Bastille:自学にも適したセキュリティ評価ツール:Leverage OSS(1/2 ページ)
Bastilleはセキュリティの侵害が起こるのを待って反応するのではなく、システムの脆弱性を取り除くことによってセキュリティ侵害を未然に回避する。システムセキュリティを向上させるためのこのソフトウェアを紹介する。
BastilleはDebian、Fedora、Gentoo、Mandriva、Red Hat Enterprise Linux、SUSEのシステムセキュリティを向上させるためのプログラムである。現在利用できるパケットスニファ、アンチウイルスプログラム、大多数のセキュリティプログラムとは異なり、Bastilleはセキュリティの侵害が起こるのを待って反応するのではなく、システムの脆弱性を取り除くことによってセキュリティ侵害を未然に回避する。多くのディストリビューションでは利便性という名のもとにデフォルトのインストール設定のセキュリティ保護を甘くしているが、このアプローチではおのずとBastilleが不可欠なプログラムになる。
Bastilleは単にシステムを強固にするだけのものではない。支援ツールを用いることにより、Bastilleではシステムセキュリティの評価が行える。その内容はCenter for Internet Security(CIS)ベンチマークが提供する評価にも匹敵し、個々のセキュリティ施策の相対的効果を確認できる。さらに、Bastilleは対話的に実行され、それぞれの段階では取りうる選択肢の説明、変更決定の前には必ずその内容を取り消す機会が与えられるため、Bastilleを利用することは、GNU/Linuxセキュリティの入門者を対象としたチュートリアル全体に短時間で目を通すことにも相当する。
システムのセキュリティに真剣に取り組むなら、システムの状態を正確に把握するために、おそらくオペレーティングシステムのインストール中に可能なオプションをすべてカスタマイズすることから始める必要があるだろう。しかし、例えこのアプローチを時間がかかり過ぎるとして拒否しても、インストールの直後にBastilleをインストールして実行すれば、まだシステムのセキュリティを向上させることが可能だ。
Bastilleのダウンロードページには、対応しているディストリビューションごとに最新のパッケージが用意されている。グラフィカルなインタフェースを使いたければ、使っているディストリビューションのリポジトリからperl-tkパッケージもインストールする必要がある。Bastille自体もディストリビューションのリポジトリからインストールできるかもしれないが、その場合はバージョン番号を確認しておくことだ。Debianだと、少なくとも最新版の1:3.0.9は実験版のリポジトリにしか含まれていない。幸いなことに、依存関係はあまり重要でないので、不安定版やテスト版を使っていてもインストールによって環境が破壊されるようなことはない。以前にリリースされたものも役には立つが、評価機能など一部の機能が欠けている。この記事ではBastilleの最新バージョンを取り上げるので、一部の説明は以前のバージョンには当てはまらない可能性があることに注意してもらいたい。
まず、rootでログインしてbastille -aと入力すると、セキュリティの現在の状態が10段階で評価される。この評価の尺度は絶対的なものでも累積的なものでもない。つまり10点満点は、すべての予防措置を取っていることを示すだけであって、システムが各種の攻撃に耐えられることを示すわけではない。また、10点と評価されたシステムのセキュリティの高さが5点のシステムの2倍あるわけでもない。
ただし、システムの全体的なセキュリティ性を示す一般的な指標としては確かに役立っている。この評価はサービスの稼働率や新規ファイルのデフォルトパーミッションといった標準的なセキュリティの尺度に沿って行われ、各項目はその重要性に応じて重み付けがされている。セキュリティの専門家であれば重み付けのカスタマイズが可能だが、おそらく大半のユーザーはデフォルトの重み付けに不満を感じることはないだろう。
最初の評価結果を記録した後(結果は/var/log/Bastille/AssessmentでテキストおよびHTML形式で参照可能)、Bastilleを対話的に実行してもう一度評価を行えば、セキュリティが正確にどれだけ改善されたのか、また個々のオプションがどれくらい重要かもはっきり分かるだろう。Debianテスト版の2つの環境でわたしが実施した評価の結果が典型的なものだとすれば、使っているディストリビューションにもよるが、おそらく評価の点数には何の不自由もなく6.0くらいから8.0を上回る程度までの改善――インストール直後の状態に比べ明らかに大きな改善――が期待できるだろう。
Copyright © 2010 OSDN Corporation, All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- トレンドマイクロが推奨する、長期休暇前にすべきセキュリティ対策
- AWSリソースを保護するための5つのベストプラクティス CrowdStrikeが指南
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
ITmediaはアイティメディア株式会社の登録商標です。