Windows Server 標準管理ツールだけで十分か?
ファイルサーバは重要データを保存する場所で、一般的に侵入者にとっての重要ターゲットになりその動機は破壊や脅迫です。サーバを保護するためのITインフラもしばしばセキュリティホールのせいで侵入工作の犠牲になります。最近のハッキング形式を見ると、メール添付やサイトダウンロードではなく、サーバのセキュリティホールを利用して認証を収集し、感染を拡大させるSamsamという攻撃もあります。このようなインフラの穴をつく攻撃だと、旧来のセキュリティ対策やシステムも防御するのが難しいです。
サーバ保護の難点と問題点
- 修正パッチの適用が難しい
セキュリティの専門家であれば、パッチの重要性を否定する人はいません。しかしサーバへのパッチ適用は決して簡単なことではありません。現代のIT環境は複雑な混合構造になっていて、パッチの仕組みをそれぞれ別途管理する必要があります。重要なインフラシステムであれば、状況に応じて適用スケジュールを遅らせることもしばしばあります。パッチを適用するための作業、検証時はサーバを停止する必要があり、この停止時間に発生する損害が負担できないレベルの組織や企業も少なくありません。パッチ適用自体の時間短縮にも限度があり、確実に適用されたという確認も難しいです。さらにサポートが終了したシステム(Windows XP, Server 2003など)だと、そもそもパッチがリリースされません。 - 内部サーバと外部サーバ
内部サーバと外部サービスを提供するサーバは違い、一般的に内部サーバには重層的な保護仕組みがなく、内部ネットワークであれば信頼する場合が多いです。特にファイルサーバは可用性を維持しなければいけず、どうしても安全性を犠牲することになります。 - ローカルのセキュリティポリシーが不足
Windows ファイルサーバ自体は標準の管理ツール各種を提供しています。例えばローカルポリシーとグループポリシーでの安全性設定とユーザ権限付与があります。これらはドメインコントローラーとドメインメンバー端末の安全性を確保できます。しかし安全性を強めると同時に、クライアント端末のサービスとプログラムとの競合など、デメリットもあります。 - 管理担当者と所有者が異なる場合
一定規模の組織であればADの管理を専門部署に任せられる場合も多く、例えばドメインメンバーであってもセキュリティポリシーの管理権限を持っていない管理者も多いです。 - ログ監査のリソース有限
イベントログが多すぎる場合、追跡したいターゲットが逆に埋もれてしまいます。例えばWindows OSのイベントログなどは、条件を満たす度に下層レイヤーのsyslogが起動されます。このタイプのログは時間とリソースをかけて収集・解析・組み合わせてはじめて理解できる一連の文脈になります。一般的な監査メンバーの処理上限を遥かに超えるため、監査ターゲットの絞り込み自体が難しいです。 - ローカルポリシーとグループポリシーの柔軟性不足
ローカルポリシーとグループポリシーは事前に定義するポリシーで、許可と禁止はあらかじめ決めてあるため状況に応じて調整が難しく、正常な動作と悪意ある侵入の分別もできません。
監査追跡とアクセス制御でサーバの安全性を引き上げる
ファイルのアクセスや動作ログの取得はセキュリティ対策における重要なポイントです。情報漏えいや侵入防止の観点だけでなく、ファイル自体が破壊された場合に即時対応できるようになります。多くの人は外部インターネット経由の攻撃が主なリスクだと思い込みがちですが、2018年Verizonの情報漏洩インシデントのレポートによると20%のインシデントはクライアントでの不注意によるものです。インシデントがどのように起きても「誰が・いつ・どこで・何をしたか?」の活動ログを収集できれば、セキュリティリスクを事前に検知しやくなります。監査追跡のポイントはファイルのアクセスログの活用にあります。一般的によく使うファイルの80%は非構造化データです。そのため、有効なファイル追跡が難しくなります。大規模の組織であれば、さらに複数の非構造化データを扱うことになります。例えばドキュメントシステム、ファイル管理システム、Blob保存ソリューション(SharePointなど)など、これらのシステムは個別に管理する必要があり、セキュリティ担当者にとっては大きな負担になります。
最終防衛戦:専属サーバによる保護
前述の各種状況のようにファイルサーバは各種運用が必要なので、どうしても自身のパッチ管理やホスト型IPS保護プログラムのインストールが難しく、OSの標準セキュリティ制御も不十分である以上、サードパーティのサーバセキュリティシステムを導入すると選択する企業も少なくありません。これらのシステムはファイルサーバのアクセス保護とファイル防御を謳っているものが多いですが、基本的に以下の機能があるものを選ぶべきです。
- ファイルアクセスログ、ファイル使用履歴 (File trial)
イベントログで記録するイベントは基本上層レイヤーの操作が少なく、例えばEvent ID : 5142 A network share object was addedのように行為の断片しか表示されず、他のイベントログと合わせて関連性を調べて初めて操作内容を確認できるので、ファイルの操作履歴をログとして記録できる機能が重要です。ログ内容は基本的に操作端末名・ユーザアカウント・フルパス・パス・ファイル名・保存先や移動先・保存先のデバイスタイプなどの情報が含まれるべきです。 - 中央集権的なログ収集
クライアント側で監視しているイベント、記録したログをクライアントからサーバにアップロードして、データベースに集中保存される機能であれば、追跡のしやすさだけでなくログ自体の改竄や削除も防止できます。 - フォルダ保護で未許可ユーザやプログラムによるファイルの改竄や削除を防止
OSシステムの動作にも影響しない前提で、特定フォルダのファイルに対して未許可のプログラムやユーザによる改竄や削除を防止する機能も必要です。フォルダ保護は柔軟性が必要で、例えばフォルダの.docx がエクスプローラーやwinword.exe 等ドキュメント編集ソフトウェア以外のプロセスからアクセスされた場合は不正行為だと判断できる仕組みがあればなお良いです。 - ファイル共有アクセス制御
ローカルユーザによるサーバログイン時にアクセスできるファイルやフォルダを制御し、未許可のプログラムやユーザ・非信頼デバイスがマイネットワーク経由で共有フォルダにアクセスするのを防止する機能です。不必要な共有やセキュリティ不足の共有フォルダを停止できるとなお良いです。 - アカウント権限管理
不当な権限濫用や未許可の権限引き上げを防止するため、ローカルのユーザアカウントとグループを全面的にリストアップして、存在すべきでない・有効にすべきでないアカウントを集中管理して権限変更・停止や削除する機能です。 - アプリケーション制御
ブラックリスト形式で指定したアプリケーションを禁止して、ユーザのインストールもブロックして、さらに禁止/実行ログも記録する機能です。ホワイトリスト形式であれば、操作メンバーが限定されているサーバにも適しています。ホワイトリストを一度決めれば、リスト以外のアプリケーションは、一切インストール・実行できなくなります。 - デバイス制御
基本的にファイルサーバには組織の重要ファイルが保存されているので、外部デバイスで接続できる場合にはデータの漏えいリスクがあります。電子ファイルだけでなくプリンタなどの印刷機能もネット経由で情報を外部に転送でき、さらに外部デバイスからのウイルス感染というリスクもあります。これらのデバイスを制御できる機能です。
ハッカーにとって、どんな業種でも攻撃の第一ターゲットはファイルサーバです。(Verizon, Data Breach Investigations Report 2017より)セキュリティ対策は当然これらのファイルの保全と安全性が重要になります。理想は必要なメンバーのみアクセスできることです。これを実現するためには各操作やアクセスがルールに則った正しいアクセス権限があるかなどを把握する必要があり、さらにはファイルのアクセス履歴・操作履歴も事細かに記録すべきです。