TOP調査レポート> はじめに




オープンソースの適用可能性を示す
オープンソースの適用可能性を示す

第14回:バッファオーバーフローとサーバ側のセキュリティ対策を考える
著者:芝 国雄   2006/9/5
1   2  3  次のページ
はじめに

   個人情報や機密情報の漏えい事件が毎日のように報道される中で、セキュリティ関連ソフトに対する関心度も高まり続けている。

   ただ、一言でセキュリティといっても、ウィルスやスパイウェア、不正アクセス、スパムメール、またクライアントマシンやサーバマシンのセキュリティ、ネットワークのセキュリティに対する対策など様々だ。

   その中で、オープンソースソフト(OSS)を中心に考えてみると、その代表格となるLinuxを見れば明らかなように、Webサーバやメールサーバ、アプリケーションサーバ、データベースサーバ、ファイルサーバといったように、ほとんどはサーバ側へ適用されている状況だ(図1、2)。

Linuxサーバ上で利用しているオープンソースソフトウェアの種類
図1:Linuxサーバ上で利用しているオープンソースソフトウェアの種類
出典:Linuxオープンソース白書2006(インプレス/矢野経済研究所、2005-2006)

Linuxサーバ上で稼動しているアプリケーションの種類
図2:Linuxサーバ上で稼動しているアプリケーションの種類
出典:Linuxオープンソース白書2006(インプレス/矢野経済研究所、2005-2006)

   そこで今回では、サーバ用途の主要なセキュリティ製品である「ファイアウォール」関連のOSSと、サーバの上で動作するWebアプリケーションのセキュリティに絞って解説する。


サーバのセキュリティ対策では

   まずファイアウォールを考える上記のようにサーバマシンには、メールサーバやWebサーバ、アプリケーションサーバ、データベースサーバなどがある。

   不特定多数のユーザがアクセスするサーバは、社内のネットワークとは別の「DMZ」(非武装地帯)と呼ばれるセグメントに設置する場合が多い(図3)。


図3:不特定多数がアクセスするサーバはDMZに配置

   このDMZや社内のネットワークに対する不正アクセスを防ぐためには、ファイアウォールを導入するというのが一般的だ。

   ファイアウォールは、IPパケットの先頭に付加されている「送信先のIPアドレス」や「送信元のIPアドレス」「プロトコル」「送信先のポート番号」「送信元のポート番号」などを検査し、ネットワーク上のトラフィックを制御している。

   ただし、この方法ではIPパケットのヘッダ情報しか検査しないので、IPパケットのデータ部に特長のあるウィルスやワーム、DoS攻撃やDDoS攻撃などを防御できない。そこで考え出されたのが、IPパケットのヘッダ情報とデータ部を検査する「ステートフルインスペクション」と呼ばれる技術だ。

   つまり現時点で、サーバマシンのセキュリティ対策に必要なファイアウォールは、ステートフルインスペクションを採用し、IDS(Intrusion Detection System)やIPS(Intrusion Prevention System)と連携して稼働するものということになる。

   だが残念ながら、これらの機能をすべて満たしたOSSは見当たらなかった。その理由は、サーバマシンのセキュリティ対策に必要なほとんどの機能が、アプライアンス型の製品に搭載されて、安価で販売されていているからだろう。

   そんな中で、表1にまとめたように「Snort」や「Tripwire」はIDSとして充分使えるし、他のOSSもネットワークのトラフィック監視などユーティリティとして利用することは可能だ。

Etherreal 世界で最も人気のあるネットワーク・プロトコル・アナライザー。ネットワークを流れるパケットを収集して分析をするツール。 http://www.ethereal.com/
Snort ネットワークを流れるパケットを監視するツール。Snortには、不正アクセスの攻撃パターン(シグネチャ・ファイル)が備わっているので、不正アクセスを発見するために使用できる。 http://www.snort.org/
tcpdump ネットワークを流れるパケットを監視するツール。送信元のIPアドレスやポート番号、送信先のIPアドレスなどの情報を得ることができるので、不正アクセスを発見するために使用できる。 http://www.tcpdump.org/
IPTraf ネットワークのトラフィック量を検査するツール。  
MRTG MRTG(The Multi Router Traffic Grapher)は、SNMPを利用してルーターのトラフィック情報を収集してグラフ表示するツール。 http://oss.oetiker.ch/mrtg/
chkrootkit クラッカーが使用するrootkitを検知するツール。 http://www.chkrootkit.org
Tripwire 改竄を検知するツール。 http://sourceforge.net/
proj-ects/tripwire
Spam
Assassin
スパムメールを認識するためのフィルタリング・ソフト。  
John the Ripper パスワードを解析するツール。  

表1:サーバ側のセキュリティ対策に利用できる主要なOSS

1   2  3  次のページ

月刊ソリューションIT 書籍紹介
月刊ソリューションIT

本記事はリックテレコムより発刊されている「月刊ソリューションIT」から抜粋し、加筆、修正を行ったものです。本記事以外にも、ITを使って企業を進化させるための記事が多数掲載されています。ご購読は下記のリンクより行えます。

発行:リックテレコム  価格:年間購読料 12,234円/一部定価 1,224円

 ご購入はこちら
http://www.ric.co.jp/sol/
イーシステム株式会社 芝 国雄
著者プロフィール
芝 国雄
1995年、日本グプタ(現イーシステム)入社。米グプタ社製品の統合開発ツールの「Team Developer」、RDBMSの「SQLBase」といった製品の日本語化をはじめ技術支援や販売、マーケティング業務に従事。主に、ユーザ企業のシステム開発の現場で、システムの設計に関わる事前調査や助言などの上流工程から、プログラミング時のトラブルシューティングまで、幅広く支援していた。2000年4月、携帯電話を活用したワイヤレスソリューション事業の立ち上げに従事。現在は新しいチャレンジに向け充電中。


この記事の評価をお聞かせください
ボタンをクリックしますとウインドウが開きます。

INDEX
第14回:バッファオーバーフローとサーバ側のセキュリティ対策を考える
はじめに
  バッファオーバーフローは頻発するバグの1つ
  本番運用に近い環境で検証する必要性を実感
オープンソースの適用可能性を示す
第1回 ユーザ企業におけるOSS浸透のカギはメインフレーム世代のSE
第2回 DB管理ツールを例にOSSの現在の実力を診断する
第3回 OSSはビジネスになるのか?「魔法のお鍋」を読み直す その1
第4回 OSSはビジネスになるのか?「魔法のお鍋」を読み直す その2
第5回 OSSはビジネスになるのか?「魔法のお鍋」を読み直す その3
第6回 OSSはビジネスになるのか?「魔法のお鍋」を読み直す その4
第7回 PostgreSQLを使い切るためのノウハウを徹底解説する その1
第8回 PostgreSQLを使い切るためのノウハウを徹底解説する その2
第9回 PostgreSQL vs MySQL2つのDBMSを検証する(前編)
第10回 PostgreSQL vs MySQL2つのDBMSを検証する(後編)
第11回 OSSのプロがいなくても大丈夫!必要なソフトの情報はこうして探す(前編)
第12回 OSSのプロがいなくても大丈夫!必要なソフトの情報はこうして探す(後編)
第13回 クライアントのOSとしてLinuxを検証する
第14回 バッファオーバーフローとサーバ側のセキュリティ対策を考える