コンテンツ
セキュリティの脆弱性とは?OSやソフトウェアにおける欠陥のことです
「脆弱性」とは、コンピュータのOSやソフトウェアにおいて、設計ミスやバグなどの不具合によっておこる、情報セキュリティ上の弱点のことで「セキュリティ・ホール」とも呼ばれます。
脆弱性が発見されると、多くの場合、開発メーカーから脆弱性を補うための更新プログラム(パッチ)が提供されます。
しかし、脆弱性は完全に解決するのは難しく、次々に新しい脆弱性が発見されては対策を迫られるのが現状となっています。
サーバー向けのセキュリティ対策の必要性|回避すべきリスクとは
いまやインターネットを活用していない企業はないといえるほど、インターネットは企業活動になくてはならないものとして根づいています。
しかし、サーバー向けのセキュリティ対策は意識したことがなかったり、必要性を感じていないという企業がまだまだ多いのが現状です。
サーバー向けのセキュリティ対策はなぜ必要なのでしょうか。
インターネットに接続しているコンピュータで脆弱性を放置していると、外部から攻撃されたり、ウイルスに感染するなどの危険性があり、情報セキュリティにおいて非常に大きな問題となっています。
膨大な情報を保存しているサーバーが攻撃を受けると、機密が漏洩したりシステムが破壊されたりといったリスクが高まります。
最悪の場合、大きな損害を出して顧客や取引先からの信用を失ってしまうことにつながりかねません。
そのため、サーバーそのものにセキュリティ対策をすることは必要不可欠となっているのです。
なお、サーバーの構築をクラウドかオンプレかで悩まれている方は、コチラのコラムをご覧ください。
サーバー向けのセキュリティ対策はどう行う?ガイドラインをチェック
インターネットの活用は必要不可欠なものになる一方で、企業が持つ顧客情報や重要機密を狙ったサイバー攻撃は増え続け、その内容も巧妙化しています。
いまや、約4割の企業がなんらかのサイバー攻撃を受けたことがあるとされ、いまだ多くの企業では十分な対応ができていないという現状があります。
今後ますます増え続けるであろうサーバー攻撃の脅威の中で、経営者はセキュリティ対策についてどのように考えるべきか。そんな観点から生まれたのが、経済産業省が策定した「サイバーセキュリティ経営ガイドライン」です。
サイバーセキュリティ経営ガイドラインは、サイバー攻撃から企業を守るため、経営者が認識するべき「3原則」、経営者が情報セキュリティの担当者に指示すべき「10項目」について、以下のように述べられています。
サイバーセキュリティ経営の3原則
経営者は、以下の3原則を認識し、対策を進めることが重要である。
原則1 経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
原則2 自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要
原則3 平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要
サイバーセキュリティ経営の重要10項目
経営者は、サイバーセキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に対して以下の重要10項目を指示すべきである。
リスク管理体制の構築
1.サイバーセキュリティリスクの認識、組織全体での対応方針の策定
2.サイバーセキュリティリスク管理体制の構築
3.サイバーセキュリティ対策のための資源(予算、人材等)確保
リスクの特定と対策の実装
4.サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
5.サイバーセキュリティリスクに対応するための仕組みの構築
6.サイバーセキュリティ対策におけるPDCAサイクルの実施
インシデントに備えた体制構築
7.インシデント発生時の緊急対応体制の整備
8.インシデントによる被害に備えた復旧体制の整備
サプライチェーンセキュリティ
9.ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握
関係者とのコミュニケーション
10.情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供
サイバーセキュリティ経営ガイドラインでは、サイバー攻撃への対策は“コスト”ではなく“投資”であり、セキュリティ対策は経営者の責務であると定義されています。
とはいえ、規模の小さな中小企業の場合、どうしても対策が後回しになってしまっている企業が多いようです。
