富士通 fujitsu.com室の城崎徹氏
富士通 fujitsu.com室の城崎徹氏
[画像のクリックで拡大表示]

 「サーバーを運用する上では,ログを日々確認して“定常状態”を把握しておくことが重要だ。少なくとも,何事もないときのログの行数やサイズを確認しておく。これらが大きく変化することがあれば何らかの異常が発生していることになるので,攻撃の予兆などをつかめる」---。富士通 fujitsu.com室の城崎徹氏は10月6日,JPCERTコーディネーションセンター(JPCERT/CC)と日本ネットワークインフォメーションセンター(JPNIC)が開催したセミナーにおいて,UNIX系サーバーのセキュリティについて講演した(関連記事)。

 城崎氏はUNIXサーバーのセキュリティ監査やインシデント対応などを担当している。その経験を基に,UNIXサーバーを設定および運用する上でのセキュリティ上のポイントをいくつか解説した。運用上の注意点の一つとして挙げたのが,冒頭で書いたログの確認である。「ログの中身を確認したほうがよいことはもちろんだが,ログの量を確認するだけでも異常をつかめることは少なくない」(城崎氏)

 パッチの適用については,「緊急度の高いものについては即日適用したほうがよい」(城崎氏)とする。「セキュリティ・ホールが公表されてから攻撃コードが出現するまでの期間は短縮する一方である。リモートから任意のプログラムやコマンドを実行されるようなセキュリティ・ホールについては,できるだけ早急にパッチを適用したい。業務上止められないようなサーバーについては,DoS(サービス妨害)攻撃を許すようなセキュリティ・ホールも,緊急度の高いセキュリティ・ホールと考えたほうがよいだろう」(同氏)

 とはいえ,サーバーを守るにはパッチの適用だけでは不十分であるという。「セキュリティ・ホールへの直接的な攻撃を防ぐためにパッチの適用はもちろん重要である。しかしパッチの適用だけでは,脆弱な初期設定あるいは設定ミスによる問題は解消できない。攻撃の足がかりになるような情報の漏洩も防げない。適切な設定で不要なサービスやコマンドを無効にすることや,不必要な情報を漏らさないようにすることも重要である」(城崎氏)