TOP調査レポート> はじめに
オープンソースの適用可能性を示す
オープンソースの適用可能性を示す

第14回:バッファオーバーフローとサーバ側のセキュリティ対策を考える
 著者:芝 国雄   2006/9/5
1   2  3  次のページ
はじめに

   個人情報や機密情報の漏えい事件が毎日のように報道される中で、セキュリティ関連ソフトに対する関心度も高まり続けている。

   ただ、一言でセキュリティといっても、ウィルスやスパイウェア、不正アクセス、スパムメール、またクライアントマシンやサーバマシンのセキュリティ、ネットワークのセキュリティに対する対策など様々だ。

   その中で、オープンソースソフト(OSS)を中心に考えてみると、その代表格となるLinuxを見れば明らかなように、Webサーバやメールサーバ、アプリケーションサーバ、データベースサーバ、ファイルサーバといったように、ほとんどはサーバ側へ適用されている状況だ(図1、2)。

Linuxサーバ上で利用しているオープンソースソフトウェアの種類
図1:Linuxサーバ上で利用しているオープンソースソフトウェアの種類
出典:Linuxオープンソース白書2006(インプレス/矢野経済研究所、2005-2006)

Linuxサーバ上で稼動しているアプリケーションの種類
図2:Linuxサーバ上で稼動しているアプリケーションの種類
出典:Linuxオープンソース白書2006(インプレス/矢野経済研究所、2005-2006)

   そこで今回では、サーバ用途の主要なセキュリティ製品である「ファイアウォール」関連のOSSと、サーバの上で動作するWebアプリケーションのセキュリティに絞って解説する。
サーバのセキュリティ対策では

   まずファイアウォールを考える上記のようにサーバマシンには、メールサーバやWebサーバ、アプリケーションサーバ、データベースサーバなどがある。

   不特定多数のユーザがアクセスするサーバは、社内のネットワークとは別の「DMZ」(非武装地帯)と呼ばれるセグメントに設置する場合が多い(図3)。


図3:不特定多数がアクセスするサーバはDMZに配置

   このDMZや社内のネットワークに対する不正アクセスを防ぐためには、ファイアウォールを導入するというのが一般的だ。

   ファイアウォールは、IPパケットの先頭に付加されている「送信先のIPアドレス」や「送信元のIPアドレス」「プロトコル」「送信先のポート番号」「送信元のポート番号」などを検査し、ネットワーク上のトラフィックを制御している。

   ただし、この方法ではIPパケットのヘッダ情報しか検査しないので、IPパケットのデータ部に特長のあるウィルスやワーム、DoS攻撃やDDoS攻撃などを防御できない。そこで考え出されたのが、IPパケットのヘッダ情報とデータ部を検査する「ステートフルインスペクション」と呼ばれる技術だ。

   つまり現時点で、サーバマシンのセキュリティ対策に必要なファイアウォールは、ステートフルインスペクションを採用し、IDS(Intrusion Detection System)やIPS(Intrusion Prevention System)と連携して稼働するものということになる。

   だが残念ながら、これらの機能をすべて満たしたOSSは見当たらなかった。その理由は、サーバマシンのセキュリティ対策に必要なほとんどの機能が、アプライアンス型の製品に搭載されて、安価で販売されていているからだろう。

   そんな中で、表1にまとめたように「Snort」や「Tripwire」はIDSとして充分使えるし、他のOSSもネットワークのトラフィック監視などユーティリティとして利用することは可能だ。

Etherreal 世界で最も人気のあるネットワーク・プロトコル・アナライザー。ネットワークを流れるパケットを収集して分析をするツール。 http://www.ethereal.com/
Snort ネットワークを流れるパケットを監視するツール。Snortには、不正アクセスの攻撃パターン(シグネチャ・ファイル)が備わっているので、不正アクセスを発見するために使用できる。 http://www.snort.org/
tcpdump ネットワークを流れるパケットを監視するツール。送信元のIPアドレスやポート番号、送信先のIPアドレスなどの情報を得ることができるので、不正アクセスを発見するために使用できる。 http://www.tcpdump.org/
IPTraf ネットワークのトラフィック量を検査するツール。  
MRTG MRTG(The Multi Router Traffic Grapher)は、SNMPを利用してルーターのトラフィック情報を収集してグラフ表示するツール。 http://oss.oetiker.ch/mrtg/
chkrootkit クラッカーが使用するrootkitを検知するツール。 http://www.chkrootkit.org
Tripwire 改竄を検知するツール。 http://sourceforge.net/
proj-ects/tripwire
Spam
Assassin		 スパムメールを認識するためのフィルタリング・ソフト。  
John the Ripper パスワードを解析するツール。  

表1:サーバ側のセキュリティ対策に利用できる主要なOSS

1   2  3  次のページ
イーシステム株式会社 芝 国雄
 著者プロフィール
芝 国雄
1995年、日本グプタ(現イーシステム)入社。米グプタ社製品の統合開発ツールの「Team Developer」、RDBMSの「SQLBase」といった製品の日本語化をはじめ技術支援や販売、マーケティング業務に従事。主に、ユーザ企業のシステム開発の現場で、システムの設計に関わる事前調査や助言などの上流工程から、プログラミング時のトラブルシューティングまで、幅広く支援していた。2000年4月、携帯電話を活用したワイヤレスソリューション事業の立ち上げに従事。現在は新しいチャレンジに向け充電中。
INDEX
第14回:バッファオーバーフローとサーバ側のセキュリティ対策を考える
はじめに
  バッファオーバーフローは頻発するバグの1つ
  本番運用に近い環境で検証する必要性を実感