7.2 セキュリティ対策について

2025年8月6日

7.2 セキュリティ対策について

昨今、コンピュータウィルス・ワームや不正アクセスをはじめとしたさまざまな脅威が顕在化し、被害も後を絶ちません。
Bizメール&ウェブではサーバープラットフォームを監視しコンピュータウィルス・ワームやクラッキング等の攻撃行動に対応し、現在考えられる最善のセキュリティ対策を実施していますが、不適切なパスワードの利用や基本的なセキュリティ対策を実施していないことにより、お客さまのサーバーに不正侵入される危険性もあります。

不正アクセスの事例や、一般的なセキュリティ対策のポイントについて、以下サポートサイトのページもご確認ください。
【注意喚起】不正アクセスにご注意ください
セキュリティ対策ポイント

本項では、Bizメール&ウェブをご利用いただくうえでのセキュリティ対策についてご案内いたします。
ご利用を開始する前に必ずご確認いただき、セキュリティ事故の防止にご配慮ください。 

7.2.1 実施していただきたいセキュリティ対策

ご利用を開始する前に、ここでご案内する対策を実施してください。

■ 管理者の初期パスワードの変更

Bizメール&ウェブ プレミアム コントロールパネル

コントロールパネルで管理者のパスワードを変更できます。
『ご利用内容のご案内』に記載されている初期パスワードでログインした後に、必ず変更してください。
操作手順は「3.1.1 管理者のパスワード変更方法」をご参照ください。

Active!mail管理者用コンロトールパネル

Active!mail管理者メニューでActive!mailの管理者用パスワードを変更できます。
『ご利用内容のご案内』に記載されている初期パスワードでログインした後に、必ず変更してください。
操作手順は「4.1.4 ウェブメールの初期設定について>Active!mailの管理者用パスワード変更」をご参照ください。

カスタマーサポートデスク*1

カスタマーサポートデスクでは、カスタマーサポートデスクにログインする際のパスワードを変更できます。『ご利用内容のご案内』に記載されている初期パスワードでログインした後に、必ず変更してください。

*1 各種お手続きが可能なオンラインフォームです。

その他、管理者のパスワードに関するセキュリティ対策 
『メール監査アーカイブ コントロールパネル*2』では、弊社から発行する初期パスワードはありませんが、180日を超過してパスワードが変更されていないアカウントについては自動的なパスワード変更を実施しています。
自動的にパスワードが変更されるとログインができなくなりますので、前の変更から180日以内にパスワードを変更してください。
詳細は『メール監査アーカイブ 設定マニュアル』の「2.3.1 ログイン>定期的なパスワード変更の実施について」をご参照ください。

*2 ご利用にはオプションサービス(メール監査アーカイブ)のお申し込みが必要です。

注意事項
変更後のパスワードは弊社側で確認することができません。お客さまご自身で管理する必要があります。
● パスワードを紛失した場合に備えて、パスワード再設定用URL通知メールアドレスを登録してください。
  参照)3.1.2 パスワード再設定用URL通知メールアドレス登録方法

■ 二要素認証の設定

多要素認証(二要素認証)を設定することで、アカウントのセキュリティを強化し、第三者による不正ログイン等に対する防御をより高めることができます。

Bizメール&ウェブ プレミアム コントロールパネル

コントロールパネルに二要素認証を設定できます。
操作手順は以下のマニュアルをご参照ください。

【管理者向け】 『管理者マニュアル』の「1.3 二要素認証設定」
【一般利用者向け】『利用者マニュアル』の「2.4 二要素認証の設定」

  • コントロールパネルには、お客さまのメールやウェブサイトに関する情報が格納されています。二要素認証を設定しないことによるリスク(不正ログインによる情報漏洩、乗っ取り、ウェブ改ざん等)を防ぐためにも、二要素認証を設定することを強く推奨します。
  • お客さまの管理の都合等で二要素認証を設定できない場合には、パスワードを大小英文字、数字、記号のすべて組み合わせ出来るだけ複雑にした12桁以上に設定することを推奨します。
オプションサービス管理者用コントロールパネル*3

初回ログイン時に、多要素認証用(ワンタイムパスワード)メールアドレスの登録が求められます。
詳細は『迷惑メールフィルタリング・ウィルスチェック管理者マニュアル』の「2.1 管理者用コントロールパネルへのログイン方法」をご参照ください。

