Loading
|
|
@IT|@IT自分戦略研究所|QA@IT|イベントカレンダー+ログ |
|
Loading
|
| @IT > 第2回 実践Windowsセキュリティセミナー・セミナーレポート |
![@IT[FYI]](/ad/adindex/image/fyi_logo_s.gif){kind=logo} |
企画:アットマーク・アイティ
営業企画局 制作:アットマーク・アイティ編集局 掲載内容有効期限2003年6月30日 |
|
|
|
2003年4月18日に開催された「第2回 実践Windowsセキュリティセミナー」(主催:アットマーク・アイティ)。本記事では、セミナーレポートと題して同セミナーで語られたエッセンスをまとめてお送りする。
セミナーは2部構成で行われ、第1部ではクライアントのセキュリティ対策を中心にマイクロソフトの山崎雅樹氏、シマンテックの野々下幸治氏、@IT Windows Server Insiderフォーラムのエディタであるデジタルアドバンテージの小川誉久氏による講演が行われた。第2部では、この3氏に加え、修正プログラム管理ソフトウェアを販売するアップデートテクノロジーの能祖裕樹氏と、マイクロソフト セキュリティレスポンスチームのリーダを務める奥天陽司氏によるパネルディスカッションが行われた。
最初のセッションでは、第1回の「実践Windowsセキュリティセミナー」でも好評を博したマイクロソフト セキュリティレスポンスチームからサポート・エンジニアである山崎雅樹氏が「Windowsを使用したシステムの運用ポリシーとセキュリティ管理」と題し、マイクロソフトのセキュリティ対策専門家の立場から、いかにクライアントのセキュリティ対策を行うべきかという講演を行った。まさに日ごろ悩まされているセキュリティ管理方法に対するチェック事項的なものであっただろう。
講演の中で山崎氏は、ネットワーク/セキュリティ管理者であれば当然行うべきこととしてクライアントコンピュータのセキュリティ対策は、以下の3つの側面から取り組む必要があると指摘する。
どんなに厳格な運用ルールを作り、システム制限を行ったとしても、セキュリティホールが1つあるだけで、システム全体のセキュリティが崩壊する可能性があるということを肝に銘じてほしい、と管理者としての意識改革を山崎氏は呼びかけた。(詳細資料は、プレゼン資料ダウンロードページへ) ■将来のセキュリティテクノロジ ―― プロアクティブ防御の必要性
2番目のセッションでは、シマンテックのシステムエンジニアリング本部 本部長 野々下幸治氏が「クライアント/サーバにおける次世代セキュリティテクノロジーのススメ」と題し、インターネット上の脅威の進化とそれに対する将来のセキュリティテクノロジについて解説を行った。 現在のインターネット上の攻撃パケットは、2003年1月のSQL Slammerのようにワームによるものが支配的であると野々下氏は指摘する。しかし、ワームがもたらす影響が深刻化する一方で、ワームによる攻撃手法も高度化してきているという。そこで同氏は、CERT(コンピュータ緊急対応センター)による2002年の攻撃トレンド調査の概要を取り上げ、インターネット上の攻撃の傾向を次のように分析した。
これら従来のインターネット上の脅威もさることながら、将来、出現すると予測されている脅威として、「Warhol型(数分で感染を広げるワーム)」*1や、「Flash型(数秒で感染を広げるワーム)」などがあると野々下氏は警告する。SQL SlammerはWarhol型の脅威が現実となって現れた最初のワームである。
さらに今後脅威となり得る「Flash型ワーム」に対する効果的なセキュリティ対策として以下の3項目を挙げた。
このように野々下氏のセッションからは、管理者としての心得として、将来の脅威を防御するには、プロアクティブな(予防的な)ソリューションが重要であり、その鍵として、早期警戒システムとそのためのセキュリティ製品も重要であることを強く感じた。(詳細資料は、プレゼン資料ダウンロードページへ) ■修正プログラムの適用と管理 3番目のセッションでは、@IT Windows Server Insiderエディタであるデジタルアドバンテージ 代表取締役の小川誉久氏が「Windowsクライアント管理の重要性と工数削減のテクニック」と題し、日ごろさまざまな問題を取材している立場より、Windowsクライアントのセキュリティにおける修正プログラムの適用と管理について講演した。