しかし、ITの進化は今後も拡大を続け、大企業だけでなく中小企業においてもITの活用が競争力や成長へとつながっていくことが予想されます。
そのため、経営者にはセキュリティ対策に積極的に取り組んでいく姿勢が求められます。
ガイドラインは適宜参照することが望ましいとされており、実際にこれまでに何度か改訂されています。
セキュリティ担当者は常に最新版をチェックするようにしましょう。
ここからは、サーバやインフラのセキュリティ担当者が導入を検討すべき具体的な対策方法を説明します。
サーバー向けのセキュリティ
サーバ向けのセキュリティ対策を具体的に説明します。
ファイアウォール
セキュリティ対策でよく耳にする「ファイアウォール」は、サーバのセキュリティ対策というよりはその前段階であるネットワークレベルでのセキュリティ対策となります。
具体的には、社内システムがあるような会社であれば、その社内システムにアクセスできるIPアドレスやポート番号などをファイアウォールを利用して指定することで、社外からのアクセスを制限することが可能になります。そのため、社員しかアクセスできないようなシステムを保守・運用しているのであれば、ファイアウォールの導入を検討する必要があります。
なお、ファイアーウォールについて詳しく知りたい方は、コチラのコラムをご覧ください。
IDS(不正侵入検知システム)/ IPS(不正侵入防止システム)
IPSはIntrusion Detection and Protection Systemの略で、IDSはInstrusion Detection Systemの略となっており、それぞれサーバのOS(例えばLinuxやWindowsなど)やミドルウェア(ApacheやMySQLなど)向けのセキュリティ対策となります。
具体的には、DoS攻撃などに対して有効なセキュリティ対策で、悪意のある大量のアクセスによる被害を受けないための対策となります。IDSでは上記のような不正なアクセスを感知することができ、IPSはIDSで検知した不正なアクセス経路を遮断します。
WAF(Web Application Firewall)
上記で説明したファイアウォールでは、XSS(クロスサイトスクリプティング)や、SQLインジェクションなどの
セキュリティの脆弱性を突いた有名な攻撃手法を防ぐことはできません。また、IPSやIDSだけでは検知することができないサイバー攻撃も存在します。
WAFは、Web Application Firewallの略であり、その名の通り主にウェブアプリケーション部分のセキュリティ対策を担っており、Webサーバを運用し世界中のどこからでもインターネット経由でアクセスできるウェブサイトを保守・運用しているのであれば、WAF導入を検討する必要があります。ECサイトや会員制サイトなど、重要な顧客情報を保持しているウェブサイトであればWAFの導入を積極的に行う必要があるでしょう。
他にもある!サーバー向けのセキュリティ対策の細かいイロハ
ここまで説明してきた、ファイアウォールやIPS/IDS、WAFなどの導入の他にセキュリティ担当者が簡単にできる細かい取り組み例を解説します。
セキュリティパッチの適用
サーバー上にどうしても存在してしまうセキュリティホール。
サーバーへの攻撃者は、どんな小さなセキュリティホールであっても、的確に見つけてそこから侵入してきます。
常に最新のセキュリティパッチを適用してセキュリティホールをつぶすようにしましょう。
使わないサービスは停止
現在は使用していないサービスは、放置している間サポートを受けていないため、脆弱性が高まっているかもしれません。
不要なサービスやアプリケーションは停止・削除しましょう。
パスワードは複雑に
自分が忘れてしまうのを理由に、パスワードを単純なものや推測されやすいものにしている人がいますが、これは大変危険です。パスワードクラックツールを使うことで簡単に割り出せてしまいます。
安全なパスワードとして、アルファベットの大文字・小文字・数字・記号を組み合わせた意味をなさない文字列を設定し、定期的にパスワードを変更することをおすすめします。
ログの管理
ログを取得していれば、サイバー攻撃を受けたとしても、ログを見ればすぐに気づくことができます。専用のサーバーを用意して管理することをおすすめします。
アカウントを整理
使用していないアカウントも整理しましょう。
サーバーの管理者権限をもつアカウントが乗っ取られてしまうと、被害は莫大なものになってしまいます。
定期的に必要なアカウントだけ残し、不要なアカウントは削除しましょう。
セキュリティソフトを導入する
セキュリティソフトにはサーバー用に用意されているものもあり、サイバー攻撃の脅威からサーバーを守るのに効果を発揮します。
