公開Webサーバのセキュリティは大丈夫ですか？：目指せ！ ネット時代の幸せな管理者（3）（2/3 ページ）

[山崎 佑司，＠IT]

脆弱（ぜいじゃく）性検査を実施する

　Webサーバに限らず、サーバのOSやアプリケーションには少なからず脆弱性が存在します。また、脆弱性は日々発見され、情報公開されています。

　脆弱性の深刻度は、その時々によって異なりますが、重要度の高い脆弱性から、プライオリティをつけて対応していく必要があります。

　しかし、システム管理者の皆さんは、ほかにもいくつもの業務をお持ちですから、すべての脆弱性に目を光らせているわけにもいきません。そういった場合に有効なのが、定期的に脆弱性検査を行うという手法です。

　脆弱性検査には、いくつかの手法があり、すべてを自前で行うには時間的・技術的に難しい場合もあります。そういった場合には、脆弱性検査サービスを利用しましょう。初期段階で検査項目を洗い出し、実際に検査を実施し、結果をレポートしてもらえます。

　弊社（テオーリアコミュニケーションズ）でも、主に、ハウジングのお客さまに対して、脆弱性検査を実施する場合がありますが、検査のたびに、やはりいくつかの項目で脆弱性が見つかる場合が多いのが現状です。

　脆弱性検査にも、ポートスキャニング、OSやミドルウェアの脆弱性検査、Webアプリケーションの脆弱性検査など、いくつもの段階があります。Webアプリケーションの検査は、さらに、ブラックボックス・テスト(プログラムのコードを知らずに外部から検査する手法)やホワイトボックス・テスト(プログラムの内部コードを知った上で内部構造を検査する手法)などに分類されます。

　しかし、検査の深度や項目が増えるに従い、検査そのものも煩雑になりますし、結果を分析し、対応を検討する労力も増えていきます。まずはできるところから、小さく始めてみるのも一考かと思います 。

侵入検知システム導入のコツ

　脆弱性検査は、定期的にサーバやWebサイトの安全性を確認するものですが、悪意のある攻撃や許可されていないアクセスをリアルタイムに検知する仕組みとして、侵入検知システム（IDS）があります。

　侵入検知システムは、インターネットとの境界に設置して、ネットワーク上を流れるトラフィックを監視し、特定のパターンに合致したトラフィックがあった場合には、管理者に警告を発する、というシステムです。侵入検知システムを導入するメリットは、「異常かもしれない」ことに気付かせてくれるという点だと思います。実際には、誤検知というものが存在しますので、システムからの警告がすべて異常ではないのですが、何かに気付かせてくれる存在であるということは変わりません。

　実際の導入に当たっては、誤検知率をいかに減らすかということが重要となります。誤検知が多くなってくると、システムからの警告が「おおかみ少年」になってしまう、という現象が発生し、いずれ利用されなくなってしまう、という実例も多々あります。そうならないためのチューニングが、実は一番難しかったりするのですが、そこが導入に当たっての頑張りどころとなります。

　手軽に始めるには、オープンソースの「Snort」というソフトウェアを利用する手もありますし、侵入検知システムのアプライアンス製品も販売されていますので、検討してみてください。

　また、侵入検知システムは、不正な通信を検出するためのシステムで、そのアウトプットは「警告」です。それを、さらに一歩進めて、侵入検知防御システム(IDP)という展開もあります。

　侵入検知防御システムは、不正な通信を検出した後、その該当通信を遮断するというアクションを起こします。セキュリティの向上には非常に心強い存在ですが、前述の誤検知の問題もありますので、導入に当たっては十分な検討と検証を行うことが必要ですね。

　また、これらの製品を、実際のネットワーク通信経路に挿入する(インライン型)の場合、機器の故障によって、通信断が発生してしまいますので、障害発生時に通信をバイパスする機能を持った製品を選択したり、ネットワークタップを利用し、インラインに挿入しないような構成にするなども、検討要素となってきます。

　また、最近になって登場してきた、ホスト型IDSやアプリケーション型IDSなども併せて検討していくといいと思います 。