セッション1、2で明らかになったようにWindowsのセキュリティ管理は、ファイアウォールやサーバだけでなく、クライアントも合わせてトータルに対策を行うことが重要である。そこで、今回のテーマである“大量のWindowsクライアントのセキュリティ”をより少ないコストで集中管理するには、Windows 9x/Meは排除し、Windows NT/2000/XPのみの環境にし、Active Directoryなどを利用した集中管理体制を構築する必要があると小川氏は主張する。 Windows 9x/Meを排除する理由は、厳格なアクセス制限機能を持たず、グループポリシーによる一括集中管理ができないためである。もし、すぐに完全移行が難しいような場合でも、部署やグループ単位などで徐々に管理体制を移行していくことを勧めると同氏はいう。 管理者である読者の方は既に体感されていることと思われるが、クライアントのセキュリティ管理の中でも、修正プログラムの管理は非常に複雑である。マイクロソフトからの修正プログラムの提供方法としてService Pack、Security Rollup Package、HotFix(修正プログラム)などさまざまな形態のものがある。さらに、すべての修正プログラムを提供するMicrosoftダウンロードセンターといったページもある。しかも、これらの修正プログラムを単に右から左に適用すればよいというわけではない。ファイルの依存関係があったり、前提となるService Packや別の新しい修正プログラムがないかなどを吟味したりする必要があるからだ。というのは、修正プログラムを適用すると、システムファイルが置き換わるために、いままで動作していたアプリケーションが突然動かなくなるといった副作用も考えられるのである。 このような複雑な修正プログラムの適用をサポートするために、マイクロソフトからは以下の無償ツールが提供されている。
しかし、これらのツールは企業クライアントのセキュリティ管理を行う上では制限がある。「Windows Update(Web版)」や「Windows Update(自動更新)」を用いて修正プログラムを適用するには、ローカルコンピュータの管理者権限が必要になるため、ユーザーのアクセス権限を制限している一般的な企業のクライアント管理では使いにくい。「SUS」では、クライアント向け修正プログラムの集中管理はできるものの、既にクライアントに適用済みの修正プログラムや、適用を指示した修正プログラムが確実に適用されたかどうかを確認する手段が用意されていない。 そのほかの修正プログラム適用の方法としては、SMS(マイクロソフト)やQDN(クオリティ)などのシステム管理ツールのソフトウェア配布機能を利用する方法がある。ただし、修正プログラムの依存関係やインストールオプションなどの修正プログラム内容については、管理者が独自に調査して、配布パッケージを作成する必要があるなど、適用作業は容易ではない(SMSのFeature Packと呼ばれる無償提供のアドオンプログラムを追加することで、修正プログラム管理機能を追加することは可能である)。 このようなことを受けて、最近では修正プログラムの適用に特化した修正プログラム管理ツールが米国で発売され、マーケットを確立しつつある。このようなソフトウェアを積極的に利用する選択もあると小川氏は述べた。
このようにセキュリティ管理は、ファイアウォールやサーバだけでなく、クライアントも合わせたトータルな環境として行う必要がある。一方で、クライアント向けの修正プログラム管理は複雑であり、管理者の負担が大きい作業でもある。小川氏は、これらの作業を軽減し、的確に運用する方法を語ったが、これは読者の皆さんにとって価値のある情報だったのではないだろうか。(詳細資料は、プレゼン資料ダウンロードページへ)
第2部のパネルディスカッションは、「大規模システムのセキュリティ管理の勘どころ 〜 具体的な対応方法を聞こう!」と題して、第1部の講演者に交えてアップデートテクノロジーの代表取締役 能祖裕樹氏、マイクロソフトのセキュリティレスポンスチーム マネージャの奥天陽司氏が参加した。司会・進行を務めるモデレータは、講演に引き続き小川誉久氏が行った。 ■Windowsは脆弱か? まず始めに今回のセミナー申し込み時のアンケート結果(グラフ1)を見ると、「実践Windowsセキュリティセミナー」というテーマであるにもかかわらずWindowsのほかにLinuxなどが混在して運用しているという企業が多いことが見受けられる。最近のシステム構成の形態が垣間見られる結果だ。
