ホームページに対する攻撃の対策方法

クラサバのエンジニアを7年しております。今回個人で店舗のホームページを作ることになりましたが、セキュリティの知識がありません。
知り合いがホームページを立てて少し経ってから海外から攻撃されてホームページが落ちて回復ができないことによりグーグル検索エンジンからお叱りをうけて順位がかなり下がっています。
こちらの対策のために落ちても他のサーバーにミラーサイトのようなものがリダイレクトするようにしておけばいいのでしょうか。一般的な対策や勉強分野がわかっていません。nginx ミラーサイトなどで調べても特に出てこないので困っております。何か対策はございますでしょうか。

行動規範の内容に同意します

回答2件

ベストアンサー

まず、「攻撃を防ぐ」と「サーバが落ちても大丈夫なようにする」で分けてみてはいかがでしょうか。

・攻撃を防ぐ
まず、「攻撃」が如何なるものかを正確に把握し、対策をします。
攻撃方法にもよると思いますが、一般的にはFirewallやWAF（Web Application Firewall）が有効とされています。
ログなどを解析し、調査してみてください。
以下の雑誌が参考になるかもしれません（宣伝ではありませんw）
Software Design 2015年10月号
 Software Design 2015年7月号

・サーバーが落ちても大丈夫なようにする
同じサーバを複数台用意し、障害時は正常稼働しているサーバにトラフィックを割り振ります。
AWSでしたらELB（Elastic Load Balancing）という機能や、「Route 53」というサービスが有名です。
以下を参考にして下さい。
ELBとRoute 53のヘルスチェック仕様の違い

まずは、「攻撃を防ぐ」事を最優先に進めることをお勧めします。

紹介したELBやRoute53は、トラフィックを振り分けるだけです。
サーバA、B2台構成にした場合はサーバAが攻撃されて陥落した後に、サーバBが攻撃対象になってしまい
根本解決になりません。リダイレクトも同じことになるでしょう。（攻撃方法にもよりますが）

店舗のホームページということなので、サービスの可用性やセキュリティはかなりプライオリティを上げたほうが良いかと思います。

投稿2016/02/10 03:47

編集2016/02/10 06:43