GMOクラウドPublicはお客さまご自身でrootアカウントを利用可能な仮想サーバーを構築出来るサービスです。一般的な共用サーバーサービスとは異なり仮想サーバー上のOS設定、アプリケーションインストール、セキュリティー対策を含めた運用はお客さまご自身の責任の下で行っていただく必要がございます。

当ページでは、サーバー運用における必要最低限なセキュリティー対策についてご紹介しております。実際の運用内容にあわせたセキュリティー対策とともに、下記の対処もあわせてご対応をお願いいたします。

適切なパスワードを設定する

仮想サーバーやメール、FTPなどの様々なケースで利用するパスワードは、分かりやすく安易なフレーズに設定しがちです。英単語や人名などを利用したパスワードの場合、「辞書攻撃（Dictionary attack）」と呼ばれる攻撃を受けることでパスワードが知られてしまい、情報漏えいや改ざんの危険性が非常に高まります。

適切なパスワードの目安として、次の項目を参考にしてください。

• 8文字以上のフレーズにする
• 自分では覚えやすく、他人が推測するのは難しいフレーズにする
• 数字、アルファベット、記号を含める
• 連続した数字や同じ文字の繰り返しをしない
• 誕生日や企業名など、他人が知りうる推測されやすいものは利用しない
• 定期的に変更する

• 設定したパスワードの強度は、パスワードチェッカー（マイクロソフト社提供）で確認ができます。

利用アカウントを適切に管理

SSHやメール、FTPにアクセスするためのアカウントも、適切な管理が必要です。不要なアカウントを定期的に削除・停止することも、セキュリティー確保としてとても有効な手段となります。

また、アプリケーションによっては、初期設定で管理者パスワードやアカウントが設定されていることがあります。それらの初期設定アカウントの情報は、アプリケーションガイドやインターネットなどで公開されており、誰でも取得が可能です。そのため、初期設定であるアカウントの不正利用防止のため、速やかに情報を変更・削除する必要があります。

• 退職者アカウントなど、利用されていないアカウントのロックや削除
• アプリケーション設定時に初期設定で用意されているアカウントの情報変更もしくは削除

アクセス制限を徹底する

アクセス制限を行うことで、必要な通信のみを通過させ、不要な通信を遮断することができます。GMOクラウドPublicでは、ファイアーウォール機能が標準搭載されています。ファイアーウォール機能を利用することで、データやプログラムの盗み見、改ざん、破壊等が行われるのを防ぎます。

定期的にバージョンアップの確認・適用を行う

ほとんどのアプリケーションはセキュリティー対策のためバージョンアップが行われています。特定の機能を利用していることによるものや、早急に対応を進められるものまで幅広い内容がありますが、多くの場合はバージョンアップの適用を推奨します。

バージョンアップの方法もアプリケーション毎に異なります。例えば、CentOS標準のパッケージに関しては、yumコマンドなどによるバージョンアップが行えますが、CGIなどのWebアプリケーションについては、ファイルの差し替えや再インストールが必要なのもあります。
また、設定ファイルの変更などが必要な場合もありますので、各アプリケーションのマニュアルを読み、バージョンアップ手順を十分理解した上で行ってください。

• Linuxサーバーのパッケージアップデートを行う際に注意事項

利用しないアプリケーションは起動・インストールをしない

テスト的にインストール・起動したアプリケーションなど、実際に利用しないアプリケーションはありませんか？利用していないアプリケーションは、バージョンアップを怠っていたり、設定も不十分であるために不正利用の危険性が高まります。

実際に不正利用されているアプリケーションとしては、手軽に導入できるCGIやPHPなどのWebアプリケーションが多いようです。不正利用を防ぐには、利用していないアプリケーションがないか定期的に見直し、必要に応じて停止・削除を行う必要があります。

もしセキュリティー被害に遭ってしまったら

セキュリティー被害に遭ってしまうと、不正アクセスに伴う情報漏えい、改ざんはもとより、踏み台サーバーとして悪用され、ウイルスの拡大や攻撃を企てる危険性があります。被害を確認した場合には、速やかに以下の対処を行ってください。

• rootなどの各種パスワード変更
• 不正なプログラム、アプリケーションの停止、削除
• 利用IPアドレスの変更（※）
• 再インストール