サーバーの基本!

2024/06/20

Webサーバに必要なセキュリティ対策

image-08

サーバーにおけるセキュリティリスクと攻撃の種類
企業が活動する上でインフラともいえるサーバー・ネットワークの安全な運用には、それぞれに対するセキュリティ対策が欠かせません。サーバーの脆弱性を放置したままでいると、攻撃されるリスクが高まります。セキュリティ対策を怠って攻撃を受けてしまうと、重要な情報を盗取されてしまい、企業にとって致命的な不利益を被ることにもなりかねません。サーバーのセキュリティ対策を行い、セキュアな企業活動が続けられるようにしましょう。


●サーバーにおけるセキュリティリスク
・不正アクセスによる情報漏えい
・Webサイトの改ざん
・マルウェア感染による攻撃
・不正行為の踏み台
・サーバーダウンによる金銭的な損害(機会損失含む)
・情報漏洩やサービスの停止による顧客信用の低下
・改ざん、ダウンなどからシステムを復旧させる費用の発生


●サイバー攻撃の種類
・ポートスキャン
 →侵入や攻撃の糸口を探る。
・Web改ざん
 →不正な方法で企業や団体の公式サイト情報を改ざんし、信用力を低下させる。
・SQLインジェクション
 →データベースに不正な命令を発行し、顧客情報を盗み取る。
・クロスサイトスクリプティング(XSS)
 →スクリプト送信によるWebページの不正操作。
・DDoS攻撃
 →外部から同時多発的にDoS攻撃を加え、サーバダウンを狙う。
・ブルートフォースアタック
 →ツールを利用した総当たり形式でID・パスワードを入力し不正アクセス。
・ゼロデイ攻撃
 →OS、ミドルウェア、アプリケーションの脆弱性発覚からパッチ適用までの期間を狙った攻撃。



対策すべきサーバセキュリティ
●FW(ファイアウォール)の導入
ファイアウォールは、ネットワーク上に設置し、IPアドレスやポート番号をもとに不正なアクセスを制限するソフトウェアです。許可されていない通信はファイアウォールでブロックされるため、外部の攻撃がサーバーへ到達するのを防ぎます。ただし、ファイアウォールは通信の中身を確認しておらず、正常な通信かどうかは判断できません。マルウェアが潜んだメールやフィッシングページなどを判別できない点に注意しましょう。


●IDS/IPSの導入
IDS/IPSは、既知の攻撃や不審な通信を検知・通知するシステムです。ファイアウォールがネットワークの監視に特化しているのに対し、IDS/IPSはOSやミドルウェアへの攻撃を防げます。通信内容が正常か不正か判断でき、サーバーに負荷をかけるDDos攻撃やバッファオーバーフローなどの攻撃に有効です。なお、IDSが通信の検知・通知にとどまるのに対し、IPSは通信をブロックできる特徴があります。IDSは通信内容を確認した上で対応したいとき、IPSは即座に不審な通信を遮断したいときに役立ちます。どちらか一方のみ導入したい場合は、目的や状況を考慮して決めましょう。


●WAFの導入
WAFは通信内容をチェックし、不審な動きがあった場合に通信を遮断するシステムです。Webアプリケーションを狙った攻撃はファイアウォールやIDS/IPSで防ぐのが困難ですが、WAFは防げます。具体的には、クロスサイトスクリプティング・SQLインジェクションなどの攻撃に有効です。WAFは導入の難しさやコストの高さがデメリットでしたが、最近はクラウド型サービスが普及したことで導入しやすくなっています。


●脆弱性診断の導入
脆弱性診断は、脆弱性を突いた攻撃を受けたとき、被害につながる可能性がないか検証することです。定期的に診断を実施することで脆弱性を早期発見できるため、攻撃を受ける前に対策を講じることができます。セキュリティリスクを軽減するには、攻撃の手がかりとなる脆弱性を見つけてすぐに対応することが重要です。



サーバセキュリティ対策に必要なポリシー
サーバセキュリティにおいて最も重要なのは、企業や組織がセキュリティに対する方針や行動指針をまとめたポリシーです。サーバセキュリティは、それぞれの企業が持つ情報資産や組織の規模、業務形態やサーバー・ネットワーク・システムの構成などによって変わってきます。自社の現状に即したセキュリティポリシーを策定することが重要です。
・サーバ管理者以外が自由にサーバへログインできないようアクセス制御する。
・管理者以外のアカウントは必要最低限のアクセス権限のみ付与する。
・OSやサーバで使用されるソフトウェアはセキュリティパッチを適用して最新状態を保つ。
・安全なパスワードを設定し、使いまわしに注意する。
・ログ管理を行い不審な動きを検知する。
・侵入検知、遮断を行う専用ツールを導入する。
・不要なサービスやアプリケーションを停止・削除する。
・不要なアカウントが無いか定期的に確認して削除する。
・プログラムを介したデータの不正操作、データ埋め込みが起きないよう、脆弱性対策を施す。
・機密性が高い情報は、別サーバへ退避させ、攻撃による流出のリスクを減らす。



まとめ
現状のセキュリティポリシーを確認するとともに、考えられるリスク・課題を洗い出し、自社に最適なセキュリティ対策を施しましょう。また、限られたリソースで強固なセキュリティを実現するため、クラウドサービスの活用も検討してみてください。