*3 ご利用にはオプションサービス(迷惑メールフィルタリング、ウィルスチェック、メール監査アーカイブ)のお申し込みが必要です。

迷惑メールフィルタリングサービス コントロールパネル*4

初回ログイン時に、多要素認証用(ワンタイムパスワード)メールアドレスの登録が求められます。
詳細は以下のマニュアルをご参照ください。

【管理者向け】 『迷惑メールフィルタリング ドメイン管理者マニュアル』の「2.2.1 ログイン」
【一般利用者向け】『迷惑メールフィルタリング 利用者マニュアル』の「2.2.1 ログイン」

*4 ご利用にはオプションサービス(迷惑メールフィルタリング)のお申し込みが必要です。

カスタマーサポートデスク*1

初回ログイン時に、二要素認証(ワンタイムパスワード)用メールアドレスの登録が求められます。
詳細は以下のPDFをご参照ください。
ご利用ガイド(Bizメール&ウェブ・カスタマーサポートデスクへのログイン方法).pdf

*1 各種お手続きが可能なオンラインフォームです。

■ アクセス元IPアドレスの制限

Bizメール&ウェブ プレミアム コントロールパネル

『Bizメール&ウェブ ビジネス コントロールパネル』の「IPアクセス制限」機能では、コントロールパネルと各サービスポートに対して特定のIPアドレスからのアクセスを制限して、外部からの攻撃や不正アクセスを防止できます。
お客さまの運用に合わせて、適切な設定で安全にご利用ください。

操作方法は以下のマニュアルをご参照ください。
3.2 IPアクセス制限|セットアップマニュアル
5.2 IPアクセス制限|管理者マニュアル

迷惑メールフィルタリングサービス コントロールパネル*4

『迷惑メールフィルタリングサービス コントロールパネル』の「ソースIP制限」機能では、ドメインごとにコントロールパネルにアクセスするIPアドレスを制限することが可能です。

操作方法は『迷惑メールフィルタリング ドメイン管理者マニュアル』の「2.3.7 ソースIP制限」をご参照ください。

*4 ご利用にはオプションサービス(迷惑メールフィルタリング)のお申し込みが必要です。

■ ウェブサイトのSSL化

SSL証明書を取得してウェブサイトをSSL化(暗号化)することで、データの改ざんや情報漏えい、悪意のある第三者のなりすましを防ぎます。

SSL はインターネット上で安全にデータの送受信を行うための暗号化技術です。 SSL通信とデジタル証明書を組み合わせることにより、お客さまのサーバーとウェブブラウザ間で送受信されるデータを保護し、ウェブサイトから送信されるデータの送信元情報 (ウェブサイトの企業実在証明) や、そのデータが送信中に改竄されていないかを確認できます。

7.2.2 セキュリティ対策のためのオプションサービス

オプションとして以下のセキュリティサービスをご用意しています。

■ メール関連

ウィルスチェック

メールの送受信時に、弊社指定のソフトウェアを利用して自動的にウィルスを検索・削除するサービスです(有料オプション)。
ウィルスを検知・処理した場合は、管理者と該当のメールを送信または受信したユーザー*に対し、ウィルスチェックサーバーからメールで通知されます。

ウィルスチェック|Bizメール&ウェブ プレミアム

迷惑メールフィルタリング

メール受信時に迷惑メールを自動判定し、迷惑メールを隔離または判定度合いをメールヘッダに付与するサービスです(有料オプション)。
不要なメールをブロックできるだけでなく、個別設定により迷惑メールを削除することも可能なので、迷惑メールの振分けや削除の手間を省き、業務を効率化することができます。

迷惑メールフィルタリング|Bizメール&ウェブ プレミアム

メール監査アーカイブ

送受信メールの監査・保存機能をご利用いただけるサービスです(有料オプション)。
監査機能により情報漏洩リスクを低減し、アーカイブ機能により内部統制に必要となる証拠の保全ができます。

