LinkedInで自社の脆弱性が分かる？ 出回っている情報の把握はなぜ重要なのか：Linuxセキュリティ専門家に聞く【中編】

企業はインターネットで自社について説明するさまざまな情報を公開しているため、システムに侵入されるリスクが高まる。どうすればいいのか。Linuxセキュリティの専門家に聞いた。

[Kyle Johnson，TechTarget]

　IT管理に精通しているデービット・クリントン氏が執筆した書籍『Linux Security Fundamentals』（2020年10月発売）はLinuxセキュリティの基礎をまとめている。米TechTargetは同氏に同書の内容について単独インタビュー。前編「『99％のランサムウェア攻撃を防げる手段』を書いた専門家が本当に伝えたいこと」に続き、中編となる本稿はクリントン氏が指摘するシステムのありがちな脆弱（ぜいじゃく）性を考える。

併せて読みたいお薦め記事

知っておきたいLinuxのセキュリティ

• Azure Sphereで本格化するMicrosoftのIoTセキュリティ、Linuxも採用
• 「Windows Server」「Linux」を6つの視点で比較　何が違うのか？

「OSINT」という恐るべき情報収集の手段　自社も利用すれば保護策に

――　クリントンさんはサーバ管理者としてキャリアを始めたそうですね。仕事をする中でよく見てこられたシステムの脆弱性は何でしょうか。

クリントン氏　ありがちなセキュリティの“穴”になるのは、開いているポートが多過ぎるということだ。例えば、複数の人が同じ開発ツールを使って作業する場合、各自がそれぞれ違うテスト用アプリケーションを使うことがある。使用したソフトウェアがそのまま放置されれば、ポート番号は開いたままになり、攻撃者がシステムに侵入するための“入り口”になる恐れがある。

　この問題を解決するためには、使用後にソフトウェアを必ず閉じるルールを設けることが有効だ。IT部門から優秀な部員を1人抜てきし、その人に全てのインフラを監視させれば、閉じられていないソフトウェアを手っ取り早く見つけられるだろう。しかし、システムが大きくなり複雑化すれば、そう簡単にはいかない。大型システムで重要になるのが、脆弱性スキャンの定期的な実行だ。セキュリティの専門会社に依頼すれば、脆弱性やパッチ未適用のソフトウェアを探してもらうことができる。企業はコストがかかっても必ずスキャンに取り組むべきだ。

――　企業がセキュリティ対策を講じる際、社外リソースのみを利用するのと、社内リソースも組み合わせて利用するのとでは、どちらがお勧めですか。

クリントン氏　組み合わせて使うのがお勧めだ。社内のIT管理者は自社システムの詳細を把握しているので、不適切な構成を迅速に特定できる。そういうリソースがない場合は、セキュリティ専門会社を使えばいい。セキュリティ専門会社なら、合法的にあらゆる情報を入手する「オープンソースインテリジェンス」（OSINT）という手法を使い、自社システムの脆弱性を診断してもらうこともできる。

　実は攻撃者もOSINTをよく使っている。例えば、ビジネス特化型ソーシャルネットワーキングサービス（SNS）「LinkedIn」にアクセスし、狙っている企業の求人情報を検索する。求人情報からは、「○○のスキルを持つ開発者を求める」といった情報を得て、その企業はIT部門のどの辺が手薄で侵入の入り口になるのかが分かる。

　質疑応答ができる開発者向けWebサイト「Server Fault」も有効な“情報源”だ。攻撃者は狙っている企業の従業員が投稿した質問や回答をたどれば、その企業のシステムについて分かるさまざまな情報を得られる。保護策として企業はLinkedInやServer Faultで自社についてどのような情報が出回っているかを把握する必要がある。そのためには、やはりセキュリティ専門会社の利用がお勧めだ。

---

　後編は、企業がフェイルオーバー（本システムが停止した際に自動的に代替システムが利用できるようになる仕組み）を活用する重要性を取り上げる。

TechTarget発　世界のインサイト＆ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。