このページの本文へ

前へ 1 2 次へ

ゼロからわかる最新セキュリティ動向第11回

仮想環境での脆弱性も忘れずに!

レガシーOSが危険な理由!「脆弱性」への対処とは?

2010年08月02日 09時00分更新

文● 横川典子/トレンドマイクロ株式会社 マーケティング本部 エンタープライズマーケティング部 担当課長代理

  • この記事をはてなブックマークに追加
  • 本文印刷

前回、脆弱性へのセキュリティパッチが未適用のため大規模感染が発生し、業務停止を招いたA社を紹介した。パッチ提供が終了したサポート切れOS(レガシーOS)を使っていたら、害はこれを上回ると予測される。また、ウイルス対策がなされていない場合、情報漏えいなどの甚大な被害をもたらす不正プログラムが侵入してくる危険性が高まるため、こちらの対策も急務となる。

 レガシーOSがセキュリティ上抱える問題点とは以下の2点に集約できる(図1)

図1 レガシーOSがセキュリティ上抱える問題点

 今回は、この1つ目の問題、脆弱性対策について考えてみる。

状況に応じた対策の選択

 セキュリティパッチがないため脆弱性を修正できないシステムへの対策は、パッチ以外の方法で仮想的に脆弱性を保護するしかない。だが、そのための方法がいくつかあるため、慎重な選択が必要となる。状況に応じた、適切な対策の選択を行なうことが重要だ。

ネットワークレベルで対策を

 レガシーOS上にさまざまなシステムを作りこんでいる場合、新たなソフトウェアのインストールを行ないたくないというケースは高い。とにかく、今使っているシステムを触らずそのまま運用したいというケースだ。この場合、レガシーOSによって構築されたシステムのあるセグメントを丸ごと、脆弱性攻撃から守るシステムで保護することによって脆弱性対策できる(図2)。

図2 脆弱性攻撃への対策

 この対策の利点は、新たなソフトウェアのインストールなどが不要であるため、比較的導入が容易な点にある。また、レガシーOSが集中しているセグメントごと守ることができるのもポイントだ。欠点としては、ネットワークに多少の変更を必要とする点になる。基本的には、ハブ的にスイッチとセグメントの間などに設置するイメージになる。ポート数や割り当てアドレスなどの確認は確実に行なっておきたい。

システムの中で対策を

 「レガシーOS上でも動作サポートしてくれるソフトウェアなら、インストールするのもやぶさかでもない」という方には、エージェントで脆弱性を保護する方法を推奨したい。OS を書き換えるパッチではなく、仮想パッチをエージェントで提供する方法だ。基本的な考え方はネットワークでの対策と変わりないが、その実行がシステムの内部で行なわれる点に大きな違いがある。この方法の利点は、他のセキュリティ対策、たとえばHIPSやWAFなどの総合的な対策機能を包含することが多い点にある。よって、ミッションクリティカルサーバーや外部向けサーバーなど、重要なサーバーに対して最適なソリューションとなる。

 欠点としては、ソフトウェアのインストールが発生するという点になる。どうしてもインストール前には検証が必要だし、インストール後にはリブートも発生するだろう。そのために必要となる時間やダウンタイムを十分に考慮のうえ、プロジェクトを計画したい。

(次ページ、「仮想化におけるセキュリティ問題への対策」に続く)


 

前へ 1 2 次へ

この連載の記事
ピックアップ