 |
|
|
一昔前に比べて現在は様々な攻撃やウイルスが日々進化しています。攻撃を防ぐためにファイアウォールなどのセキュリティツールを使用しますが、完璧に防げるわけではありません。攻撃を防御するサーバのセキュリティも進化していますが、攻撃するほうも進化しているのです。セキュリティ対策をしていればすでに認知されている攻撃に対しては防ぐ事ができますが、未知の攻撃に対しては無力です。この未知の攻撃に対しての防御方法は自分のサーバが攻撃される前にセキュリティ情報をチェックして防御方法を見つけだしそれに対応することです。防御対策を施す前に攻撃されたらどうすることもできません。ですのでサーバ構築時にセキュリティ対策を施すだけではなくセキュリティ情報の閲覧やセキュリティアップデート作業をするなど常にセキュリティ対策が必要になります。このようにしてセキュリティ対策を施しても攻撃を完璧に防ぐことができないことを認識してください。
|
|
ファイアウォールとはインターネットなどの外部ネットワークからの不正アクセスや攻撃から保護するためのシステムをさします。一言にファイアウォールといってもハードウエア型の製品としてのファイアウォールやサーバマシンにNIC(Ethernetカード)を2枚差してソフトウエアで構築する方法などネットワークの構成によって様々なファイアウォールが考えられます。
| |
ファイアウォールの方式として、パケットフィルタリング、ダイナミックパケットフィルタリング、アプリケーションゲートウェイ、ステートフルパケットインスペクションの4つの方式が一般的です。
|
| IPパケットのヘッダ情報(発信元・送信先のIPアドレス、プロトコルの種類、パケットの向かう方向、ポート番号)を調べてパケットの通過・遮断を行う機能です。 | | 処理速度 高速 | 消費資源 少 | 安全性 低い |
| IPパケットのヘッダ情報のほかに時間帯や履歴などの動的なルールによって通過・遮断を行う機能のためパケットフィルタリングに比べてセキュリティは高まる。 | | 処理速度 中速 | 消費資源 中 | 安全性 中 |
| サーバとは別にゲートウェイコンピュータ(プロキシサーバ)を用意し通信要求をゲートウェイが受け取り・処理し、ゲートウェイ自身が改めて外部とのデータ送受信を行う。 | | 処理速度 低速 | 消費資源 多 | 安全性 高い |
| 企業向けのファイアウォールとして大きなシェアを誇るチェックポイントソフトウエアテクノロジーズの製品として初めて搭載された機能です。トランスポート層のセッションの開始・終了だけでなく、セッションの状態や流れるデータの中身までをチェックしてパケットの通過や遮断を決める方式。 | | 処理速度 中速 | 消費資源 中 | 安全性 高い |
|
ファイアウォールの最も一般的なポリシーとして社内LAN側とインターネット側のほかにDMZ(DeMilltarized Zone)という公開サーバ用の第3のセグメントを設ける方法があります。公開サーバはインターネット側からのアクセスを受けることになるため、クラッキングの餌食になりやすい。そのため、公開サーバを社内LAN内に設置することはかなり危険です。そこで、公開サーバをDMZに設置し社内LANとインターネットと違ったセキュリティルールでファイアウォールを運用するのです。万一公開サーバがクラッキングされても社内LANとは別のセグメントなので外部からの攻撃を遮断することができます。(下図)
|
|
侵入検知システム(不正アクセス監視システム)はネットワークを流れるパケットを監視して、不正アクセスと思われるパケットを発見したときに警告を発するとともに、当該通信記録を収集し保存する仕組みです。
| |
商用などのプログラムやハードウエア製品によっては警告を発すると同時に不正なセッションを切断したりファイアウォールのルールを変更するなどの機能をもっているものもあります。
| |
IDSの不正アクセス検知方式は事前に準備したルールをもとに検知する方法と統計によって生成された攻撃パターンをもとに検知する方法があります。ですのでルールなどの設定によっては誤検知/過剰検知が多くなる場合があり、正常な通信でも攻撃として検出されるケースが多いです。
| |
IDSは不審なパケットを検知することができても、そのパケットがもたらす影響やその通信による不正行為が成功したかどうかについては検知できないのであくまでも不正アクセスがあったという警告を発するプログラムです。また、日々新し攻撃方法が試されるクラッキングに対してルールを常に最新のものにすることが前提条件ですが、まったく未知の攻撃に対しては効力を発揮しません。
| |
上記で述べたようにIDSは不正アクセスの検知システムですのでルールの更新や不正アクセス元の通信の遮断といった作業を最終的には人間の手で行うことになります。
|
|
|
 |
| | 侵入検知システム。事前に準備したルールや攻撃パターンと比較することによって攻撃を検知します。 |
| | | PHPとMySQLデータベースを使ってSnortの検知結果をWebブラウザで閲覧できるようにするプログラム |
| | | システムへ不正侵入に成功したクラッカーはrootkitと呼ばれるツールを利用して侵入の痕跡を消したり、不正なファイル、プロセスなどを隠蔽しようとします。chkrootkitはその名の通りrootkitがシステムに設置されていないかを調査するそプログラム群です。 |
| | | 「サーバー上にあるデータの整合性を安全な状態のときに検証しておき、変更が加えられた場合にはあらゆる変更を検出し、システムの整合性を保証します。 |
|
|
|
上記で紹介したプログラムは一部分ですので状況に応じて他のプログラムをご提案する場合もあります。お客様の環境によっては使用できない場合やライセンスが発生する場合がございますのでご注意ください。
|
|
|
 |
| | Computer Emergency Reponse Team/Coordination Center の略でコンピュータのセキュリティに関する情報の収集と配布をおこなっているWebサイトです。セキュリティの最新情報が配布されています。 |
| | | 日本語版CERT/CCともいえるJPCERT/CCですが、CERT/CCの日本支部ではなく独立した組織です。CERT/CCとは協力関係にあります。最新のセキュリティ関連情報を入手できます。 |
| | | JVN は、JPCERT/CC Vendor Status Notes の略です。国内で利用されているソフトウェアや装置を対象とした、国内の各ベンダが提供する対策情報や更新情報を取り扱う団体です。 |
| | | IPA(情報処理振興事業協会)は日本政府関連機関で情報処理の振興を図るための事業をおこなっています。セキュリティ関連の情報はIPA/ISECにて公開されています。 |
|
|
|
| まずはこちらからお問い合わせください。質問、疑問も承ります。お気軽にどうぞ。 |
|
|
|
|
|
|
DNSサーバ
