インターネットを利用したビジネスが拡大するなかで,企業システムは不正アクセスやデータ漏えいなど,多くの危機に直面している。情報システム部門はサーバーの安全な設定やパッチの適用,セキュリティ関連情報の収集,ログの監視といったセキュリティ対策に追われ,慢性的な人手不足に悩まされている。

 「セキュリティ対策は底なし。やってもやってもきりがない」と悲鳴をあげる担当者も多い。しかし,このような状況を嘆いてばかりいても前進はない。限られた時間でいかに効率よく対策を実施していくかが重要になる。

優先度を考えて対策を行えば,危険はぐっと減らせる

 そこで考えたいのが,対策の優先順位である。(1)サーバーの適切な設定,(2)パッチの適用,(3)ログの監視,という3つの作業を考えた場合,優先順位は高いものから(1),(2),(3)になる。まず(3)に関しては,「不正アクセスの痕跡を調べる」という事後の対策としては非常に重要だが,サーバーの適切な設定やパッチの適用をせずに“穴が空いた”状態で監視を強化しても本末転倒である。

 次に(2)に関しては,(1)と同様に重要だが,不要なサービスを停止する,不要なプログラムを削除する,プログラムやファイルのアクセス権,など基本的な設定ができていれば,万一,パッチの適用を怠ったとしても,多くのぜい弱性を回避できる。実際,それを裏付けるような数字もある。インターナショナル・ネットワーク・セキュリティ 技術部 シニアコンサルタントの塩月誠人氏が調査した結果では,「過去約1年間に公開されたIISのぜい弱性の82%が,適切な設定や運用を実施していれば防げるものだった」(同氏)。

 適切な設定や運用とは,(1)動的コンテンツのセキュリティ・レビューなどコンテンツの適切な管理が22.5%,(2).htr,.ida,.idq,.idc,.shtm,.shtml,.stm,.printerなどの不要なスクリプト・マッピングの削除が22.5%,(3)Index ServerやFrontPage Server Extensions,WebDAV,RDS,サンプル・アプリケーションの削除など不要な機能,プログラムの停止/削除が18%,(4)システムとデータのパーティション分離,アクセス・コントロール・リストの強化が9%,(5)動的コンテンツはスクリプトの実行権限のみ,静的コンテンツは読み取り権限のみという仮想ディレクトリの適切な設定が5%,(6)NTFSパーティションの使用が5%--である。HotFixesでしか対応できなかったものは,残りのわずか18%に過ぎない。

適切な設定ができていれば,パッチの適用にも“余裕”が生まれる

 もちろん,適切な設定ができていればパッチを適用しなくてもいいというわけでは決してない。設定でぜい弱性を回避できる場合も「システム構成の変更などで設定が元の状態に戻る可能性がある」ため,マイクロソフトでは必ずパッチを適用するように呼びかけている。

 重要なのは,安全な設定が実施できていればパッチを適用する体制に余裕が生まれるということだ。パッチの適用という作業だけでもかなりの労力がかかる。パッチ情報の収集はもちろん,パッチを適用したことでアプリケーションが動かなくなる可能性があるので,事前の検証が不可欠だ。

 だが,ぜい弱性を回避する設定ができていれば,少なくともすぐにパッチを適用する必要はなくなる。パッチの検証にも余裕をもって対処できるようになる。複数のパッチをまとめてあてる,なども可能だ。「パッチを適用するのは当然のことだが,賢く対策しないと駄目。サーバーの基本的な対策ができていないと山ほど出ているパッチをいつも適用しないといけなくなる」(ラック 不正アクセス対策事業本部 取締役 本部長 西本逸郎氏)

 Windows系OSだけでなく,UNIXを使う場合でも同じようなことが言える。例えば,バッファ・オーバーフローの問題を考えた場合,バッファ・オーバーフローが起きたプロセスがroot権限(管理者権限)で動いていなければroot権限をとられることはない。一般ユーザーの権限をとられるかもしれないが,その場合も,rootにsetuidしたプログラム(一時的にroot権限を持てるプログラム)がなければroot権限をとられる可能性は低くなる。

 もちろん,盗聴やトロイの木馬でrootのパスワードをとられるなどの危険性は残るが,サービスをroot権限で動作させない,rootにsetuidするプログラムは必要最小限にとどめる,といった基本的な設定を実施するだけでも効果は大きい。

 実は前述したログの監視という作業だけを見ても,監視すべき対象に優先順位をつけて実施する必要がある。もっとも重要なのは「通常はありえない事象」を見つけることだ。例えば,通常は使用するはずがないWWWサーバーのマシンからtelnetのアクセスが来ている,自分(管理者)がログインしていないのにroot権限で誰かがログインしている,使用していないはずのtelnetdが起動された,といった事象は管理者の携帯電話にメールを送るくらい重要度が高いログである。

 単純にログから「FAILED」や「INVALID」などのキーワードを抽出して不正アクセスの兆候をチェックする作業も重要だが,それよりもまずは上記のような事象の監視を優先すべきだろう。

 セキュリティに関わる膨大な作業の中で,どの作業を優先するか。それを考えずにただやみくもに実施しても,期待するほどの効果は出ない。まずは数多くある対策の優先順位を把握することが,セキュリティ対策を効果的に進めるための近道になる。

(榊原 康=日経オープンシステム編集)

日経オープンシステムの2001年12月号(12月15日発行号)の特集「WWWシステムの“ぜい弱性”を絶つ」では,WWWシステムで実施すべきセキュリティ対策の優先順位,ならびに対策のポイントをまとめました。参考にしていただければ幸いです。