|  お問い合わせ  |  サイトマップ  

  セキュアなWEBサーバの構築には、セキュリティマネジメント(セキュリティ維持作業の実施)を欠かすことはできません。情報処理振興事業協会セキュリティセンターによると、「セキュリティ情報の収集」「パッチ適用」「ユーザのパスワード管理」「ログ監査」「セキュリティ検査」「緊急対応」などの作業がセキュリティマネジメントに相当するとされており、
Qlocは「セキュリティ情報の収集」と「パッチ適用」をサポートしています。
 
 
システムのセキュリティを維持する上でもっとも重要な作業が、情報収集である。仮にシステム構築時に完璧なセキュアシステムを構築したとしても、システムで利用されているサービスに、新たな脆弱性が発見されてしまえば、一転して脆弱なシステムとなってしまう。そこで、システムで利用しているOSやサービスに関連する最新セキュリティ情報収集を継続的に行い、対象システムの脆弱性情報が報告された場合は、ポリシーにしたがい対応を実施する必要がある。
 
 
OSやサービスにバグや脆弱性が発見されると、ベンダーまたはセキュリティコミュニティからアドバイザリとそれらを修正するためのパッチと呼ばれる修正プログラムがリリースされる。パッチを適用することで、バグや脆弱性の問題は解消されるが、システム動作に問題を引き起こす場合がある。そこで、パッチ適用の際は、次のような適用計画にしたがい実地することが望ましい。(以下略)
 
  (一部略)入手したセキュリティ情報に基づき、対象システムに必要なパッチがあるかを判断し、必要であれば対象のパッチを入手する。通常、セキュリティアドバイザリ情報中にパッチ入手先が記載されている。また、パッチはベンダー/ソフトフェアのオフィシャルサイトもしくはベンダーから郵送されるCD-ROMなどから入手する。
  直接本番機へパッチを適用するのではなく、本番機と同じ環境を持つテスト環境マシンを用意しておき、そのマシンにパッチを適用し、適用後も対象システムに問題が発生せずに通常サービスの提供が実施可能であることを確認する必要がある。独自開発したアプリケーションを運用しているサーバでは、パッチ適用後、システムに異常が発生するケースが多いので必ずテストを行う。
  テスト環境マシンでパッチ適用の実績が立証できたなら、本番機でパッチ適用前状態のデータバックアップを取得することが望ましい。パッチ適用前のバックアップデータが存在していれば、システムで突然問題が発生したとしても、パッチ適用前の状態にシステムを復旧することが比較的容易に行える。
  本番機へのパッチ適用を実施する前に、システム使用者へシステム停止の告知をする必要がある。パッチを適用する際は、スタンドアロン/シングルユーザモード状態で実施するので、パッチ適用期間中は管理者以外はシステムへアクセスが不可能になる。システム関係者へ告知することで、関係者からのクレームなどのトラブルを軽減し、円滑なパッチ適用を可能にする。
  対象システム(本番機)をスタンドアロン/シングルユーザモード状態に変更し、パッチを適用する。パッチによっては、OSの再起動が必要なものがあるので、パッチ情報を参照の上、必要であればOSの再起動を実施する。パッチ適用後、正常にパッチが適用されたかを確認する。OSやサービスによって、適用済みパッチ情報が確認できるものがある。(以下略)
  対象システムへのパッチの適用後、適用したパッチ情報をシステムのリビジョン管理として記録する。適用パッチの番号や適用日、適用者、適用直前のバックアップデータ情報などをドキュメント化することで、システム復旧や管理の引継ぎなどを円滑に実地することが可能になる。
※出典:情報処理振興事業セキュリティセンター「セキュアなWEBサーバの構築と運用(2002.7.26 更新)」より