サーバは企業にとって一番重要なエンドポイントデバイスで、サーバルームに長期間配置されていますが、組織運営にとって必要不可欠な存在です。サーバと繋いでいる保存デバイス(ハードディスク・ストレージ・NAS)も機密データや個人情報などが保存されている場合が多く、さらに企業自体の規模や組織体系に応じて管理の仕方も変わるので、セキュリティ的にも様々な面があります。
サーバの管理運営は大まかに以下のパターンがあります。
- サーバの保守要員が企業や法人内にいる情報技術者やシステム管理部門のパターン
- 第三者経由の外部で運営管理しているパターン(政府機関の外部委託や外部SOCなど)
- 公共機関がコロケーション案件を発注して入札企業がファイアウォールなどのセキュリティ関連を担当するが、サーバ自体の管理権限が発注元に残るパターン
- 政府・公共機関や一部企業がよく採用するパターンで、外部ソフトウェアメーカーやSlerなどに発注して、入札企業がサーバやシステムを運営管理する(サーバの管理は機関のメンバーだけでなく、入札企業にも依頼する場合が多い)
サーバを完全かつ有効的に管理するには、まずサーバ自体の運用パターンを理解する必要があります。サーバのセキュリティはサーバが提供した内部/外部向けのシステム・ファイアウォール・WAFなどの仕組みに留まらず、サーバ自体に保存されている機密データにもかなり影響します。さらに言えば、サーバ自体がエンドポイントでネットワークにより各サービスと繋がっています。それらサービスを使用・操作しているユーザも同じくセキュリティに影響します。ここで言うユーザは一般的にインターネットや使用権限を持つユーザだけでなく、サーバ運営者やデータ保全メンバーも含まれています。ここからは人(Users)のタイプやロールの観点で、特にゼロトラスト(Zero Trust)という前提で、サーバ管理におけるセキュリティ対策を論じたいと思います。
サーバにとっての内部/外部セキュリティリスク
ほとんどの情報セキュリティフォーラムなどの討論は、サーバのセキュリティリスクを外部からの侵入やデータ窃取に重きを置いています。しかし、現場の情報セキュリティ担当職員や情報システム部門に話を聞くと、このような討論から漏れているリスクが多々あります。以下の具体例を共有したいと思います。
- 情報システムの開発を外部に委託する場合、しばしば「第三者の受注開発メーカー」が安全であるという前提で進行します。このため、外部委託を受注した開発メーカーが国家レベルのハッキングを受ける事件も少なくありません。サーバへの操作に対するセキュリティ制御が無いのも非常に危険な状況と言えます。
少し角度を変えて、内部情報システムのリスクを見てみましょう。大多数のWebベース情報システムはWebサービスが古いか、使用しているAPIのセキュリティホールが対処しづらい問題があります。ひどいものはHTTPSでさえ構築されていません。さらに受注した開発メーカーによるメンバー管理を考えると、担当者はリアルタイムで開発者の操作を確認できません。結果的にデータベースのデータが外部に保存されているかどうかも把握できず、データベースの所在も把握できません。このように外部委託における管理はそのままセキュリティ対策に繋がります。 - 社内の情報技術者や情報システム部門の人員管理について、過去には情報技術者がサーバ空間をプライベート空間として利用する例もあり、ここから重要データが流出するリスクも決して無視できません。単純な人員管理だけではこういった違反行為を見つけられないため、サーバルームの入退室・サーバへのログイン・仮想化によるリモート操作などのデータはサーバの操作ログとして記録/解析することで、これらメンバーの行動を把握することも重要です。
この2つの例は氷山の一角に過ぎません。サーバセキュリティに関して、企業の上層部が実際の状況を把握するのは難しいです。サーバ管理で単純にHDD空間使用率90%の警告を出すだけでは不十分で、操作メンバーに着眼したセキュリティ管理が必要になります。対内/対外ともに安全に制御できるようなより良いソリューションを考案してサーバを運用しなければなりません。これは組織にとって重要なマイルストーンの1つです。
サーバセキュリティ対策で重視すべき要素
サーバセキュリティには、大まかに7つのセキュリティ要素があります。この7つの要素を検討する前に、サーバのサービス運用における最低ラインを決める必要があります。
- サーバの内部/外部サービスシステムにおけるセキュリティソリューションはサーバ性能への影響を抑えるべきです。完全性と可用性の間でバランスを取らなければいけません。優秀なセキュリティ製品は性能テストやストレステストの実証数値を出すので、管理者からの信頼も高くなります。もちろんシステムに対する保護力も十分でなければなりません。
- SOC運営、ソフトウェア開発外部委託、サーバのセキュリティ制御すべてに厳密な操作フローを決める必要があります。権限を付与された時のみサーバの再起動やネットワーク切断を実施できるようにし、緊急対応手順も規定して、情報技術者が迅速対応できるように考慮すべきです。
- こういったセキュリティ制御の仕組みで一番優先すべきことはIT担当者 (情報技術者・情報セキュリティ部門や外部委託)の緊急インシデント対応、普段のリスク整理の補助にあり、根本の目的はIT担当者の煩雑な作業や負担を軽減させることです。
サーバにおける7つのセキュリティ項目は以下になります。
- 外部委託(第三者)メンバーのセキュリティ管理
誰(WHO)がUSB保存デバイスを使用しているか?どういう方法(HOW)でサーバのネットワークサービスからデータをインターネットに送信しているか等 - ランサムウェアと悪意プログラムのブロックと制御
サーバのタイプに応じてファイルの保護仕組みを設計する - システムの安定性とパフォーマンス監視
例えばCPU 90%超えの使用率と時間、またはハードディスク使用率が90%超えた場合の警告などはよく見るパフォーマンス監視項目です - データベースとファイル共有サービスのセキュリティとパフォーマンス監視
データベースとファイルサーバは組織の重要データ保存場所で、これらに対するセキュリティ施策は情報漏えいのリスクを軽減できます - Webベースサービスのセキュリティとパフォーマンス監視
Web ベースシステムは組織の根幹ともいえる存在で、晒される脅威は外部のハッキングだけでなく、内部犯行によるデータ窃取も多く見られます - 予防の観点から漏洩するリスクの高いデータとルートを制御する仕組みを設計して、EDRのリアルタイム警告やブロックと合わせて対応する
- 内外の監査に必要な解析報告をサーバによって迅速で簡単に作成できる仕組み