事例:認証システムFreeRadiusの脆弱性改善支援
今回は、大学様へ認証システムの改善支援コンサルティングを行った事例です。学内で認証システムとして利用しているFreeRADIUSに脆弱性が見つかり、その影響と対策について知りたいというご相談をいただきました。
- 導入企業業種
- 某大学
- ユーザー規模
- 約2500人
- 実施時期
- 2022年2月
- お客様が悩まれていた課題
- FreeRADIUSに関連する脆弱性が見つかり、その影響が判断できていない
- 脆弱性の内容を見ても、対策として何をすれば良いのかわからない
- FreeRADIUSを設計・構築した者が現在いないため、内容を把握している人がいない
デージーネットが提案した「認証システムFreeRadiusの脆弱性改善支援」
FreeRAIUSの脆弱性情報を理解し、対策を共有
FreeRADIUSとは、非常に古くから使われているRADIUSサーバのソフトウェアです。最初のバージョンである0.10版が2001年にリリースされてから、約20年の歴史があり、安定しています。今回、発見されたFreeRADIUSの脆弱性の情報をデージーネットで読み込み、どのような脆弱性なのか、どのような場合に影響を受けるのか、まず理解しました。
検証環境を作成し、動作の確認
現行システムのOSやソフトウェアのバージョン、システム構築時の設定についてヒアリングし、実際に同じ環境になるよう社内で検証環境を構築しました。実際に脆弱性そのものの動作検証はできませんでしたが、環境を構築することで、お客様のシステムの理解がより深まりました。
お客様のQAに対応
検証環境でシステムの動作を確認後、以下の質問に回答しました。
- 特定の認証方式を利用している際にログが記録されているか?
- 特定のクライアントだけ、特定の認証方式を許可するような設定ができるのか?
上記の回答をまとめ、ミーティング時に説明を行いました。
脆弱性の情報や対策方法をまとめ、説明会を実施
お客様の環境についてヒアリングで得た情報と、今回調べた脆弱性の内容を整理し、脆弱性の内容と根拠、対策方法についてまとめました。また、FreeRADIUSを設計・構築した方がいないということで、FreeRADIUSや脆弱性についての専門的な用語を資料にまとめて説明会を行いました。
コンサルティング後の結果
コンサルティングの結果、FreeRAIUSの脆弱性について内容が理解でき、対策が必要なことが判明しました。対策案を説明したことで、脆弱性の影響を把握するため、ログの調査方法や影響を小さくする回避策も理解することができました。現在FreeRADIUSで利用している認証方式など、FreeRADIUSの運用に必要な基本的な用語も理解ができ、今後の構築やサポートにも活用ができそうです。
OSS改善支援コンサルの事例一覧
様々な事例を集めたモデルプラン(費用例付き)をお送りしています。
代表的な事例を集めた「モデルプラン」をお送りしています。費用の例も記載しておりますので、価格感も知って頂ける資料となっております。
ご希望の方は、下記よりお申し込みください。
