ホストの要塞化
ホストの要塞化とはOSをはじめとするソフトウェアに内在するバグや設定ミスなののセキュリティホールを塞ぎ、堅牢な状態にすること。
5.2.1 ホストの要塞化の概要
要塞化を行う作業として次のようなものがある
- OSやアプリケーションのバージョン最新化
- パッチの適用
- 不要なサービスや機能の停止
要塞化の必要性
アプライアンス製品であれば出荷時点で一定のセキュリティ対策が行われていると考えても良いが、汎用的なサーバ製品などの場合、最低限の設定さえすればすぐにでもサーバとして利用可能な状態になることが多い。使い勝手としては良いがその反面不要なコマンドや機能が立ち上がってる状態となり、セキュリティ面からすれば危険な状態である。 また、出荷時に標準でインストールされているソフトウェアは最新のものではないため、外部からの侵入を許したり、管理者権限を奪われる危険性もある。
要塞化の重要性
Webサーバの要塞化のイメージ |
---|
インターネット上ではポートスキャンなどの調査行為は無差別かつ日常的に行われている。そのため、要塞化がなされていないサーバはすぐに見つかってしまう。脆弱なサーバを見つけた攻撃者はそのサイトのセキュリティレベルが低いと判断し、さらに徹底的な調査攻撃を仕掛けるだろう。
逆に要塞化が十分に行われているサイトはセキュリティレベルが高く、侵入が困難だと攻撃者が判断し、行為を思い留めるだろう。
要塞化されていないサイトとされているサイトの違い |
---|
5.2.2 要塞化の主な実施項目
①最適なパーティション設計
設計に当たって基本的な考え方は「用途や更新頻度などが大きく異なるデータを同じパーティション内に同居させない」ことである。 用途や性質が異なる領域については別のパーティションを割り当てるのが望ましい。
- OSの中核となる部分(カーネル)の保存領域
- アプリケーションプログラム(ソフトウェア)の保存領域
- ユーザーのデータ保存領域
- ログの保存領域
パーティションを区切ることによるメリット - バックアップやバージョンアップが実施しやすくなる - ハードディスクの論理的な障害への対応がしやすくなる - アプリケーション領域の容量増加がシステム領域に影響を及ぼさない
②セキュアなファイルシステムの選択
アクセス権の設定可否、暗号化機能の有無など利用できる機能に差があるためもっともセキュアな設定が可能なファイルシステムを選択する。
③最新のバージョンのソフトウェアを最小構成でインストールする
古いバージョンのソフトウェアには既知の重大なセキュリティホールが存在していたり、対策上重要な機能が組み込まれていない場合もある。 そのため、特定のアプリケーションプログラムが正常に動作しないなどの特別な理由がない限りは最新のバージョンのソフトウェアをインストールする必要がある。 また不要な機能をインストールしないように、最小インストールやカスタムインストールをで最小限の構成でインストールすること。
④パッチの適用
既知のセキュリティホールを塞ぐため、最新のパッチを適用すること。
⑤不要なサービスや機能の停止
不要な機能やサービスがセキュリティホールとなる可能性があるため、不要な機能やサービスは本番環境では全て削除すること。 またサンプルで用意されているデータやフォルダもあるため、合わせて削除すること。
⑥不要なグループ、アカウントの削除及び不要な共有資源の解除
インストールしたばかりのOSには不要なユーザーやグループが存在している場合があるが、それらが不正に利用されることを阻止するため、不要なユーザー、グループは削除すること。 また、よくある名称(rootやadminなど)は変更すること。
⑦推測困難なパスワードの設定、及びパスワードチェック機能の有効化
有効な全てのアカウントに対し、推移即困難なパスワードを設定する。一般的に次のようなパスワードは推測されやすく、脆弱とされている。
- 短いパスワード
- 複数の文字種類を使用していないパスワード
- ユーザーIDと同じもしくは酷似しているパスワード
- 名前や生年月日などの個人情報を用いたパスワード
- 初期設定のまま変更されずに使用されているパスワード
- 長期間変更されていないパスワード
- 辞書に乗っている単語をそのまま用いたパスワード
⑧ディレクトリ、ファイル、プログラムなどのアクセス権の設定
インストールしたばかりのOSはアクセス権が適切に設定されていないため、管理者以外でも重要なファイルにアクセスできるかの性がある。そのため、適切なアクセス権を設定することで外部からの不要なアクセスを防ぐことができる。
⑨ログの設定
重要なファイルへのアクセス履歴やログの成功・失敗の履歴、そのほかセキュリティに関する警告やエラーメッセージなどをログに記録するように設定すること。