セキュリティ対策と言えば,不正アクセス/侵入からシステムを守るための対策,および適切な運用・管理方法だと考えられている。これは間違いではない。ただ,システムをより“セキュア”に運用するには,これら事前の防御策以外にも必要になる知識がある。それは,不正アクセス/侵入された場合の「事後対策」についての知識である。
事後対策の重要性については,最近になって複数のセキュリティ担当者からご指摘をいただいた。特に不正アクセス被害が急増している現在,事後対策の知識の必要性は高まっているという。事後処理の知識がないために,被害を拡大させたり,復旧処理に手間取ってビジネスに大きな影響をおよぼすケースが増えているというのだ。
次のような例が代表的である。Webやメール,DNSなどの複数台のサーバーをインターネットに接続・公開し,このうちWebサーバーが不正書き換え被害に遭った。ただ,Webサーバーが侵害されたのは明らかなものの,他のサーバーが不正アクセスされた痕跡は見つけられない。そこで,Webサーバーのシステムだけを再構築し,セキュリティを強化した。ところがその後,侵入を許していないと判断したサーバー経由で攻撃を受け,被害がさらに拡大した。
このケースで,システム管理者は大きく二つの過ちを犯している。一つはWeb以外のサーバーで,不正アクセスされた事実を確認できなかったこと。二つめは,侵害された可能性のあるサーバー(Web以外のサーバー)をそのまま放置・運用したことである。
不正アクセスを的確に見つけられなかったのは,「事後対策」まで考慮した対策を事前に講じていなかったからだ。不正アクセスを的確に見つけるための対策はいくつかある。基本的な対策はログを記録することだ。ただ不正侵入された場合,侵入者の多くはログを消去して,自らの痕跡を残さないようにする。本当に万一のことを想定するなら,ログ・サーバーを別に構築し,ログ・データをローカル・ディスクに加えて,別マシンで稼働するログ・サーバーにも残すようにすべきである。
「サーバーの挙動がどうもおかしい」「見知らぬアクセスがやたらと増えている」などの理由で不正アクセスの疑いを感じる場合,稼働しているサービスやプロセスなどを調べることで不正アクセスの有無を確認する。心当たりのないサービスが稼働していないか,覚えのないポートが待ち受け状態になっていないかなどを調査するのである。これが事後対策だ。この場合も,正確な調査ができるように,正常時にどのプロセスやサービスを動かしているのかをしっかり把握(記録)しておかなければならない。そうでなければ,万一の場合に何が正常で,何が異常なのかを判断できない。
不正侵入された場合,侵入者はシステムにトロイの木馬やバックドア・プログラムなどを残す場合がある。システムに不審なファイルがないかを調べることも,事後処理の大切な作業の一つである。この場合も正常時の状態を記録しておかなければ,異常に気付かない。Web不正書き換えのように,被害が目で見て明らかな場合はよいが,実際には気付かないうちに被害に遭っているケースが多い。
不正アクセスの事実の有無を確実につかめれば,二つ目の過ちは起こさない。ただ高度な技術を持った侵入者は,痕跡をまったく残さない場合もある。そのため,侵害された可能性のあるサーバーをそのまま運用するのは基本的に避けた方がよい。
これはページを不正に書き換えられたWebサーバーにも言えることである。なかには書き換えられたページだけを修正して,運用を続ける管理者もいる。しかし,これは非常に危険である。危ない橋は渡らないよう,被害に遭ったまたは被害に遭った可能性のあるサーバーは放棄して,OSを再インストールすべきである。
このように,万一のことを想定した場合とそうでない場合とでは,事前に施す対策に違いが出る。例えば,不審ファイルを的確に判断するには「Tripwire」のような整合性チェック・ツールを使う手もある。整合性チェック・ツールはファイルの改ざんを監視し,異常を検知した場合にメールで通知したり,被害状況を把握するためのレポートを生成する。不正アクセス被害を特定する場合に役立つ。
ここに記したことは,セキュリティ対策を施すうえでの当たり前の知識だと思える。しかし,不正アクセスの疑いがある場合にどのような方法・手順で事後対策すべきなのかを知らない管理者は意外と多い。事後処理を考慮しながら,あらためて現在稼働中のシステムを見直してみてはどうだろうか。事後対策の手順と方法については,日経バイト9月号で詳しくまとめている。参考にしていただれば幸いである。
(藤田 憲治=日経バイト副編集長兼編集員)
