前回、脆弱性へのセキュリティパッチが未適用のため大規模感染が発生し、業務停止を招いたA社を紹介した。パッチ提供が終了したサポート切れOS(レガシーOS)を使っていたら、害はこれを上回ると予測される。また、ウイルス対策がなされていない場合、情報漏えいなどの甚大な被害をもたらす不正プログラムが侵入してくる危険性が高まるため、こちらの対策も急務となる。
レガシーOSがセキュリティ上抱える問題点とは以下の2点に集約できる(図1)
今回は、この1つ目の問題、脆弱性対策について考えてみる。
状況に応じた対策の選択
セキュリティパッチがないため脆弱性を修正できないシステムへの対策は、パッチ以外の方法で仮想的に脆弱性を保護するしかない。だが、そのための方法がいくつかあるため、慎重な選択が必要となる。状況に応じた、適切な対策の選択を行なうことが重要だ。
ネットワークレベルで対策を
レガシーOS上にさまざまなシステムを作りこんでいる場合、新たなソフトウェアのインストールを行ないたくないというケースは高い。とにかく、今使っているシステムを触らずそのまま運用したいというケースだ。この場合、レガシーOSによって構築されたシステムのあるセグメントを丸ごと、脆弱性攻撃から守るシステムで保護することによって脆弱性対策できる(図2)。
この対策の利点は、新たなソフトウェアのインストールなどが不要であるため、比較的導入が容易な点にある。また、レガシーOSが集中しているセグメントごと守ることができるのもポイントだ。欠点としては、ネットワークに多少の変更を必要とする点になる。基本的には、ハブ的にスイッチとセグメントの間などに設置するイメージになる。ポート数や割り当てアドレスなどの確認は確実に行なっておきたい。
システムの中で対策を
「レガシーOS上でも動作サポートしてくれるソフトウェアなら、インストールするのもやぶさかでもない」という方には、エージェントで脆弱性を保護する方法を推奨したい。OS を書き換えるパッチではなく、仮想パッチをエージェントで提供する方法だ。基本的な考え方はネットワークでの対策と変わりないが、その実行がシステムの内部で行なわれる点に大きな違いがある。この方法の利点は、他のセキュリティ対策、たとえばHIPSやWAFなどの総合的な対策機能を包含することが多い点にある。よって、ミッションクリティカルサーバーや外部向けサーバーなど、重要なサーバーに対して最適なソリューションとなる。
欠点としては、ソフトウェアのインストールが発生するという点になる。どうしてもインストール前には検証が必要だし、インストール後にはリブートも発生するだろう。そのために必要となる時間やダウンタイムを十分に考慮のうえ、プロジェクトを計画したい。
(次ページ、「仮想化におけるセキュリティ問題への対策」に続く)
この連載の記事
-
第28回
TECH
いつの間にか、あなたもネット犯罪者? -
第27回
TECH
ゲームのアイテムを日本円に替えるRMTにまつわる危険とは? -
第26回
TECH
身代金要求からワンクリック詐欺、犯罪ツールには要注意 -
第25回
TECH
われわれの身近に存在するアンダーグラウンドマーケット -
第24回
TECH
オフライン端末への脅威は、こうすれば防げる! -
第23回
TECH
オフライン端末へのウイルス対策5ケースとつきまとう欠点 -
第22回
TECH
ダウンアドが院内感染!オフライン端末の被害事例とは? -
第21回
TECH
市販のUSBメモリにウイルスが混入する理由とは? -
第20回
TECH
仮想アプライアンスのここがメリット! -
第19回
TECH
セキュリティには仮想アプライアンスという選択肢を -
第18回
TECH
ウイルスバスター2011 クラウドに搭載された3つの新機能 - この連載の一覧へ