コストや機能、サポート体制などをよく考えて、導入を検討しましょう。
ペネトレーションテスト(脆弱性診断)を行う
「脆弱性診断」とは、ネットワークやOS、Webアプリケーション(システムやネットワーク)などに、脆弱性がないか診断し、様々なセキュリティリスクを洗い出すセキュリティテストです。
診断を行うにはコストが発生しますが、セキュリティの脆弱性を確認するためには非常に重要です。
セキュリティ診断については、下記コラムでもご紹介してますので、合わせてご覧ください。
サーバー向けのおすすめのソフトウェアをご紹介
サーバー用のセキュリティソフトを導入すれば、サイバー攻撃のリスクを減らすことができます。
ソフトによってセキュリティ対策の他にもさまざまな機能を持つものがあるので、運用にかかる手間をはぶいたり、サーバーの管理や分析にも役立ちます。
導入時の比較ポイント
サーバー向けのセキュリティソフトは多くの企業から販売されています。どれを選べばいいのか、以下の点を考慮しましょう。
性能
ウイルスの検出率の高さ、メールチェックやファイアウォールなどの機能の多さ、新種のウイルスが登場したときのパッチファイルの対応の早さも重要なポイントです。
価格とインストール台数
導入するソフトによって、コストは大きく変わります。
インストールできる上限が決まっているものもあるので、注意が必要です。
動作の軽さ
セキュリティソフトを導入すると動作が重くなりがちです。動作の軽さも重視しましょう。
サポート
セキュリティソフトは高機能なものであっても、サーバー攻撃の脅威を完全に防げるものはありません。万が一ウイルスに感染したときのサポート体制も重要になるでしょう。
トレンドマイクロ クラウドワン – ワークロードセキュリティ
料金:お問い合わせ
幅広いセキュリティ機能により脆弱性や不正プログラム、不正な変更から仮想、物理、クラウドおよびコンテナ環境やそれらのハイブリッド環境を防御します。
ウイルスバスター ビジネスセキュリティ
料金:お問い合わせ
URLフィルタリング機能で、危険なWebサイトへのアクセスを阻止します。
コンピュータの動作を監視し、外部からの不正な通信を特定し、ブロックが可能です。
ノートン360プレミアム
料金:7,980円~(5ライセンスあたり)
「ノートン」はインターネットの普及時から代表的なセキュリティソフトとして知られています。
VPNにより通信を暗号化し、安全性を高めデータを保護します。
パスワードマネージャー機能を搭載し、パスワードや顧客情報などを安全に管理できます。
ESET エンドポイントプロテクション
料金:3,710円~(1ライセンスあたり)
マルウェアを検出するための、独自のヒューリスティック検出システムを搭載しています。
メールに含まれるフィッシングサイトのURLについては、アクセスを抑止する機能があります。
ファイアウォール機能による制御が可能で、ポートスキャン攻撃などの脅威もブロックできます。
サーバーへの負荷が軽く、動作が軽快です。
McAfee エンドポイントセキュリティ
料金:お問い合わせ
アンチマルウェア機能、ファイアウォール機能を備えています。
機械学習を活用した検知機能が備わっており、未知のウイルスに対応します。
Webrootビジネスエンドポイントプロテクション
料金:2,451円~(1ライセンスあたり)
複数方向からの脅威に対して、リアルタイムで保護が可能です。
最先端の機械学習システムでサーバーを保護します。
カスペルスキー スモール オフィス セキュリティ
料金:16,280円~(5ライセンスあたり)
中小企業向けに開発されたウイルス対策ソフトです。
ランサムウェアからの保護機能や、独自のネット決済保護機能が備わっています。
外部からのサイバー攻撃や、内部のミスが原因でおこる脅威を防ぐためにも、PCだけでなくサーバーにもセキュリティ対策を行うことは、いまや必須といえます。
今回ご紹介したセキュリティ対策やソフトによって、完全に攻撃を防ぐことはできませんが、普段から意識して導入することで、より安心性、安全性が高まります。
ぜひサーバー向けセキュリティ対策の検討をおすすめします。
セキュリティに強いシステムの開発には
サーバー向けセキュリティについて、ご説明させて頂きました。
セキュリティの構築には、確実というものはありません。多層防御が基本であり、ご紹介したような対策を重なる事が基本となります。Samuraiでは、システムの構築段階からセキュリティに考慮した構築が可能であり、セキュリティソフトの導入も可能です。ぜひお気軽にお問い合わせください。
この記事を書いた人
