クラウドサービスの中で、企業が負うセキュリティ維持の責任が最も重いモデルがIaaSだ。RackspaceのIaaSを使った標準的な仮想サーバでセキュリティテストを実施。企業が取るべきセキュリティ対策が明らかになった。
Infrastructure as a Service(IaaS)を使えば、企業はマウスを数回クリックするだけでサーバやストレージ、ネットワークのリソースを作成できる。だがIaaSはクラウドサービスの中では、ユーザー企業が負うセキュリティ維持の責任が最も重いモデルだ。米Amazon Web Services(AWS)や米Rackspace Hostingなど、主要なIaaSプロバイダーは既に低レベルのインフラについてはセキュリティを確保している。だが企業が自社で管理すべきサーバのセキュリティ対策が不適切な場合には、どうなるのだろう? またこうした仮想インフラでは、サーバはどのようなタイプのリスクにさらされているのだろうか? こうした疑問の答えを見つけるべく、私はRackspaceを使った標準的な仮想サーバでテストをしてみた。このテストからは、IaaSのセキュリティを確保するために企業が取るべきセキュリティ対策が明らかになった。
テストでは、ApacheやSSH、FTPといった一般的なサービスをホストするためにFedora 13でLinuxサーバをプロビジョニングし、標準的な企業サーバで提供されるであろう各種のサービスをシミュレートした。Rackspaceはネットワークセキュリティの構成に関して多数のオプションを提供しているが、いずれのオプションもデフォルトでは有効化されていない。テストでは構成管理のエラーをシミュレートできるよう、Rackspaceのデフォルトのネットワークセキュリティ設定をそのまま利用し、オープンソースのIDS(侵入検知システム)「Snort」をインストールした。ルールセットには、登録して使用するRegisteredルールセットと最新の脅威に対応するルールセットの両方を用いて、結果をモニタリングできるようにした。SMTP(メール)やSamba(Windowsファイル共有)など、ハッカーから注目を集めやすいサービスは意図的に除外した。そうしたサービスまで含めれば、プローブ(脆弱性の探索)の件数があまりに多くなり、テストを対処可能な範囲に収められなくなることが懸念されたからだ。今回のテストの主要な目的は「Rackspaceのセキュリティ設定だけ忘れてしまった有能なITスタッフによるサーバ設定」をシミュレートしてモニタリングすることであるため、Fedoraのセキュリティについては入手可能なパッチを全てインストールした。
最初に検知されたプローブは、経験豊富なLinuxサーバ管理者であれば何度も遭遇したことがあるであろうものだ。自動化されたボットが直ちにSSHポートを見つけ出し、その後、サーバ上のユーザーアカウントに対してブルートフォース攻撃が仕掛けられた。テストでは、このタイプの攻撃が大勢を占め、全体の66%以上の攻撃がSSHプロトコルに向けられた。最も、こうしたブルートフォース攻撃は洗練されておらず、一般的なアカウント名やデフォルトのパスワードを探すだけのものであり、いずれも成功はしなかった。ただし、これらの攻撃のせいで管理が必要なシステムログが多数生成された。デフォルトのアカウント名や簡単に破られるパスワードを使っていれば、サーバは危険にさらされていたかもしれない。ここでの教訓は以下の通りだ。SSHは攻撃を受ける危険性が高く、クラウド環境においてもホスト環境と同様にセキュリティ対策を施すべきである。
次に多かったのは、はるかに具体的で意外なプローブだった。「SIPVicious」と呼ばれるオープンソースのセキュリティスイートを使った、VoIPシステムを標的としたプローブだ。SIPViciousツールは、本来は管理者が社内のVoIPシステムを検査したり、検知されたセキュリティ上の問題を修正したりするためのツールとして開発されたものだ。だがその他の多くのセキュリティツールと同様、SIPViciousツールもハッカーがインターネット経由でVoIPシステムのセキュリティ上の弱点を突く手段としても使われている。当然、Rackspaceのテストサーバには悪用されるようなVoIPサービスは何もインストールされていなかった。このプローブは単にインターネットをスキャンして脆弱な電話システムがないかを探す、自動化されたボットにすぎなかった。だがこの自動ボットを作成した人物にとっては、このテクニックが成功したこともあるはずだ。「企業のVoIP電話システムを匿名で使用できること」に対して犯罪者が強い動機を抱くのは当然のことだ。ここでの教訓は以下の通りだ。インターネットにさらされるVoIPシステムには強力なセキュリティ対策を講じること。
その次に多かったのは、Microsoft SQL ServerやOracle Database、MySQLなどのインストレーションから弱点を突けそうなデータベースシステムを探そうとするプローブだ。中には、こうしたデータベースシステムのネイティブなサービスポートである1433、1521、3306ポートへの接続を試みるシンプルなものもあれば、Rackspaceホストに対して実際にサービス拒否(DoS)攻撃を仕掛けようとするもの、他のホストを標的にバウンス攻撃を仕掛けようとするものなどもあった。驚くべきことに、Rackspaceホストに感染しようとするSQL Slammerワームのインスタンスすら見つかった。SQL Slammerは作成から8年以上もたつマルウェアだ。ここでの教訓は以下の通りだ。このタイプの攻撃を防ぐためにはインターネットへのデータベースの露出を極力制限すること。
後編では、検知したプローブの発信国別ランキングを発表する。
Copyright © ITmedia, Inc. All Rights Reserved.
契約業務の効率化やコストの削減といった効果が期待できることから、多くの企業で「電子署名」の導入が進んでいる。一方で、訴訟問題へと発展した際に証拠として使えるのかといった疑問を抱き、導入を踏みとどまるケースもあるようだ。
半導体ベンダーBroadcomは仮想化ベンダーVMwareを買収してから、VMware製品の永久ライセンスを廃止した。その永久ライセンスを継続する非公認の方法とは。
クラウドファーストの流れが加速する中、無計画に構築されたハイブリッドクラウドの弊害が多くの企業を悩ませている。ITオペレーションの最適化を図るためには、次世代のハイブリッドクラウドへのモダン化を進めることが有効だ。
ワークロードを最適な環境に配置できる手法として注目され、多くの企業が採用しているハイブリッドクラウド。しかし、パフォーマンス、法令順守、コストなどが課題となり、ハイブリッドクラウド環境の最適化を難しくしている。
システム基盤をオンプレミスで運用するか、データセンターやクラウドで運用するかは、業種によって大きく異なる。調査結果を基に、活用の実態を探るとともに、最適なクラウドサービスを考察する。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
ITmediaはアイティメディア株式会社の登録商標です。
