本文へジャンプします。

クラウドのセキュリティ、コントロールパネルから向上させてみませんか?

こんにちは、ニフティクラウドテクニカルサポート担当です。
今回は、クラウドのセキュリティ対策について、ブログに書きたいと思います。

はじめに

クラウドのセキュリティ対策と聞いて、どのようなものを想像されるでしょうか?

昨今、インターネットを利用している中で、様々な脅威があります。例えば、「マルウェアサイト」、「フィッシング」、「DoS攻撃」などです。様々な脅威がある中で、今回は不正ログイン・不正利用やウェブサイトの改ざんに繋がっていくフィッシングを対象として、セキュリティ対策をご紹介したいと思います。

ニフティクラウドのコントロールパネルはサーバーの追加や削除、ネットワークの変更など様々な機能を有しており、容易にシステム構築が可能です。そのような重要なコントロールパネルが乗っ取られたらどうなるでしょうか?
例えばニフティクラウドを騙ったフィッシングメールが来て、@nifty IDとパスワードを不正取得されるとコントロールパネルを自由に操作することが可能となってしまいます。
悪意を持った人がコントロールパネルを利用し、サーバーの大量設置や削除など、不正利用を行うかもしれません。その結果は自社の被害のみとなりますが、大量設置されたサーバーから他のサーバーやサイトへ攻撃してしまうと、知らないうちに乗っ取られた被害者から加害者の立場になるかもしれないのです。
そのようなことを防ぐために、コントロールパネルでは『IP許可制限』や『パターン認証』といった機能を保有しております。またコントロールパネルにログインする際に用いる@nifty IDには、不正ログインを防ぐための機能を保有しています。これらの機能を活用して対策を立てていくことが重要となります。

それでは、順を追ってみてみましょう。

何が問題なの?

以前から、インターネット利用者向けにフィッシングが行われています。ここで改めてひとことで説明すると、フィッシングとは「正規のWebサイトを装って、アカウントのIDやパスワード、個人情報を取得しようとする詐欺」のことです。
JPCERT/CCの『インシデント報告対応四半期レポート(公開日:2014-10-09)』によると、フィッシングは減少傾向にはあるものの、引き続き注意は必要です。

fig3

このレポートでは、全インシデントの中で、フィッシングが9.4%を占めています。

フィッシングにより、一般的には以下のような被害が想定されます。

  • クレジットカード情報の不正利用
  • インターネットバンキングにおける不正出金
  • インターネットオークションにおけるなりすまし
  • 個人情報の不正売買

対策、どうすればいいの?

では、フィッシングに対してどのように対策すればよいのでしょうか?

一般的な対策としては、『ニフティ伊藤求のセキュリティ・スコープ 第14回 日本国内向けフィッシングに注意』に記載の以下の方法を実施することが重要です。

  • 一呼吸置いてからクリック
  • ドメインの確認方法
  • 同じID・パスワードを他のサイトで使い回ししない
  • 最新のブラウザー、最新のアンチウイルスソフトを使う

また、サービス事業者の対策として、「フィッシング対策ガイドライン」が公開されています。その中で、『サービス事業者におけるフィッシング詐欺対策』として39の要件が定められています。39項目全てを満たすことが理想ですが、現実的には費用と効果のバランスを見ながら対策を行っていくことになります。

ニフティクラウドでの対策は?

ニフティクラウドではセキュリティ向上の一環として、コントロールパネルに「IP許可制限」や「パターン認証」の機能があります。合わせて@nifty IDの不正ログイン対策には、「ワンタイムパスワード」、「ログインアラート」、「ログイン履歴があります。

IP許可制限』は、コントロールパネルへのアクセスについて、特定のホストやIPアドレスからのアクセスのみを許可する機能です。許可したIPアドレス以外からのアクセスを制限します。例えば、会社からコントロールパネルへアクセスする元のIPアドレスが決まっている場合には、そのIPアドレスを登録することにより、コントロールパネルへのアクセスを会社のみに限定できます。この機能を使うことで、コントロールパネルへの余計なアクセスを制限することが可能になります。

