現在、企業でよく利用されているOSは、ほとんどがMicrosoft Windowsと Red Hat Linuxです。Windows OSやそれらの上で動作するアンチウイルスソフトウェアには、毎月、毎週、あるいは毎日パッチやパターンファイルがリリースされることはよく知られています。
Windows搭載端末を管理するシステム管理者は、基本的にはこれらのアップデートをこまめに実施します。その主な理由は「Windowsはウイルスに感染しやすい」、「Windowsは攻撃されやすい」等になります。しかし、Windowsだけでなく、全てのOSには適切な管理が必要です。以下では、ユーザの視点から個人端末の情報セキュリティ保護について説明します。
1. ユーザ編 (個人端末管理)
一般的に、朝出社してまずやることは端末を起動することです。起動後、端末はインターネットに自動で接続されますが、これが同時にセキュリティリスク発生の開始時間でもあります。
以下で一般ユーザの個人端末でよくある情報セキュリティリスクと予防措置について紹介します。
- ソーシャルメディア
ソーシャルメディアは気をつける重要なポイントです。一部の企業の環境ではSkype、LINE等インスタントメッセンジャーを制御しておらず、ハッカーはこの類のソフトウェアを使って、好奇心を刺激する出所不明のリンクを送信します。一度リンクをクリックすると、端末は不明なプログラムに侵入されてしまいます。その背後のハッカーはさらにネットワークを通して、ユーザの操作を把握したり、端末上の個人情報や会社の機密ファイルを盗んだりできます。
- 端末アカウント、パスワード保管
セキュリティの社内運用ルールで、3か月に一度のパスワード変更をユーザに要求することがあります。パスワード自体にもセキュリティ複雑度は設定できますが、パスワードを忘れそうになるユーザや変更が手間だと感じるユーザは、パスワードを紙に書いて端末に貼り付けたり、暗号化されていない電子ファイルにして保存してしまったりすることがあります。悪意ある人はこの不注意を利用して、端末の重要ファイルを盗むこともあります。またはユーザを偽装して、他の攻撃を実施することもあります。そのため、ユーザは自身のパスワードとアカウントを適切に保管する必要があります。席を外すときにも端末にロックを掛ける習慣をつけるべきです。
- アプリケーションアップデート
一般ユーザの端末にはOSがインストールされ、さらによく使うソフトウェアとしてアンチウイルスソフトウェア、Office、Adobe Acrobat等がインストールされています。これらのアプリケーションはセキュリティホール対策などで定期的にアップデートが公開されます。これらのアップデートを実施しないと、セキュリティホールから攻撃、侵入される可能性があります。
- ユーザの認識
最後に一番重要なポイントは、ユーザの情報セキュリティリスクに対する認識です。社内で使う頻度の高いブラウザ、Outlook等のツールに対しては、注意を引く件名や同僚・友人に偽装したメールで添付ファイルを開かせようとする攻撃があります。またはブラウザの検索で不明なサイトのファイルダウンロードを誘導します。これらは防ぐのが難しいセキュリティホールです。防止するにはユーザのセキュリティ意識に頼る場合も多々あります。
また、Emotetと呼ばれるものに感染させ情報流出を加速させる偽メールが出回ったり、Web広告を悪用してAmazonや銀行サイトによく似せたサイトに誘導されたりする方法が多くありますので、少しでも怪しいと思ったら開かない、というような教育が重要です。
前述のシステム管理とウイルス脅威に対して、システム管理者としてはしっかり管理して、脅威を防止しなければなりません。突発的な事故やインシデントに対策できなければ、企業の中心である業務が停滞し、利益にも影響しかねません。
次は、サーバセキュリティ保護について有効な対策を紹介します。
2.管理者編(サーバ管理)
システム担当者が出社する時、まずはネットワークの稼働、オンラインシステムの動作など定例確認業務を実施します。もし異常が起きた場合は、軽くてもサーバ再起動、重い場合はログ、パケット異常、内部攻撃、外部攻撃、アプリケーション不具合、OSアップデートによる不具合など、全ての可能性を確認する必要があります。ここで原因を究明できなかった場合、さらに時間とリソースを投入して、事象を解決する必要があります。これらの異常の主な原因はOSのセキュリティに起因することが多く、以下で基本的なサーバセキュリティ制御を紹介します。
- Windows OS
(1) OSアップデート
OSインストール後はインストールバージョンにSP1、SP2等のアップデートがないか確認して、Windows Updateに最新のアップデートを適用します。
(2) アプリケーションアップデート
