第16回 サーバを要塞化する：知ってるつもり？「セキュリティの常識」を再確認（3/4 ページ）

[海老根猛（三井物産セキュアディレクション），ITmedia]

　セキュリティパッチ（修正プログラム）を随時適用することは、要塞化にとって極めて重要な作業となる。OS・アプリケーションの脆弱性は日々発見されている状態で、それにつれて脆弱性を狙う攻撃の手法やウイルスが増えている。そのほとんどは、修正プログラムを正しく適用していれば防ぐことが可能なのである。

　OS・アプリケーションのインストール直後に、セキュリティパッチの適用状況を確認することはもちろんだが、確認する範囲をOSだけに留めてはいけない。普段利用しているアプリケーションの適用状況も必ず確認することが重要である。

　確認する方法の例として、RedHat Linuxなどには「rpm」コマンドがある。rpmコマンドを使用してインストールされているアプリケーションのバージョンなどを調べられる。Windowsであれば、Windows Updateや「プログラムの追加と削除」の画面を活用して確認できる。ただし、これら方法では表示されない場合もあるので、1.で解説したサービスの確認方法と併せて調査するのがよい。

　なお、個人が利用するようなPCでは、フリーツールなど独自に導入したソフトウェアのバージョンにも注意しなくてはいけない。バージョンが古いと、脆弱性が存在することがあるからだ。このような危険性に対しては、利用しているアプリケーションの種類を統一するなどの対策で軽減できるかもしれない。しかし、この辺はマネジメントの範疇になると思われるので、必要に応じて検討してほしい。

　また最近では、「検疫ネットワーク」と呼ばれる製品も登場している（関連記事）。大規模なネットワークでセキュリティパッチを管理する場合には大きな助けになるはずだ。Windowsのみを管理するのであれば、SUS（Microsoft Software Update Services)を利用して、パッチ配布を自動化することも可能だ。しかし、SUSは対応しているWindowsのバージョンに制限があるので、SUSのWebサイトを参照したうえで、導入を検討する必要がある。

3.ユーザー、アクセス権を管理する

　ユーザーの管理は、サーバ・PCのどちらにも必要になる項目である。ユーザーに応じて適切なアクセス権を設定することで、予想外の動作、人的なミスの発生を軽減することができるようになる。そのため、サーバ内には不要なユーザーアカウントは残しておくべきではない。常にroot、administrator権限でログインするような運用も避けたほうがよい。

　また、Webアプリケーションやそのほかのシステムが、「どのようなユーザー権限でサーバにアクセスしているのか」も把握しておく必要がある。これにより、サーバ・PCへのアクセス権と同様に、予想外の動作やミスを軽減できるし、外部からの攻撃への対策としても有効となる。

　管理者権限を管理したい場合、Unix系であれば「sudo」を利用するのがよいだろう。root のパスワードを共有する必要がなくなるうえ、sudoを使用した時のログを残すことができる。特にログを残せるのは大きな利点だ。ほかには、PAM（Pluggable Authentication Module)を利用する方法もある。

　Windowsの場合は、「コンピュータの管理」コンソールからユーザーの管理を行えるので、不要なユーザーや不要なユーザーグループは無効にするか、削除してしまうのがよいだろう。一般のユーザーが管理者権限を使用したい場合は、「runas」コマンドを使用するなどのルール決めも有効な手段となる。

ユーザーの管理（Windows)

4.パスワードの管理