連載
» 2015年01月26日 18時00分 公開

川口洋のセキュリティ・プライベート・アイズ(52):「これさえしておけば助かったのに……」を避けるため、今すぐ確認すべき7項目 (2/2)

[川口洋(株式会社ラック チーフエバンジェリスト CISSP),@IT]
前のページへ 1|2       

5. SELinuxの設定の確認

 SELinuxの機能があれば、設定を確認してください。「有効化」(enforcingモード)であることが一番いいのですが、さまざまな理由により「無効化」(disabledモード)にされていることが多くあります。SELinuxを使いこなせない環境では、せめて「ログ記録」(permissiveモード)にしておいてください。何かあった際にSELinuxのログが出力されて、調査の助けになることがあります。

$ cat /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=permissive
# SELINUXTYPE= can take one of these two values:
#     targeted - Targeted processes are protected,
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted
SELinuxの設定

6. 管理者PCの運用状態の確認

 管理者PCで不必要なWeb閲覧やメール閲覧ができる状態になっていないか確認してください。

 システムの全権を握る管理者PCは絶対に守らなければなりません。攻撃者はシステムを制圧するために、あの手この手で管理者のPCを狙ってきます。管理者が使用するPCが日常のサポート業務や調査業務のために使用されていると、不意にマルウェアが入り込み、そのままサーバーやシステム全体が侵害される恐れがあります。

 管理者PCを守るためにさまざまなセキュリティソリューションがありますが、Webとメールの閲覧を制限することが最も手っ取り早い対策です。管理者の日常の業務に支障が出ないように管理用のPCと日常業務用PCは分けるべきでしょう。

 IT系の会社ではシステム管理者や開発者のPCを分けることが文化的に難しい場合もあるかと思います。その場合は「管理者のPCが狙われているのだ」と強く認識して、その他の対策を取るべきです。

7. IPAとJPCERT/CCの認識の確認

 IT部門や取引のあるIT会社のエンジニア、外部からの問い合わせ窓口の担当者が「IPA」と「JPCERT/CC」を知っているかを確認してください。このコラムを読んでいる人には常識だと思いますが、確認していただくことに大きな意味があります。

関連リンク

IPA 独立行政法人 情報処理推進機構

http://www.ipa.go.jp/

JPCERT コーディネーションセンター

https://www.jpcert.or.jp/


 特に地方に行くと顕著ですが、セキュリティインシデントが発生したIT部門やIT会社のエンジニアがIPAやJPCERT/CCの存在を知らないことが多くあります。税金でまかなわれている組織から有用な情報が多く発信されているのですが、その名前やコンテンツが認知されていないことは非常に残念です。

 また、外部からの問い合わせ窓口の担当者がJPCERT/CCの名前を知らないばかりに、Web改ざんやウイルス感染などのセキュリティインシデントに関する連絡を放置しているケースもあります。あるWeb改ざんのケースでは、運用を担当しているIT会社がJPCERT/CCのことをよく知らずに不完全な対応にとどまり、ユーザーに「システムの不具合があったので修正しておいた」と連絡して済ませていたこともありました。内部の報告はともかく、きちんと対応していれば問題なかったのですが、担当者の認識不足からJPCERT/CCから正しい情報を引き出すことができず、対応内容が不十分で、傷口を広げる結果になってしまいました。

 私はあちこちの講演で、

IPAやJPCERT/CCを知らない組織に限って事故を起こします。皆さんはぜひ、付き合いのあるITの会社に「もちろんIPAとJPCERT/CCくらいは知っているよね」と言いましょう。これがすぐに効果が出る対策です。

と話しています。予算や人員の問題で、IPAやJPCERT/CCの出している対策が「できない」ことは仕方ない場合もあるでしょう。しかし、「そんな情報は知らない」ということがないよう願うばかりです。

「当たり前」のことこそ確認を

 今回は読者の皆さんに今すぐ確認してほしい7つのことを挙げました。知っている人にとっては当たり前でも、意外に対策ができていないことも多くあり、そのような環境でこそセキュリティインシデントは発生しています。もっと詳細な技術情報や対策を知りたい人は以下のドキュメントに目を通すことをお勧めします。

関連リンク

Cyber GRID View vol.1

http://www.lac.co.jp/security/report/2014/12/16_cgview_01.html

『高度標的型攻撃』対策に向けたシステム設計ガイド

https://www.ipa.go.jp/security/vuln/newattack.html


 2月26日には久々にアイティメディアのセミナーでお話しする予定です。まだ詳細は決まっていませんが、このコラムのような話の裏側にも触れることができたらなと思っています。会場は東京の予定ですが、読者の方の希望やスポンサーさまの希望が多ければ全国の他の会場でも開催されると思いますので、ぜひ熱いメッセージをお待ちしています。そして久々のコラム執筆をねぎらうために、私は今夜も飲みに行くのでした。

@ITセキュリティセミナーのお知らせ

セキュリティ脅威と戦うスペシャリストたちが集結!

日時:2015年2月26日(東京)、3月6日(福岡)、3月13日(大阪)

https://itmedia.smartseminar.jp/public/application/add/1010


著者プロフィール

川口 洋(かわぐち ひろし)

株式会社ラック

チーフエバンジェリスト

CISSP

ラック入社後、IDSやファイアウォールなどの運用・管理業務を経て、セキュリティアナリストとして、JSOC監視サービスに従事し、日々セキュリティインシデントに対応。チーフエバンジェリストとして、セキュリティオペレーションに関する研究、ITインフラのリスクに関する情報提供、啓発活動を行っている。Black Hat Japan、PacSec、Internet Week、情報セキュリティEXPO、サイバーテロ対策協議会などで講演し、安全なITネットワークの実現を目指して日夜奮闘中。

2010年〜2011年、セキュリティ&プログラミングキャンプの講師として未来ある若者の指導に当たる。2012年、最高の「守る」技術を持つトップエンジニアを発掘・顕彰する技術競技会「Hardening」のスタッフとしても参加し、ITシステム運用にかかわる全ての人の能力向上のための活動も行っている。


「川口洋のセキュリティ・プライベート・アイズ」バックナンバー
前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。