ここで小川氏より、「世間ではLinuxの方がWindowsよりもセキュリティホールが少ないのではないかという意見もあるが?」という問いに対して、奥天氏は「確かに、マイクロソフトの製品にセキュリティ問題が数多く発生しているという点で、ご迷惑をお掛けしているということは自覚しております。しかしながら、セキュリティ問題というのはソフトウェアを開発する上で、どうしても避けられない課題の1つです。マイクロソフトの製品も含めて、ソフトウェアに潜む全般的な問題であると認識しています。セキュリティ問題の存在とその対処といった点からいえば、基本的にはWindowsもLinuxも共通する問題を内包していると思います」とグローバルな視点から個別のプラットフォームに依存する問題ではないと分析する。 また、OSベンダではない中立的な立場として野々下氏は、Windows NT系(Windows NT/2000/XP)とLinuxではどちらがセキュアかということは難しい問題だとしながらも「Windows NT系はACL(アクセス コントロール リスト)を持っているが、Linuxは持っていないということを考えると、もともとの設計思想では、Windows NT系の方がセキュリティを考えて作られていると考えられるだろう」と現状を分析する。 ■セキュリティ対策とサーバ運用 次に、Windowsネットワークのセキュリティ管理における現在の主な課題(グラフ2)を見ると多くの人が、サーバのセキュアな設定やセキュリティホール対策がセキュリティ管理の重要な課題だと考えているようだ。
「セキュリティホールの対策を行うにはHotFixの適用が必須だが、HotFixを適用するとサーバの再起動が必要になり、サービスを一時的にでも止めなければならなくなるという問題がある。24時間止めることができないサーバの場合はどのように対応すればよいだろうか?」という問いに対して奥天氏は、クラスタリングなどのスケールアウトテクノロジを使って、複数のコンピュータで同じ1つのソリューションの構築を推奨するという。その理由としては利用中のサービスを止めることなくセキュリティ対策を施すことができるためだ。 例えばクラスタリングなどを使って、データベースサーバを2台で構成している場合は、HotFixが公開されたら、そのうち1台に適用して様子をみて、何ともなければもう1台に適用するという方法をとるということだが、データベースサーバに関しては、データのレプリケーション(複製化)が必要であると奥天氏は補足する。 ■ユーザー1人1人のセキュリティ意識を高めるには? Windowsクライアントの集中管理はセキュリティ管理の重要な課題の1つだが、米国でのHotFix管理の現状はどうなっているのだろうか? パネリストの中でこの話題に1番精通している能祖氏は、「HotFix管理が注目を集め出したのはCode RedやNimdaといったワームが登場してきてからなので、米国でも最近のことです。しかし、既に数社からHotFix管理を自動化するソフトウェアも出てきており、管理者が大規模のクライアントを管理する場合の力強いサポーターとなっています」とマーケットの広がりからもその利用価値があることを語る。 しかしながら、クライアントの集中管理ができるソフトウェアがあるといっても社員全員の意識を向上させることは避けて通れないことだろう。「まずは運用ルールを決め、それを遵守することを社員1人1人が意識する。そして、ルールでは対応できないような、どうしても危険な部分に関しては制限をする。この2つを実施するだけでも、社内の危険性はかなり下げられる。また、運用ルールや制限といった社内努力だけでは対処できない、セキュリティホールに対しては修正プログラムを適用していく」とこうした地道な作業をしっかり行うことで、クライアント管理は定着していくだろうと奥天氏は管理者としての在り方を来場者に説いた。 ■Windowsセキュリティを向上させるポイントは? 最後に、堅牢なWindowsネットワークを設計・運用するという観点でのセキュリティ対策のポイントについて、パネリストの方々がまとめてくれた。 「企業のほとんどのコンピュータに対し、Windows Updateによって修正プログラムが適用されているはずだから安心というのは間違い。