RSS

2017/08/07

[緊急点検] 第2のインターネットオレオレ詐欺を防ぐには、ウェブサーバ運営時に必要なセキュリティ対策ガイドライン

Category:

Tag:

blog4_20170807

 

PCからウェブサーバへのダイレクトなアクセスを禁止し、ゲートウェイを介してアクセスさせることの必要性

 

最近、Linuxサーバを利用してホスティングサービスを展開するある企業がランサムウェアに感染し、このホスティングを利用していたお客様のホームページが、ランサムウェアの警告メッセージに変わってしまうというセキュリティ事故が初めて発生しました。残念ながらこのケースでは、身代金を支払ったにも関わらずデータが戻ることはなく、バックアップデータが失われてしまったがために、お客様のホームページは回復困難な状態に陥りました。結局、未だこの事故に関する正確な情報は明らかにされておらず、身代金を窃取した犯人も分かっていません。

 

ただ、この手のセキュリティ事故は、程度や方法の違いはあれ、あらゆる企業において発生する危険性が少なからずあることは事実です。そこでこの機会に、ウェブサービスを提供する企業にとって必須の、ウェブサーバ運営に関わるセキュリティポリシーについて考察します。

 

網分離、ネットワーク分離

 

インターネットに接続して、PCを介してメールを送受信し​たり、ネットサーフィンをする場合、そのPCはいつでもマルウェアに感染する危険性があり、感染してしまうと最終的には、攻撃者によるリモートコントロールが可能になってしまうことを認識しておく必要があります。いくら最新のセキュリティパッチを適用していたとしても、まだ世の中に知られていない脆弱性もたくさん存在するため、自分も知らない間に悪意のあるコードがインストールされて感染してしまう可能性があるためです。

 

下図からも脆弱性の公開直後に攻撃が急増していますが、いくつかは脆弱性が公開される以前から攻撃が発生していることが分かります。

 

ZeroDayToAnalysis

▲ゼロデイ脆弱性公開前後のFW

 

つまり、感染の可能性があるPCの使用は、常にセキュリティ事故が発生するリスクを抱えているため、ホスティングに置いているウェブサーバにアクセスする場合には、分離されたネットワーク上のデバイス、すなわち網分離されたネットワークを介して接続することが大切です。
(もちろん、最近の研究により、ネットワーク分離環境でも様々なリスクがあることが知られていますが、網分離が現実的に最も安全な方法の一つであることは明らかです。)

 

PCからウェブサーバへのダイレクトなアクセスを禁止し、ゲートウェイを経由する

 

ウェブサーバ運営のためにSSHやRDPなどを介してLinuxやWindowsサーバへアクセスをする場合は、便宜上PCからダイレクトにアクセスするケースが多いのが現状です。この際に、オフィス全体や人事・総務チームなど、運用チームと関係のないIPアドレスを許可したり、rootやadminなどの共有アカウントを使用したりする場合には、実際に誰がアクセスしたか履歴を追跡するのに困難が生じるなど、様々な問題点があります。

 

これらの問題点を解消するには、SSHやRDPを介したウェブサーバへのアクセスのために別のゲートウェイを作成し、このゲートウェイを介してのみアクセスができるようにACLの設定を行うのが良いでしょう。なぜなら、この構成にすることで、ウェブサーバにアクセスするための要所となるゲートウェイだけを集中的に監視して管理すればよいからです。もちろん、ウェブサーバから別のウェブサーバへの直接アクセスも遮断し、必ずゲートウェイを介してのみアクセスするように強制しなければなりません。

 

ゲートウェイを介したアクセス時に、2段階認証のOTPを活用する

 

単純なID / PWまたはKeyを利用したアクセスは容易に推測することができるため、悪用されてしまう可能性があります。例えばオペレーターのPCにキーロガー(PCのキーボードの入力内容を追跡するスパイウェア)を設置して認証情報を取得したり、その他の手法を利用して推測されたりすることもあり得るためです。

