セキュリティ診断
システム管理のつぼ(2015年8月号)
OSS研究室 大野 公善
サイバーテロ・情報漏洩等、情報システムにとっては深刻な問題が多く発生しています。情報漏洩事故が発生してしまうと、企業の社会的信頼を失うことになったり、莫大な損害賠償が必要になったり、企業存続の危機になってしまうことも考えられます。
情報システム管理者としては、このような問題の対策を行うためにも万全のセキュリティ対策を行っておく必要があります。
「LinuxはセキュアなOSだから安心」と思われている管理者の方もいらっしゃるかもしれませんが、標準設定のまま使用していると思わぬ脆弱性が潜んでいることもあり、安全にシステムを運用しているとは言えません。また、セキュリティ対策がしっかり行われていても、ソフトウェアに脆弱性がある場合があり、そこを攻撃される可能性もあります。
では、自社のシステムのセキュリティ対策がきちんと行われているかを確認するにはどうすればいいでしょうか?
こんな時にセキュリティ診断が有効です。
セキュリティ診断は、適切にセキュリティ対策がされているか、脆弱性がないか等を実際に攻撃をしてみて検査するものです。
セキュリティ診断にはいくつかの方法があります。
[ポートスキャン]
システムが待ち受けているポートを検査する方法です。
ウェブサービスは80番、メールサービスは25番等、必要なポートは待ち受ける必要がありますが、それ以外の不要なポートは閉じておくのが安全です。ポートスキャンでは、意図しないポートを待ち受けていないかを確認することができます。意図しないポートを待ち受けていることがわかった場合はすぐにそのポートを待ち受けているサービスを停止したり、ファイアウォールで通信を遮断したりする対策が必要です。オープンソースソフトウェアのポートスキャンツールではnmapが有名です。
[脆弱性スキャナ]
実際に診断するシステムに攻撃を行ってみる方法です。
多くの脆弱性スキャナソフトウェアは、脆弱性パターンデータベースを持っており、そのパターンに従って、診断するシステムに攻撃を行ってみます。攻撃が成功した場合は脆弱性が発見されたということになります。
その他、システムにログインして、インストールされているソフトウェアのバージョンを確認し、脆弱性が含まれているバージョンのソフトウェアではないかを確認する機能を持っているものもあります。
脆弱性スキャナは診断するシステムに対して実際に攻撃を行うため、診断の内容によってはシステムに影響を及ぼすこともありますので、実施時には注意が必要です。
攻撃パターンや脆弱性はどんどん新しいものが出てきますので、一度、セキュリティ診断を行っておけば安心とは言えません。常に安心できるシステムにするためにも、定期的にセキュリティ診断を行うことが必要です。
例えば、オープンソースソフトウェアの脆弱性スキャナではOpenVASが有名です。OpenVASは脆弱性スキャンを定期的に実行する機能があります。また、レポーティング機能も備えていますので定期診断レポートを簡単に作成することもできます。このようなソフトウェアを使って、自社で定期的に診断できる仕組みを作成しておくのが安心です。