メール監査アーカイブ|Bizメール&ウェブ プレミアム

■ ウェブ関連

WAF

WAF(ワフ)は”Web Application Firewall”の略で、Webアプリケーションの脆弱性を悪用した攻撃や不正な通信からWebサイトを保護するサービスです(有料オプション)。
Webサイトにアクセスされる前に、http/https(ポート80/443)通信の中身をシグネチャ(既知の不正な通信や攻撃パターンを識別するためのルール集)をもとにチェックし、不正な通信を検知・ブロックするため、悪意のある攻撃からお客さまのWEBサイトを守り、情報漏洩やWebサイトの改ざんなどの被害を防ぎます。

WAF|Bizメール&ウェブ プレミアム

ウェブ改ざん検知

Webサイトの改ざんを自動で検知するサービスです(有料オプション)。
問題を検知すると、管理者にすばやくメールを送信し、迅速な対応を可能にします。一般的に難しいとされるマルウェアによる改ざんや、悪意のあるスクリプトの埋め込みなども検知できます。

ウェブ改ざん検知|Bizメール&ウェブ プレミアム

7.2.3 セキュリティ対策のポイント

本項では、Bizメール&ウェブを日々ご利用いただくうえで、常にご留意いただきたいセキュリティ対策についてご案内します。

■ ユーザーの管理

不正アクセスや情報漏洩を防ぐための対策として、ユーザーのアカウント情報を適切に管理する必要があります。
参照)7.1 ユーザ管理についての注意事項 | 管理者マニュアル

ユーザーの権限を適切に設定する

不要な権限を付与することがサーバーの脆弱性につながり、情報を不正利用される危険性があります。

Point

 使用しない権限は付与しない
 不要になった権限は速やかに解除する

必要な情報にアクセスできるユーザーを制限することで、不正アクセス・データの改ざん・機密情報漏洩などのリスクを低減します。

  • コントロールパネルに登録したユーザーには「メール権限」と「ファイル権限」を付与できます。権限の詳細と設定方法については、以下をご参照ください。
    4.2.3 ユーザーに与える権限について
    4.3 ユーザー設定
  • ファイル権限を付与したユーザーに「サイト編集権限」を設定することで、管理者でなくても外部公開が可能なウェブディレクトリにファイルをアップロードすることが可能になります。詳細は以下のマニュアルをご参照ください。
    3.4 サイト編集権限|管理者マニュアル
注意

コントロールパネル以外のユーザーの権限についても同様に注意が必要です。
(例)
・WordPress等のCMSのユーザー
・お客さまが独自にインストールしたアプリケーションのユーザー
・お客さまが独自に構築したシステムのユーザー

不要なユーザーは削除する

長期間利用されていないアカウントや、本来であれば削除しておくべきアカウントがないか定期的に確認し、[停止]または[削除]することでリスクを軽減します。

(例)
・休職等で長期間使用しなくなったアカウント ⇒[停止]
・異動や退職で使用しなくなったアカウント  ⇒[削除]
・検証に使用したテストアカウント  ⇒[停止]または[削除]

注意

上記以外のユーザー(アカウント)も同様に管理が必要です。
(例)
・WordPress等のCMSのユーザー
・お客さまが独自にインストールしたアプリケーションのユーザー
・お客さまが独自に構築したシステムのユーザー

パスワードの管理

簡単なパスワード設定は悪意のある第3者に不正利用されるリスクが高まります。
パスワードが破られ、改ざん・情報漏洩・踏み台(メールアカウントの乗っ取り)等の被害にあわないためにも、パスワードの使い回しや推測されやすいパスワードの使用は避け、強固なパスワードを設定してください。

参照) 簡易なパスワード設定の危険性

二要素認証の設定

管理者以外のユーザーも多要素認証(二要素認証)を設定することでアカウントのセキュリティを強化し、第三者による不正ログイン等に対する防御をより高めることができます。

■ アプリケーションのバージョンアップ

コントロールパネルからワンクリックインストールできる追加アプリ(WordPress, Matomo,  Pukiwiki)は、インストールを実施するタイミングによって最新のバージョンではない場合があります。

  • クイックインストールした後は、脆弱性情報を確認する等して適宜バージョンアップして運用してください。
  • お客さまが独自にインストールしたアプリケーションについても同様に、脆弱性情報を確認する等して適宜バージョンアップして運用してください。