 

すなわち、接続者が本人であることを確認するために、PC以外のデバイスを介して認証を得る構成にすることが大切です。そこでお勧めしたい最も簡単で効率的な2段階認証は、OTP(ワン・タイム・パスワード)です。SSHやRDPを介したウェブサーバへのアクセス時にOTPを利用して追加の認証を受けるような仕組みにすると良いでしょう。

 

Google OTPはフリーで簡単に利用することができます。また、様々な管理機能を提供するDuo OTPのような市販のOTPの導入も有効です。ただし、OTP導入時の注意点は、ゲートウェイにアクセスする端末(PCなど)とは別のデバイス(スマートフォンなど)を必ず活用しなければならないという点です。もし、ゲートウェイにアクセスする端末にOTPソフトウェアをインストールして利用する場合には、攻撃者に悪用されてしまう危険性が生じることを予め考慮してください。

 

otp_auth_diagram

▲グーグルOTP活用

 

定期的なセキュリティチェック

 

新しい脆弱性は、日々新たに公開されていますが、これをすべて追うことは容易ではありません。セキュリティを専門に担当する私でさへも、オペレーティングシステムに果たしてその脆弱性があるかどうか分かりづらいのが実情です。このような問題を解消するためにOpenVasやnmapまたはNessusなどの脆弱性スキャンを利用して定期的にシステムのセキュリティスキャンを実行することをお勧めします。

 

nessus_scan_result

▲Nessus脆弱性点検結果画面

 

OpenVasやnmapのようなオープンソースまたは公開版であっても、以前とは異なり、誤検知や検出漏れは大幅に改善されており、業務活用に支障はありません。特にホスティングのような大規模システムを運営している場合は、nessusは大きな業務負荷がなく活用できるソリューションです。スケジュール機能を利用して、定期的にスキャンを実行し、結果をメールで受信することができます。

 

ウェブサーバ運営者は、WindowsではなくLinux PCのデスクトップに

 

Windows PCは便利で一般的ではありますが、それだけマルウェアも多く出回っており、感染してしまう危険性も高いのが現状です。そこで、Windows の代わりに、UbuntuなどのLinux またはMac OSのデスクトップPCを利用することで、程度の差こそあれ、感染の危険性を低くすることができます。なお、他にもたくさんのセキュリティ強化策が存在しますが、今回はすぐに導入ができて効果的な一部の必須要素のみを述べることとします。

 

企業において何よりも重要なことは、従業員一人ひとりの「セキュリティ対策への高い意識」であり、これを継続的に維持するためには、最終的には経営陣の意志がとても大切です。セキュリティ対策は保険と似ているところがあります。セキュリティ事故を経験後、対策の重要性を認識し、多額の投資をします。しかし、その後大きな事故もなく時間が経過すると、次第に高い意識は風化され、セキュリティ対策は贅沢品と化して、予算は削減され、企業は業務の効率化を追求するようになります。そして、再び事故が発生し、再び投資を強化するといった、悪循環を繰り返すことになるのです。

 

セキュリティ対策が保険と異なる点は、セキュリティ対策への初期投資をしている間に大きな事故がなく過ごすことができるのは、ただ問題が起きなかったからではなく、その期間、企業のセキュリティチームと従業員が、セキュリティ対策への高い意識を維持するために継続的に努力したからです。「セキュリティ対策への高い意識」をどれだけ社内で維持・継続することができるかが企業の運命を握っているのです。

 

CDNetworksは、PCI DSSやISMSに準拠し、このようなガイドラインやセキュリティ規定に忠実に従うことで、お客様の大切なデータをあらゆるセキュリティ脅威から守ることに全力を尽くしています。

 

 

CDNetworksでは、クラウド型セキュリティサービスを提供しています。サービスの詳細については、以下よりご覧いただけます。
>> クラウド・セキュリティ DDoS
>> クラウド・セキュリティ WAF

 

PAGE TOP