイトを立ち上げの検討をしている企業が多くなっています。その中で、一番懸念される事項としては預かった個人情報や金銭情報が漏洩することです。
今回はこの様に個人情報や金銭情報が漏洩するリスクを軽減するために高セキュリティのレンタルサーバーを選ぶポイントをお伝えします。
SSLによる暗号化に対応していること
個人情報や金銭情報などを扱う上で欠かせないのが「SSL」です。入力した個人情報や金銭情報を保護するためにはSSLは必須となっています。
SSLとは、2016年11月16日に公開した記事「ウェブサイトを常時SSL化することの重要性について知っておきたいポイント」にて詳しく紹介していますが、ウェブサイトを暗号化することで、入力された氏名や電話番号、メールアドレス、住所などの個人情報やクレジットカード情報や口座番号などの金銭情報を暗号化することで通信を行う仕組みです。
SSLを導入するには、ご自身でSSLを購入して契約しているレンタルサーバーに設置する作業が必要になりますが、SSLをの導入についてはレンタルサーバー業者によって扱いが異なります。例えば、SSLの設置が不可能なケースや自社が扱っているSSLのみ設置可能なレンタルサーバー、外部で購入したSSLも設置可能なレンタルサーバーが存在します。
そのため、事前に契約したいレンタルサーバーがSSLの設置に対応しているか確認しておくことが重要です。
不正アクセスや攻撃を防ぐWAFに対応していること
ウェブサイトを公開するにあたって、意識しておくべきこととしては不正アクセスや攻撃などから実を守ることです。特に個人情報や金銭情報を扱う場合、これらの情報を盗もうと不正アクセスや攻撃のリスクは高いと考えられます。
レンタルサーバーを契約する際は、利用可能なセキュリティ機能を確認しておく必要があります。代表的な不正アクセスを防ぐセキュリティ機能としては「ファイヤーウォール」の他、「侵入防止システム(IDS)」、「WAF(ウェブアプリケーションファイヤーウォール)」があります。
ファイヤーウォール
ファイヤーウォールは、事前にサーバーへのアクセスの可否を調査する「ポートスキャン」を防止するために、予め防火扉を設置して不正アクセスを防ぐ機能です。
侵入防止システム(IDS)
侵入防止システム(IDS)は、サーバーへの不正アクセスを検知して防御する機能です。
WAF(ウェブアプリケーションファイヤーウォール)
クロスサイトスクリプティングやSQLインジェクションなどウェブシステムの脆弱性をつついた攻撃を防御する機能です。WAFは元々導入費用が高額であるのがネックでしたが、近年ではクラウド型のWAFが登場したことでランニングコストが下り、導入の敷居も大幅に下がっています。
サーバーが安定的に稼働していること
インターネットで顧客を獲得する場合、サーバーはビジネスを行う上で重要な設備でもありインフラとなります。共有サーバーでは良くみかける、一定時間にアクセスが集中したことで503エラーが発生することもあります。この様なことが頻繁に起きると、自社の収益に影響を及ぼすことが考えられます。
そのため、レンタルサーバーを選定する場合の指標として、「品質保証制度(SLA)」があります。この制度でサーバーの稼働率を保証しているレンタルサーバー業者も存在しており、多くの場合99.9%の稼働率を保証しているケースが多いです。万が一、この稼働率を下回った場合、契約内容に基いて返金などの処置が受けられます。
契約する際に「品質保証制度(SAL)」による保証の有無と稼働率、過去の稼働率実績などをチェックした上で選ぶことが重要です。
自動バックアップやリストアが可能であること
レンタルサーバーに保管しているデータは、レンタルサーバー業者が責任を持って運営管理されていますが、この業務を行っているのもあくまでも人間であるため、操作ミスが発生したりなにかしらの不具合が発生したことで、データが消失してしまうということもゼロとは言い切れません。
万が一の時に備えて、自動バックアップを定期的に行い、いつでもバックアップしたデータをリストア(回復)できるのかをチェックすることも重要なポイントです。
プライバシーマークやISMS(ISO27001)の認定を取得している
インターネットショップや予約サイトなど、個人情報や金銭情報を扱う場合、委託先のレンタルサーバー業者が適切に個人情報などを扱うのかもしっかりと確認しておく必要があります。
個人情報の取り扱いや情報セキュリティ関連の認定として、日本工業規格の「JIS Q 15001個人情報保護マネジメントシステム―要求事項」に適合した業者を認定した「プライバシーマーク認定」や情報セキュリティの取り扱いが正しく運用できているかを認定する国際規格である「ISMS(ISO27001)」があります。
レンタルサーバーを選定する場合、ここで紹介した認定を取得していることも選定ポイントとして活用できます。プライバシーマーク認定を取得している業者については、2016年12月22日公開の「プライバシーマークを取得したレンタルサーバー業者を紹介」を、ISMS(ISO27001)については、2016年12月17日公開の「ISMS(ISO27001)を取得したレンタルサーバー業者を紹介」をご覧ください。
