第16回 サーバを要塞化する：知ってるつもり？「セキュリティの常識」を再確認（4/4 ページ）

[海老根猛（三井物産セキュアディレクション），ITmedia]

　要塞化のためには、パスワードの管理も必要な項目となる。予測可能なパスワードを設定してしまう危険性を回避することが目的となるが、決定的な対策を行うのは難しい。現状ではパスワード設定のルールを決めておくのが最善と思われる。または、パスワード管理ソフトなどを利用するのもよいだろう。

　いずれにせよrootやadministratorといった権限を持つユーザーのパスワードは厳重に管理するべきである。サーバだけでなく個人が利用するようなPCにおいても重要なポイントとなってくるので、よく注意を払ってほしい。

5.不要なファイル、プログラムを削除する

　これは意外と見落としがちな作業だが、重要な意味がある。OSやアプリケーションをインストールすると、サンプルプログラムも一緒にインストールされることがある。サンプルプログラムの中には脆弱性が存在するものもあるため、攻撃の対象となってしまう可能性があるのだ。テストで使用したファイルやプログラムがアクセスできる状態になっていると、このプログラムの不備を利用した攻撃を受けてしまう恐れがある。

　このような危険性を回避するためにも、不要なファイルやプログラムはサーバ上から削除するか、アクセスできない場所に移動する必要がある。この種のファイルやプログラムはネットワーク脆弱性検査で検出されることがあるので、余裕があれば試してみてほしい。

　Unix系ではファイル管理ツールとして、Tripwireが有名である。ファイルの改ざんやファイルの追加、削除の部分まで管理したい場合は、利用するとよいだろう。

6.ログの管理

　これまでの対策に比べて事後的なものになるが、ログの管理は、OS・アプリケーションの設定ミス、アクセス権の設定ミス、アプリケーションに対する攻撃の発見とさまざまな効果を発揮する。公開しているサービスのログは、できる限り取得するのがよい。4.で語ったような「どのようなユーザー権限でサーバにアクセスしているのか」を発見することもできるだろう。

　ログを管理するものとして、Unix系では「syslog」が代表的である。なお、ログを解析するものとしては「swatch」「logsurfer」がある。ログの中から条件にあったものだけを電子メールで送信するといったことが可能だ。詳細はマニュアルやWebサイト（swatch、logsurfer）を参照してほしい。

　同時に複数のネットワークデバイスのログも管理する必要があり、膨大な量になるのであれば、第12回で紹介したSIM（Security Information Manager）の導入を検討するのも手だ。異常の発見や統計を取る助けとなるはずである。

そのほかの対策

　ここで紹介した対策以外にも「暗号化」や「IDS/IPS の導入」などといった方法があるが、いずれも先に紹介したような基本的な対策が行われていることが前提となる。

　特にIDS/IPSは、システムを要塞化したうえで導入するのが効果的だ。通信に対して危険かどうかの判断を早い段階で行うことができ、より堅牢な要塞化が可能になる(関連記事）。

　なお、前回紹介した「ネットワーク脆弱性検査ツール」を利用して検出した脆弱性をもとにして、要塞化するのも有効な対策である。もちろん、基本的な対策を行ったうえで検査するのが効率的だ。定期的に検査を行えば、より効果的に要塞化することができるだろう。

---

　要塞化は一度行えばそれで終わりというものではない。継続的に実施するものだと認識してほしい。サーバの構成が変更になった場合や、新たな脆弱性が発見された場合には、再度、要塞化の作業が必要になる。自分の組織で行うには工数がかかりすぎる部分には、セキュリティ製品を導入するとよいだろう。

　最後になったが、実施した要塞化の記録を付けておくことを忘れてはいけない。あなたの要塞をほかの人が理解するためにも、あなたが忘れないためにもとても重要なことである。