たった1台でも見逃してセキュリティレベルの低いコンピュータがあれば、そこからシステムへの侵入を許したり、クラッキングされたりする可能性がある。被害が会社内だけでとどまればまだしも、影響が社外に及べば、会社の信用が大きく傷つき、場合によっては訴訟に発展する可能性もある。会社が受ける損害は計り知れない。そのため問題となるセキュリティホールを根本から解消するには、修正プログラムやService Packを鋭意適用していくしかありません」と、企業全体のコンピュータへの修正プログラム管理の必要性を強調する能祖氏。 奥天氏は、マイクロソフトの使命は、見つかったセキュリティホールはすべてつぶしていくことだと前置きしながらも、「すべてのユーザーのみなさんにその脆弱性の情報を少しでも早く知っていただき、すべての修正プログラムが正しく適用されるようにするということが、マイクロソフトのゴール」という。一方で、ユーザーサイドの姿勢として、「セキュリティレスポンスチームの活動に関心を持っていただき、可能であれば周囲の人たちにもそうした活動があることを伝えていただきたい」とベンダとユーザーとの相互協力を呼びかけた。 ここで、読者の皆さんが気になるWindows Server 2003のセキュリティに関しては、セキュリティフォーカス(SecurityFocus)という、アタックベースで著名なセキュリティソリューション企業に調査を委託し、その結果、現存する200あまりのシナリオでの攻撃が不可能だったことが確認されたと奥天氏はいう。とはいえ、野々下氏のセッションにあったように、今後も新しい攻撃スタイルが次々と登場するものと思われ、それに対処して修正していくことで安心して利用できるOSにしていくとマイクロソフトの姿勢を示した。 最後に小川氏はセキュリティ対策で一番大事なことは“知ること”だと改めて強調した。どんな攻撃があるのか、どのようなセキュリティホールがあるのか、あるいはWindowsのシステムはどうなっていて、何が起こったときに、どこに影響がでるのかということを知ることが重要だという。 小川氏は、さらに、「@ITやWindows Server Insiderフォーラムの仕事は、管理者の方々によりよい情報を提供し、知識をより広く、深くしていただくこと。読者の皆さんの期待に添える情報を提供していき、強固なWindowsシステム作りに貢献したい。@ITには読者の皆さんが書き込める会議室もあるので、お気づきの点があればどしどし意見を出してほしい」とWindowsセキュリティの一端として@ITを活用していただきたいとディスカッションの幕を閉じた。 企業ネットワークのクライアントセキュリティを管理する要は、最終的には人間にある。1人1人がセキュリティに注意を向けるようになって、初めてクライアントのセキュリティ対策が正しく機能し、効果を生むようになるのだ。従ってWindowsシステムのセキュリティを強化するためには、企業のシステム管理者と利用者の双方がセキュリティ意識を向上させる努力を日々続ける必要がある。 いままでのセキュリティ管理では、ファイアウォールやサーバ管理にばかり目が向けられがちだったが、今回のセミナーで、これらに負けず劣らず、クライアント管理も重要であることがはっきりした。トータルなセキュリティ対策の重要性を再認識させられるセミナーであった。
|
マイクロソフト株式会社  株式会社シマンテック
 アップデートテクノロジー 株式会社
マイクロソフト セキュリティ TechNet セキュリティ センター ツールとチェックリスト セキュリティ情報一覧 セキュリティ 警告サービス セキュリティ スクエア Hot Fix Report UpdateEXPERT Ver.5.1
Windows環境におけるセキュリティ強化のポイント(前編)(2003/2/14) Windows Insider/Insider's Eye:管理者のジレンマを突いて爆発的に繁殖したSQL Slammer(2003/1/28) Windows最新Hotfixリスト Windowsを最新状態にするための情報と手順(2002/4/27) ソフトはみんな生きている(2002/4/23) セキュリティ・パッチの適用状態を調べる(1) ―― HFNetChkツールの使用法(2002/1/26) 運用 Microsoft Software Update Servicesの実力を探る(2002/7/09)
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
