TOP情報セキュリティ> サーバOSのセキュリティ




サーバセキュリティ対策
サーバOSを守るセキュリティ対策の秘訣

第1回:OSごとにセキュリティ対策を考える

著者:トレンドマイクロ  船越 洋明   2007/6/25
1   2  3  次のページ
サーバOSのセキュリティ

   サーバOSと一口にいっても、WindowsやLinux、UNIXなど様々なものがあり、利用目的もファイルサーバ、メールサーバ、Proxyサーバなど、多種多様である。一方で、どのOSをどの利用目的で使用するのがベストなソリューションであるのかを絞り込むことが難しいのが現状であるため、1つのネットワーク上で、異なるOSのサーバマシンが混在しているケースは数多い。

   今回はその中でも、LinuxおよびWindowsをOSとするサーバに焦点を絞り、セキュリティ対策のポイントを紹介する。

Linuxサーバのセキュリティ対策

   近年のLinuxディストリビューションにおけるGUIの大幅な進化と、ソリューションベンダーの導入サポートの向上により、Linuxサーバの導入は、もはや一部の限られたユーザだけのソリューションではなくなっている。その反面「Linux OSを標的としたウイルスなどのマルウェアは少ない」という思い込みからか、Windowsサーバと同じレベルで、Linux サーバに対するセキュリティ対策への関心が寄せられているかというと、残念ながらそうといい切れないのが現状だ。

   確かに、Linux OSを標的とするマルウェアの数は、Windows OSのそれに比べ少ないのは事実ではあるが、問題は「Linuxサーバを経由する脅威」へのセキュリティ対策意識が低いという点である。

   簡単な例をあげると、Linuxサーバをファイルサーバやストレージサーバとして利用しているユーザは数多い。では、このファイルサーバ上にあるファイルは、どのOSで用いられているのかということを考えると、圧倒的にWindows OSであることが多い。

   つまりWindows OS(主にクライアントOSであるWindows XPやWindows 2000などが該当する)で作成・保存されるファイルが、Linuxサーバを通して他のクライアントと共有される。そのためこのファイルにマルウェア(注1)が潜んでいた場合は、マルウェアごと他のクライアントと共有されることになる。(サーバで用いられているLinux OSには、何ら被害がないことが一般的である)

※注1 マルウェアとは、「malicious software(悪意のあるソフトウェア)の短縮された言葉。主にコンピュータやサーバ、ネットワークにウイルスやスパイウェアなどの被害を起こすように設計されたソフトウェア全般を指す。

   そのためLinux OSを使用する際は、「Linuxサーバを経由する脅威」をまず考えておきたい。


Linuxサーバにおけるセキュリティ対策のポイント

   前述のような例においては、Linuxサーバ向けセキュリティソフトをインストールすることにより、Linuxサーバ上に保存されるファイルに潜むマルウェアへの対策が可能になる。

   セキュリティソフトの選定にあたって留意すべきポイントは以下の2点である。

  1. 自社で使用しているLinuxディストリビューションに対応しているか
  2. Linuxサーバにファイルが保存される瞬間、つまりリアルタイムでのマルウェア検索が可能か

表1:セキュリティソフトの選定にあたって留意すべきポイント

   1.については、フリーのLinuxディストリビューション(CentOSやFedora Coreなど)を用いている場合は、注意が必要である。たとえばCentOSは、ソースコード自体はRed Hat Linux Enterprise Linuxと同じものを用いており、そのためRed Hat Linux Enterprise Linuxの「クローンOS」と呼ばれているが、基本的には違うディストリビューションであり、Red Hat Linux Enterprise Linux向け製品がそのまま使えるとは限らない。

   2.については、Linuxサーバにおけるリアルタイム検索は、通常Kernelレイヤーでファイルをフックし、HDDに書き込まれる前にマルウェア検索を行うが、この機能を実現するために、LinuxのKernelを再構築しなければならないセキュリティソフトもある。Kernelの再構築をユーザにて行った場合、Linuxディストリビュータのサポート対象から外れることもあるため、注意が必要だ。

   また、Linux OS自身のセキュリティ設定を併用することも非常に有効である。Red Hat Linux Enterprise Linuxには「SE Linux」、NovellのSuSE Linux Enterprise Serverには「AppArmor」とよばれる、いわゆる「セキュアOS」にするための機能がある。

関連記事
個人情報保護法から見るセキュアOSの必要性
第5回:セキュアOS紹介(3)〜 SELinux
Linuxディストリビュータが紐解くセキュアOS
第2回:Red Hat Enterprise Linuxセキュリティの概要と特徴

   これらの機能はセキュリティソフトのように、Webブラウザー上の選択肢を選択するだけで設定が完了するようなものではなく、「ポリシー」や「プロファイル」を、アクセスポリシーにしたがってひとつずつ設定していかなければならないため、難易度は高い。しかしプロセスごとに最小限のOSに対するアクセス権限を付与することができる(たとえば、Apache Webサーバは、WWWルートディレクトリ以外にはアクセスできないようにするなど)ので、OSへの不正アクセス防止に役にたつ。

関連記事
1億円の企業ダメージを回避するウイルス対策ソリューション
第2回:WindowsとLinuxのセキュリティホール

1   2  3  次のページ


トレンドマイクロ株式会社 船越 洋明
著者プロフィール
トレンドマイクロ株式会社    船越 洋明
テクニカルセールスサービス本部 アライアンスパートナーサービスグループ マネージャー
日本電信電話(NTT)にて法人向け営業兼SE企業向け通信サービスの営業、通信サービスの開発プロジェクトを担当、クロスウェイブコミュニケーションズにおいて通信サービスのインフラの設計・構築を経て、2005年トレンドマイクロ株式会社入社。アライアンスパートナーサービスグループにて国内外のISV/IHV、OSディストリビュータなどのアライアンスパートナーとともに、トレンドマイクロの製品・技術を活用したアライアンス製品を生み出し、技術サポートを担当。


この記事の評価をお聞かせください
ボタンをクリックしますとウインドウが開きます。

INDEX
第1回:OSごとにセキュリティ対策を考える
サーバOSのセキュリティ
  Windowsサーバのセキュリティ対策
  企業ネットワークでの運用上のポイント
サーバOSを守るセキュリティ対策の秘訣
第1回 OSごとにセキュリティ対策を考える
第2回 サーバの保護は万全か?