パターン認証』は、コントロールパネルへログインする際に、乱数表の数字位置や順番をパスワードとして用いる認証方式のことです。@nifty IDとは別にパターン認証を利用することで、セキュリティの強化を実現できます。
この機能を使うことで、毎回異なる数字の入力で安全性を高めることができ、なりすまし被害防止に役立ちます。

pattern_login_02

ワンタイムパスワード』は、通常の@nifty IDとパスワードの認証に加えて、スマートフォンアプリもしくはあらかじめ設定されているメールアドレスに通知される使い捨てパスワードを入力することによってログイン可能となる仕組みです。

one-time password

ログインアラート』は、ログインする度にログインしたことをメールでお知らせいたします。身に覚えのないログインのお知らせがあるとすぐに気付くことが可能となります。『ログイン履歴』は、@niftyのサービスにログインした履歴(1年以内)を確認できます。

これらの機能は、先に記載している『サービス事業者におけるフィッシング詐欺対策』の要件の中に当てはまります。

  • IP許可制限が満たしている要件
    1. 要件18 正規Webサイトにアクセス可能な端末を制限すること
      ⇒要件そのものを実現している機能となっています。
  • パターン認証が満たしている要件
    1. 要件24 特別な認証方法を採用する場合には、その方式に特有のぜい弱性対策を行うこと
      ⇒認証失敗可能回数を設けており、パターン認証では5回連続して間違えると、アカウントロックされる仕組みとなっています。
  • ワンタイムパスワードが満たしている要件
    1. 要件25 正規サイトログイン時の認証には複数要素認証を利用すること
      ⇒スマートフォンアプリもしくはあらかじめ設定されているメールアドレスに通知される使い捨てパスワードを利用した複数要素認証を持ってログイン可能となります。
  • ログイン履歴が満たしている要件
    1. 要件23 アクセス履歴の表示
      ⇒アクセス履歴(複数回)を確認出来る様になっています。ログイン履歴には、接続時刻、時間、アクセス元IP アドレスが含まれています。

IP許可制限、ワンタイムパスワード、ログインアラート、ログイン履歴は無料のため、お気軽にご利用ください。パターン認証は月額3,800円(2014年12月12日時点)となっておりますが、認証を強固にするためにもぜひご活用ください。
なおIP許可制限とパターン認証は、マルチアカウント毎にも設定可能です。ワンタイムパスワード、ログインアラート、ログイン履歴は@nifty IDに設定可能となっていますので、ご注意ください。

一般的な対策に加えて、IP許可制限、パターン認証、ワンタイムパスワード、ログインアラート、ログイン履歴の機能を活用してニフティクラウドのセキュリティ向上にお役立ていただければと思います。

ニフティクラウド 導入相談窓口
ニフティクラウド 無料セミナー

閉じる

閉じる

クラウドブログ編集部

クラウドブログ編集部

ニフティクラウド ユーザーブログ編集部のアカウントです。 編集部からのお知らせや、レギュラーライター以外のゲストによる寄稿記事を掲載していきます。

浜中 慶

浜中 慶

1980年、神奈川県生まれ。2003年ニフティ入社。 ポータルサイト開発を中心に、音楽配信サービス、CGMサービスなど様々なプロジェクトに企画/デザイン/システム担当として参加。現在は@niftyのポータルサービス向けコンテンツ管理システムの企画/開発/運用を担当。

吉田 雄哉

吉田 雄哉

株式会社co-meetingの創業メンバー。「取締役&External- facing Technologist」と名乗り新しいIT技術を広く伝える活動とWebアプリケーション開発を行う毎日。パッケージベンダーでのSaaS立上げ・製造業の情報システム部門で企画やPM・受託開発と従事してきたため、ベンダーサイドとユーザサイド の両方の視点を持ち合わせる。

