|  お問い合わせ  |  サイトマップ  



  専用(占有)サーバだけではありません、VPS(Virtual Private Server)仮想化サーバを利用する場合も、セキュリティ アップデートはサーバ管理者の義務であり、経営者の責任です。
  比較的低価格で提供されるVPS(仮想化サーバ)を利用する場合も、従来の専用サーバと同様に脆弱性対策・保守作業が必要です。しかも、VPSが稼動するインフラの保守はクラウド・コンピューティング提供事業者に依存するため、従来の専用サーバ以上にセキュリティ リスクは高いことを理解しなければなりません。
 
  『2010年度版 10大脅威 あぶり出される組織の弱点!』
  第1位 変化を続けるウェブサイト改ざんの手口
第2位 アップデートしていないクライアントソフト
第3位 悪質なウイルスやボットの多目的化
第4位 対策をしていないサーバ製品の脆弱性
 
 

サーバ製品(ウェブアプリケーションやミドルウェア等)の脆弱性対策を行わずに運用しているウェブサイト等の存在が明らかになっている。

 

【脅威】 ウェブサーバやウェブアプリケーションに代表されるサーバ製品に脆弱性があると、攻撃者にその脆弱性を悪用される恐れがある。-略- 2009年はSQLインジェクション等によるウェブサイト改ざんが度々報道された。現在もサーバ製品には、適切な脆弱性対策を行う必要がある。サーバ製品のなかでも、特にウェブサイトのように外部に対して公開する運用の場合、注意が必要である。

サーバ製品の脆弱性対策が重要であるが、開発者が脆弱性を修正したサーバ製品を公開しても、アップデートされていないサーバ製品が散見される。

サーバ製品をアップデートしない理由は大きく2つ考えられる。
@特定のサービスが動作しなくなる可能性を恐れてアップデートできない
Aサーバ製品のアップデートの必要性を理解していない

【影響】 サーバ製品の脆弱性を悪用されることで、不特定多数の利用者が被害を受ける可能性がある。サーバ製品に保存されている情報が改ざんされる等の恐れがある。結果、サーバ製品の利用者の情報窃取や利用者へのウイルス感染といった被害が生じる。 サーバ製品の脆弱性が悪用された場合、被害を受けるのはサーバ製品だけではなく、その製品の利用者にも及ぶ。 これは、ガンブラーによる被害からも分かる。
サーバ製品の管理者は、被害が利用者に及ぶことを十分に認識して、サーバ製品の適切な脆弱性対策を行わなければならない。

  第5位 あわせて事後対応を!情報漏えい事件
第6位 被害に気づけない標的型攻撃
第7位 深刻なDDoS攻撃
第8位 正規のアカウントを悪用される脅威
第9位 クラウド・コンピューティングのセキュリティ問題
第10位 インターネットインフラを支えるプロトコルの脆弱性
  出典 『2010年度版 10大脅威 あぶり出される組織の弱点!』 2010年3月31日 独立行政法人情報処理推進機構 セキュリティセンター
http://www.ipa.go.jp/security/vuln/10threats2010.html
 
  上記10大脅威中、第1位、4位、7位、9位、10位にセキュリティ アップデート(脆弱性対策パッチ適用)を行なえば回避できる脅威があげられています。このページでは特に第4位をピックアップしました。絵では初心者マークがあり不慣れなサーバ管理者にある問題のようにとれますが、そんなことはありません。ベテランのサーバ管理者でも面倒なセキュリティ アップデート作業が滞ると、たちまちセキュリティ レベルが低下し脆弱なサーバになるのです。
  脆弱性とそのセキュリティ対策パッチがどのくらいの頻度でリリースされているか下記URLでご確認ください。
  RedHat Enterprise Linux 5 server - Security Advisories
  CentOS5.4 updates i386 rpms - update patch (独立行政法人 理化学研究所)
  サーバ管理者はこのセキュリティ アップデート(パッチ適用)を行なわなければならないのです。
脆弱性(セキュリティ ホール)の情報公開と同時に、そのセキュリティ対策パッチがリリースされます。 サーバ管理者は公開された脆弱性情報をもとに、管理対象サーバにパッチを適用しセキュリティ レベルを維持します。 この脆弱性対策のパッチ適用が滞ると、サーバのセキュリティ レベルが著しく低下します。 サーバ攻撃の90%は、この脆弱性情報を基に仕掛けられ、そして成功しているのです。
 
 

『特定のサービスが動作しなくなる可能性を恐れてアップデートできない』 との理由で、セキュリティ アップデートを行なわないのは、自己利益を優先して、サイトを訪れてくれる人や顧客の安全性を犠牲にし脅威にさらしている。ということを理解してください。

  脆弱性情報の公開やセキュリティ対策パッチのリリースは、謂わばリコールです。所有するバスにリコール「安全性に問題があり、重大事故に繋がる恐れがあるので、すぐに対策部品に交換してください。」と発表されているのにメンテナンスが長引き営業できなくなる可能性を嫌がり修理せず、いつ重大事故が起きてもおかしくない状態のままで客を乗せて運行し続け、乗客はもとより、公道を走る他の車や歩行者をも危険にさらしているのです。
あなたは、そんなバス会社のバスに乗りたいですか?
あなたやあなたの大切な人がそんなバスに乗って事故に遭ったらどう感じ、どのように行動しますか?
 
  そして、不正アクセスさせると、サーバ管理者、経営者は想像以上に厄介です。
サーバをIDCで運用しているならば、まず、IDCから問題動作の指摘、緊急対応依頼(停止)、原因の究明、OSを再インストールするまで再稼動させれないと連絡があります。
フィッシングサイトを仕掛けられたら、詐欺という犯罪行為なので、自らの意思で詐欺を行なったのではないと証明しなければなりません。
被害者、海外在住の人からの訴えであった場合、海外捜査当局から証拠の保全(サーバ機、データ等)、提出など捜査協力を求められます。
拒否した場合、刑事告訴、また、民事で損害賠償請求される可能性があります。
顧客情報が流出した場合、損害賠償請求される可能性があります。
 
  個人情報保護法の安全管理措置(情報セキュリティ)
第20条(安全管理措置)
個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
第22条(委託先の監督)
個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。
 
 

サーバ運用は必ずセキュリティ アップデート(セキュリティ パッチの適用)作業を行なわなければなりません。ファイアウォールやUTM(Unified Threat Management:統合脅威管理)アプライアンス、IPS(Intrusion Prevention System)、セキュリティ パッチ エミュレーター等、中には非常に高額な製品サービスもありますが、これらを導入してもセキュリティパッチの適用は必須なのです。これらの製品サービスは本来、「特定のサービスが動作しなくなる可能性を恐れてアップデートできない」場合に "セキュリティ パッチを適用するまで" の一時的な攻撃回避ツールなのです。

サーバ保守のプライオリティは、下記の通りです。

1.セキュリティ アップデート(パッチ適用)を行なう。
2.特定サービス停止の可能性がある場合、攻撃防御ツール・サービスの導入する。
3.特定サービス停止を回避したセキュリティ パッチ作成と適用を行なう。