第16回 サーバを要塞化する：知ってるつもり？「セキュリティの常識」を再確認（2/4 ページ）

[海老根猛（三井物産セキュアディレクション），ITmedia]

　デフォルトの設定でOSをインストールすると、まだサーバの用途が決まっていないため、いろいろなサービスが稼働するようになっている。サーバの用途に応じてサービスの停止／無効化の設定を行うのが要塞化の第一歩となる。

　作業前にはまず一度、現在の状態を確認することを勧めたい。これにより、作業の結果がより分かりやすくなるからだ。Unix系のOSであれば、「ps」コマンドでサービスの状態、「netstat -a」コマンドでポートの状態を表示できる。Windowsであれば、管理ツールのサービスやタスクマネージャで、稼働しているサービスを確認することが可能だ。ポートの状態は、MS-DOSプロンプト上の「netstat -an」コマンドで表示できる。

Windows管理ツールのサービス 画面

netstatコマンドを実行した画面（Windows）

　設定を変更した後は、停止／無効化したサービスが起動していないかどうか、不要なポートが開いてないかどうかを必ず確認してほしい。より厳重にしたい場合は、アクセス制御ソフトを利用するのがよいだろう。UNIX系には代表的なものとして、「TCP Wrapper」がある。

　さらに、厳重にしたい場合は、パケットフィルタリングを利用するのがよい。パケットフィルタリングは、アクセス制御ソフトを利用するより高速に処理でき、細かい制御も可能になる。しかし、設定が複雑なので、使いこなすつもりであれば専門書などを用意する覚悟が必要だ。

　ネットワークの入り口にあるファイアウォールで、サービスやポートを制限していても、ネットワーク内部のPCがウイルスに感染したら、サーバまで感染してしまう危険性がある。このような事態にならないためにも、サーバ上の不要なサービスは停止するべきであり、ポートや接続元もできる限り制限したほうがよい。

　サービスに関しては「自動起動するかどうか」も確認すべき項目だ。設定で停止したつもりでも、サーバを再起動すると再度稼働してしまうことがある。Unix系であれば「inetd」「rc.d」の設定、Windowsであれば管理ツールのサービスの設定をよく確認してほしい。

2.OSや各種アプリケーションに対するセキュリティパッチの適用