WEBサーバのセキュリティ

こんばんは。 以下、直接回答ではない部分が多いですが、お付き合いいただけると助かります。 構築するサーバーが、たとえ「アクセス許可（対象）を限定したWebサーバー（サービス）」のみであっても、インターネットに接続されている以上、「サーバー運用におけるリスクと責任」が少なくなるわけではありません。（選択するWebサーバーの種類やアクセス制限のみに注意を払えば（自衛のための対策を考慮すれば）済むという問題ではないということです。） この点については（少々回りくどい話になりますが）、是非下記URLの過去ログに目を通されてみてください。（一見すると無関係なトピックに見えるでしょうが、私を含め、各識者がサーバー構築に関する非常に重要なポイントを説明しているつもりです。） ■当サイト過去ログ　～サーバー構築時の注意点など～■ ↓ http://okweb.jp/kotaeru.php3?q=1153810 上記の過去ログの内容や下記URLのレクチャーなどを含め、ネットワークとセキュリティーに関する十分な総合的基礎知識を習得してから実作業に取り掛かるよう、私の方からは強くオススメさせてください。 ■＠Policeセキュリティー講座　～サーバー管理者向け～■ Copyright(c)2003 警視庁/National Police Agency ↓ http://www.cyberpolice.go.jp/cgi-bin/elearning-server.cgi >>ユーザー名とパスワードによる認証は、もちろんしたいと思っているのですが、 ↓ これは「Basic認証」についてのお話だと思いますが、下記のURL内での「アクセス制限」に関するレクチャーを含め、「レイヤ3（IPレベル）」から「アプリケーションレイヤ」まで、一口にアクセス制限と言っても多種多様なアプローチがあります。（当然、要件（何をどのくらいの強度で守るか）によって最適な解は変わってきます。） ■IPA提供　SOHO・家庭向けセキュリティ対策マニュアル(Ver1.20)　(アクセス制限についての記述を含む）■ (c) 2002 Information-technology Promotion Agency, Japan. All rights reserved. ↓ http://www.ipa.go.jp/security/fy14/contents/soho/html/index.html >>WEBサーバソフトは何が最適でしょうか？ ↓ 現在、二大シェアとなっているのは、"Apache"と"IIS"ですが、最新版で比較した場合、性能面や利便性の優劣はつかないと思います。（「Apacheは安全でIISは危険」などという論調が多かったのは昔の話です。） これを逆説的に言うと、「どちらを使っても構わないが、いずれにしても、利用するサーバーについてよく知ったうえで正しい管理・運用を行う事が大前提となる。」という事ですネ。（書き込み中で紹介しているサイトを含め、現在ではネット上にも学習のために無償で利用できる情報が豊富にありますよね。） 最近では、上記の2大サーバーのほかにも、"AN HTTPD"など、 シンプルな構成をとり導入の容易さをアピールする単機能（的）Webサーバーが普及し始めていますが、個人的には、「まず上記二大サーバーでサーバー構築・管理の基礎を習得する。」というのが王道ではないかと思います。（その上で、目的や個人的趣向にそったその他のサーバーを選んで利用するというのは「あり」だと思いますが。） というわけで（しつこいようですが）、「サーバー管理とは何ぞや？」という点についての十分な学習をもとに、しっかりした計画をたててから実作業にとりかかるよう、私からは再度オススメさせてください。（「アクセス制限手段を考える前にやるべき事が結構ある。」というのが現実でしょう。） 以上、少しでも参考になれば幸いです。 それでは。