(例)
・WordPressなどのCMSやその他アプリケーション
・プラグイン

■ PHPのバージョンアップ

Bizメール&ウェブでは、提供中のPHPバージョンがEOL(End of Life;PHP提供元のセキュリティサポート終了)を迎える前に、随時新しいバージョンの提供を開始しています。

  • EOLとなったバージョンは脆弱性が発見されても修正されません。
    コントロールパネルに新しいバージョンが提供されている場合は早めにバージョンを切り替える必要があります。
    手順は4.1.2 PHP のバージョン|管理者マニュアルをご参照ください。

※ EOL時期および新バージョンの提供開始時期は、サポートサイトのお知らせ*1や技術担当者さま宛へのメール*2でご連絡いたします。ホームページ制作を専門の会社に委託している場合や、社内のWEB担当者がホームページ制作をしている場合には、弊社からの案内を担当の方にお伝えください。
*1 サポートサイトに掲載されたお知らせは、コントロールパネルのHOME画面でも確認できます(管理者でログインした場合のみ)
*2 ご契約情報に「技術担当者」の連絡先として登録されているメールアドレス宛にお送りします。技術担当者の連絡先が変わる際は、カスタマーサポートデスクから登録情報を変更してください。

※ バージョンを切り替えることでウェブサイト等PHPを使用しているシステムに影響が出る可能性があります。
  バージョンを切り替える前に、ご利用中のCMS,プラグイン,独自システム等との互換性をご確認ください。
※ バージョンを切り替える前にバックアップを取得しておくことをお勧めします。
※ バージョンの仕様差分は、PHP公式サイトをご確認ください。
※ CGIで指定しているPHPのフルパスも変更する必要があります。利用するPHPに合わせてバージョンまで指定してください。
  参照)6.2.1 言語とシェル|管理者マニュアル

■ MySQLのバージョンアップ

Bizメール&ウェブでは、提供中のMySQLバージョンがEOL(End of Life;MySQL提供元のセキュリティサポート終了)を迎える前に、随時新しいバージョンの提供を開始しています。

  • EOLとなったバージョンは脆弱性が発見されても修正されません。
    コントロールパネルに新しいバージョンが提供されている場合は早めにバージョンを切り替える必要があります。
    手順は 4.3.6 MySQLのバージョン変更|管理者マニュアルをご参照ください。

※ EOL時期および新バージョンの提供開始時期は、サポートサイトのお知らせ*1や技術担当者さま宛へのメール*2でご連絡いたします。ホームページ制作を専門の会社に委託している場合や、社内のWEB担当者がホームページ制作をしている場合には、弊社からの案内を担当の方にお伝えください。
*1 サポートサイトに掲載されたお知らせは、コントロールパネルのHOME画面でも確認できます(管理者でログインした場合のみ)
*2 ご契約情報に「技術担当者」の連絡先として登録されているメールアドレス宛にお送りします。技術担当者の連絡先が変わる際は、カスタマーサポートデスクから登録情報を変更してください。

※ バージョンを切り替えることでウェブサイト等MySQLを使用しているシステムに影響が出る可能性があります。
  バージョンを切り替える前に、ご利用中のCMS,プラグイン,独自システム等との互換性をご確認ください。
※ バージョンを切り替える前にバックアップを取得しておくことをお勧めします。
※ バージョンの仕様差分は、MySQL公式サイトをご確認ください。

■ phpMyAdminのバージョンアップ

Bizメール&ウェブでは、提供中のMySQLおよびPHPのバージョンに対応したphpMyAdminバージョンを提供しています。

  • お客さま独自にphpMyAdminやその他のデータベース接続クライアントツールをインストールしてご利用になる場合は、脆弱性情報を確認する等して適宜バージョンアップして運用してください。

■ 使わなくなったサブドメインのDNS情報の削除

Webサービス等の利用開始時に設定したサブドメインのDNS設定がサービスの利用終了後も残ったままになっていると、ドメイン名の管理権限を持たない第三者にそのサブドメインを乗っ取られる危険性があります。

  • 消し忘れで設定したままになっているサブドメイン情報を攻撃者に取得された場合は実害が生じる可能性がありますので、使わなくなったサブドメインのDNS設定(CNAME, A/AAAAレコード等)は忘れずに削除してください。

参照)Subdomain Takeover(サブドメインテイクオーバー)|JPRS用語辞典