 |
|||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||
| 1 2 3 次のページ | |||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||
| はじめに | |||||||||||||||||||||||||||
|
個人情報や機密情報の漏えい事件が毎日のように報道される中で、セキュリティ関連ソフトに対する関心度も高まり続けている。 ただ、一言でセキュリティといっても、ウィルスやスパイウェア、不正アクセス、スパムメール、またクライアントマシンやサーバマシンのセキュリティ、ネットワークのセキュリティに対する対策など様々だ。 その中で、オープンソースソフト(OSS)を中心に考えてみると、その代表格となるLinuxを見れば明らかなように、Webサーバやメールサーバ、アプリケーションサーバ、データベースサーバ、ファイルサーバといったように、ほとんどはサーバ側へ適用されている状況だ(図1、2)。  図1:Linuxサーバ上で利用しているオープンソースソフトウェアの種類 出典:Linuxオープンソース白書2006(インプレス/矢野経済研究所、2005-2006)  図2:Linuxサーバ上で稼動しているアプリケーションの種類 出典:Linuxオープンソース白書2006(インプレス/矢野経済研究所、2005-2006) そこで今回では、サーバ用途の主要なセキュリティ製品である「ファイアウォール」関連のOSSと、サーバの上で動作するWebアプリケーションのセキュリティに絞って解説する。 |
|||||||||||||||||||||||||||
| サーバのセキュリティ対策では | |||||||||||||||||||||||||||
|
まずファイアウォールを考える上記のようにサーバマシンには、メールサーバやWebサーバ、アプリケーションサーバ、データベースサーバなどがある。 不特定多数のユーザがアクセスするサーバは、社内のネットワークとは別の「DMZ」(非武装地帯)と呼ばれるセグメントに設置する場合が多い(図3)。  図3:不特定多数がアクセスするサーバはDMZに配置 このDMZや社内のネットワークに対する不正アクセスを防ぐためには、ファイアウォールを導入するというのが一般的だ。 ファイアウォールは、IPパケットの先頭に付加されている「送信先のIPアドレス」や「送信元のIPアドレス」「プロトコル」「送信先のポート番号」「送信元のポート番号」などを検査し、ネットワーク上のトラフィックを制御している。 ただし、この方法ではIPパケットのヘッダ情報しか検査しないので、IPパケットのデータ部に特長のあるウィルスやワーム、DoS攻撃やDDoS攻撃などを防御できない。そこで考え出されたのが、IPパケットのヘッダ情報とデータ部を検査する「ステートフルインスペクション」と呼ばれる技術だ。 つまり現時点で、サーバマシンのセキュリティ対策に必要なファイアウォールは、ステートフルインスペクションを採用し、IDS(Intrusion Detection System)やIPS(Intrusion Prevention System)と連携して稼働するものということになる。 だが残念ながら、これらの機能をすべて満たしたOSSは見当たらなかった。その理由は、サーバマシンのセキュリティ対策に必要なほとんどの機能が、アプライアンス型の製品に搭載されて、安価で販売されていているからだろう。 そんな中で、表1にまとめたように「Snort」や「Tripwire」はIDSとして充分使えるし、他のOSSもネットワークのトラフィック監視などユーティリティとして利用することは可能だ。
表1:サーバ側のセキュリティ対策に利用できる主要なOSS
|
|||||||||||||||||||||||||||
|
1 2 3 次のページ |
|||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||
|
|
|||||||||||||||||||||||||||
-
-
連載