一般的にサーバはデータベース、アンチウイルスソフトウェア、サービスに必要なアプリケーションなどをインストールするので、これらも最新のPatchを適用する必要があります。
(3) アカウント、パスワード管理
サーバのデフォルトAdministratorアカウントはリネームして、不正アクセスの成功率を低下させます。さらにパスワードの複雑さルール、ログイン失敗ロック回数も設定して、前回ログインしたアカウントも非表示にする必要があります。
(4) 権限管理
リモートデスクトップを利用できるアカウントとIPアドレスを制限します。共有フォルダにはそれぞれ作成/削除/変更/読み取り専用の権限制御を設定します。
(5) 単純化作業
サーバ上でブラウザによる不用意なネットサーフィンを実施せず、必要のないソフトウェアはサーバにインストールしないようにします。
(6) 監視の仕組みを構築
システム管理者が管理するシステム数が多いと、人力でのサービス、システム監視は非効率です。このような場合はツールを使って、システムのサービスと状態を監視します。
- Linuxシステム
(1) システムアップデート
KernelはLinux OSのコアで、メモリに常駐してOS他プログラムをロードして、OSの基本機能を実装します。Kernelが端末とネットワークの各種機能をコントロールしているので、システムセキュリティの観点からシステムコアは頻繁にアップデートすべきで、インストールしているアプリケーションサービスも一緒にアップデートする必要があります。
(2) 必要のないデーモン(サービス)を無効にする
一部バージョンのLinuxシステムはインストール後、デフォルトでいくつかのネットワークサービスを起動します。管理者にとって必ずしも使うものではないので、インストール後は使わないデーモンを停止し、無効化します。
(3) アカウント制御
個別のユーザアカウントを作成して、複雑度を備えたパスワードを使用します。Rootによる直接ログインを回避することで管理者の操作履歴を追跡します。
(4) 権限制御
管理者のログインIPを制限して、アカウントごとに権限を割り当てます。さらにユーザごとにグループを分けて、各IDを担当メンバーに当て、メンバー移動時は即時に当該アカウントを削除します。
(5)セキュリティ保護を強化
SSHでネットワーク上の情報を暗号化します。SSHは安全的にリモートホストにログインでき、またホスト間で安全的に情報を転送できます。SSHはLinuxホスト間のセキュリティ通信を保障するだけでなく、WindowsユーザもSSH経由で安全的にLinuxサーバに接続できます。
(6) 監視の仕組み
Linuxの標準で各種監視の仕組みを備えています。管理者はこれらの仕組みによってシステムの状態を有効に把握できます。
3.予防と保護編(企業管理)
インターネット上のセキュリティ脅威は尽きることがなく、日進月歩とさえ言えます。これらの脅威は旧来のアンチウイルスソフトウェア以外、他に有効な予防策はあるのでしょうか。以下は弊社としての考えです。
- アンチウイルスソフトウェア
伝統的なアンチウイルスソフトウェアは悪意のあるプログラムに後手で動くことになりますが、既知の悪意プログラムに対しては現状で一番有効な手段です。
- アプリケーション行為の制御
通信ソフトウェアのアップロード/ダウンロード禁止、P2P接続禁止、Shareソフトウェア禁止、既知のブラックリストサイトを禁止、ユーザの対外的なTCPポート利用禁止等を実施することで、不明なプログラムによる外部接続を防止して、機密漏えいのリスクを軽減できます。
- デバイス制御
ユーザのUSB、CD/DVD/BDドライブ、個人所有の外付けHDDのデバイスを禁止して、外部のウイルスが内部に持ち込まれることを防止します。
- ホストマシンのセキュリティポリシーを強制
例えば、Active Directoryの機能でセキュリティポリシーを配布することで、アップデートの自動適用やパスワード複雑度の強制などができます。
- ログの記録と管理
専用のソフトウェアでログを収集・管理して、悪意のあるユーザの操作を追跡し、操作ユーザを判別します。
(端末ごとの行動管理ができる製品を利用してログを収集するのが一般的ですが、弊社TotalSecurityFortはドライバを用いてコアな部分からログを取得するので、より高度に追跡可能です)
- 情報セキュリティ意識の強化
定期的に情報セキュリティの講習会を開いて、ユーザの情報セキュリティ意識を強化することで、セキュリティリスクを軽減できます。
全体的に情報セキュリティとは互いが繋がった保護の仕組みで構築されています。情報セキュリティをドベネックの桶で例えると、攻撃側は一番脆弱な箇所を攻めれば、全体の保護が瓦解します。
また、情報セキュリティに100%の保護は不可能なので、企業のリスクを低減するにはセキュリティホールを絶え間なく対策し続けるしかありません。これは企業の責任であり、たゆまぬ努力と関心を必要とします。