石田 健亮

石田 健亮

株式会社ドリーム・アーツで小売事業者向けSaaS「Shopらん」を企画、開発。メインの仕事はプログラマーだがサーバー管理や営業もこなすユーティリティプレイヤー。最近好きな事はパフォーマンスチューニング。特に並列化プログラミングがマイブーム。キライなことはデータセンターでの作業。騒音と乾燥が弱点。ニフティクラウドでデータセンターに行く必要が無くなったことが本当の利点だ と思っている。

五月女 雄一

五月女 雄一

ニフティでは「インフラを守る簡単な様で奥が深いお仕事」をしています。 夢はインフラの気持ちが読めるエンジニアになること。

わたなべ かずひろ

わたなべ かずひろ

専門学校卒業後、ソフトウェア開発会社で電力系統制御システムの開発に従事。その後、CD-ROM等マルチメディア系PCソフトの開発を経て、1998年フリーランスに。 2000年8月に株式会社イーツーの設立に参画。携帯を含む様々なWeb系のシステム開発に携わる。現在はiPhone/Androidアプリなどの開発も手がけている。

市角

市角

ニフティクラウドのコントロールパネル設計・開発をメインに、たまにインフラの運用やお手伝いもやっていたりします。コントロールパネルや新機能の活用方法、アイデアなどを中心に書いていく予定です。

仲山 昌宏

仲山 昌宏

歌って踊れるインフラエンジニア兼、PHPもRubyもJavaも書くPerl使い。 物理サーバの運用に飽きて、フルラックに格安サーバ詰めて自宅プライベートクラウドを構築中。 今年は個人的には分散処理を攻めていきます。

猪飼 賢広

猪飼 賢広

1984年、愛知県名古屋市生まれ。大学は福島県にある某大学。2008年ニフティに入社。 開発系部署に配属後、主に各種テーマサイト開発のシステム面調整、開発進行管理役などとして参加。 現在もPC・ガラケーサイトの開発まわりを担当。インフラまわりを触る案件にも携わっており、日々修行中。 好きな芸人はなかやまきんに君とレイザーラモンRG。

久江 裕之

久江 裕之

ニフティクラウドのインフラ運用、OS提供の仕事をしています。 新しいOSやイメージが出る時にこのブログでご紹介いたします。入社5年目。一流のインフラエンジニアを目指して日々勉強中。

竹内 豪

竹内 豪

ニフティクラウド エンジニア

山口

山口

ニフティクラウドの基盤設計、新サービス/アライアンス/インフラ企画、その他雑用全般を担当しています。 クラウドに欲しい機能や、こんなふうに使ってほしいという想いが共有できれば良いですね。

芳中 隆幸

芳中 隆幸

ニフティクラウドの開発、運用を担当しています。

酒井 浩平

酒井 浩平

ニフティクラウドの中にいます。 ネットワークまわりの運用・開発や自動化などに取り組んでいます。 すべてのエンジニアを幸せにすることを目指しています。

higebu

higebu

ニフティクラウド IaaSのエンジニアです。 ネットワーク、DRサービス with VMware vCloud® Air™ Technology辺りの担当をしています。

武田

武田

ニフティクラウドの開発・運用を担当しています。 各種機能の内容についてなどで執筆させていただく予定です。

福澤真

福澤真

ニフティクラウドのコンパネ開発、運用をしています。

森藤 大地

森藤 大地

データに関する仕事が好きです。

宮原徹

宮原徹

日本仮想化技術株式会社 代表取締役社長兼CEO。仮想化技術に関するコンサルタントとして長年活動しており、特にベンチマークテストによる性能評価を得意としている。

荒谷翔

荒谷翔

株式会社はてなでMackerelのセールスデベロッパーとして勤務しています

東條 望

東條 望

2014年にニフティへ中途入社。 入社後から現在まで、ニフティクラウドのサービス企画・開発を担当しています。 各サービスの紹介を執筆させていただく予定です。

世良迪夫

世良迪夫

ニフティクラウドのRDBなどを担当しています