「これさえしておけば助かったのに……」を避けるため、今すぐ確認すべき7項目：川口洋のセキュリティ・プライベート・アイズ（52）（2/2 ページ）

全国各地から寄せられるセキュリティインシデントに関する相談の中には「これさえ設定していれば軽い被害で済んだのに」「ここだけでも把握できていれば早く対応できたのに」というケースが数多くあります。そうした残念な状況に陥らないようにするための7つのポイントを紹介しましょう。

[川口洋（株式会社ラック チーフエバンジェリスト CISSP），＠IT]

5. SELinuxの設定の確認

　SELinuxの機能があれば、設定を確認してください。「有効化」（enforcingモード）であることが一番いいのですが、さまざまな理由により「無効化」（disabledモード）にされていることが多くあります。SELinuxを使いこなせない環境では、せめて「ログ記録」（permissiveモード）にしておいてください。何かあった際にSELinuxのログが出力されて、調査の助けになることがあります。

$ cat /etc/selinux/config
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=permissive
# SELINUXTYPE= can take one of these two values:
#     targeted - Targeted processes are protected,
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

SELinuxの設定

6. 管理者PCの運用状態の確認

　管理者PCで不必要なWeb閲覧やメール閲覧ができる状態になっていないか確認してください。

　システムの全権を握る管理者PCは絶対に守らなければなりません。攻撃者はシステムを制圧するために、あの手この手で管理者のPCを狙ってきます。管理者が使用するPCが日常のサポート業務や調査業務のために使用されていると、不意にマルウェアが入り込み、そのままサーバーやシステム全体が侵害される恐れがあります。

　管理者PCを守るためにさまざまなセキュリティソリューションがありますが、Webとメールの閲覧を制限することが最も手っ取り早い対策です。管理者の日常の業務に支障が出ないように管理用のPCと日常業務用PCは分けるべきでしょう。

　IT系の会社ではシステム管理者や開発者のPCを分けることが文化的に難しい場合もあるかと思います。その場合は「管理者のPCが狙われているのだ」と強く認識して、その他の対策を取るべきです。

7. IPAとJPCERT/CCの認識の確認

　IT部門や取引のあるIT会社のエンジニア、外部からの問い合わせ窓口の担当者が「IPA」と「JPCERT/CC」を知っているかを確認してください。このコラムを読んでいる人には常識だと思いますが、確認していただくことに大きな意味があります。

関連リンク

IPA 独立行政法人 情報処理推進機構

http://www.ipa.go.jp/

JPCERT コーディネーションセンター

https://www.jpcert.or.jp/

　特に地方に行くと顕著ですが、セキュリティインシデントが発生したIT部門やIT会社のエンジニアがIPAやJPCERT/CCの存在を知らないことが多くあります。税金でまかなわれている組織から有用な情報が多く発信されているのですが、その名前やコンテンツが認知されていないことは非常に残念です。

　また、外部からの問い合わせ窓口の担当者がJPCERT/CCの名前を知らないばかりに、Web改ざんやウイルス感染などのセキュリティインシデントに関する連絡を放置しているケースもあります。あるWeb改ざんのケースでは、運用を担当しているIT会社がJPCERT/CCのことをよく知らずに不完全な対応にとどまり、ユーザーに「システムの不具合があったので修正しておいた」と連絡して済ませていたこともありました。内部の報告はともかく、きちんと対応していれば問題なかったのですが、担当者の認識不足からJPCERT/CCから正しい情報を引き出すことができず、対応内容が不十分で、傷口を広げる結果になってしまいました。

　私はあちこちの講演で、

IPAやJPCERT/CCを知らない組織に限って事故を起こします。皆さんはぜひ、付き合いのあるITの会社に「もちろんIPAとJPCERT/CCくらいは知っているよね」と言いましょう。これがすぐに効果が出る対策です。

と話しています。予算や人員の問題で、IPAやJPCERT/CCの出している対策が「できない」ことは仕方ない場合もあるでしょう。しかし、「そんな情報は知らない」ということがないよう願うばかりです。

「当たり前」のことこそ確認を

　今回は読者の皆さんに今すぐ確認してほしい7つのことを挙げました。知っている人にとっては当たり前でも、意外に対策ができていないことも多くあり、そのような環境でこそセキュリティインシデントは発生しています。もっと詳細な技術情報や対策を知りたい人は以下のドキュメントに目を通すことをお勧めします。

関連リンク

Cyber GRID View vol.1

http://www.lac.co.jp/security/report/2014/12/16_cgview_01.html

『高度標的型攻撃』対策に向けたシステム設計ガイド

https://www.ipa.go.jp/security/vuln/newattack.html

　2月26日には久々にアイティメディアのセミナーでお話しする予定です。まだ詳細は決まっていませんが、このコラムのような話の裏側にも触れることができたらなと思っています。会場は東京の予定ですが、読者の方の希望やスポンサーさまの希望が多ければ全国の他の会場でも開催されると思いますので、ぜひ熱いメッセージをお待ちしています。そして久々のコラム執筆をねぎらうために、私は今夜も飲みに行くのでした。

＠ITセキュリティセミナーのお知らせ

セキュリティ脅威と戦うスペシャリストたちが集結！

日時：2015年2月26日（東京）、3月6日（福岡）、3月13日（大阪）

https://itmedia.smartseminar.jp/public/application/add/1010

著者プロフィール

川口　洋（かわぐち　ひろし）

株式会社ラック

チーフエバンジェリスト

CISSP

ラック入社後、IDSやファイアウォールなどの運用・管理業務を経て、セキュリティアナリストとして、JSOC監視サービスに従事し、日々セキュリティインシデントに対応。チーフエバンジェリストとして、セキュリティオペレーションに関する研究、ITインフラのリスクに関する情報提供、啓発活動を行っている。Black Hat Japan、PacSec、Internet Week、情報セキュリティEXPO、サイバーテロ対策協議会などで講演し、安全なITネットワークの実現を目指して日夜奮闘中。

2010年〜2011年、セキュリティ＆プログラミングキャンプの講師として未来ある若者の指導に当たる。2012年、最高の「守る」技術を持つトップエンジニアを発掘・顕彰する技術競技会「Hardening」のスタッフとしても参加し、ITシステム運用にかかわる全ての人の能力向上のための活動も行っている。

「川口洋のセキュリティ・プライベート・アイズ」バックナンバー

• 「DNS通信」記録していますか？――万一に備えたDNSクエリログの保存方法
• Web広告からのマルウエア感染「Malvertising」にどう対処すべきか
• 中の人が振り返る「Hardening 10 ValueChain」――学びにつながった「トラブルの数々」とは
• 無慈悲な専門家チーム「kuromame6」の暗躍に負けず勝利をつかんだチームは？
• 外部リソースの活用もポイントに、「Hardening 10 MarketPlace」開催
• Hardening Projectから派生した「MINI Hardening Project」に行ってみた！
• 「これさえしておけば助かったのに……」を避けるため、今すぐ確認すべき7項目
• アップデート機能を悪用した攻撃に対抗セヨ！
• 工夫、工夫そして工夫――Hardening 10 APAC“運営”レポート
• ウイルスとは言い切れない“悪意のあるソフトウェア”
• 2013年のセキュリティインシデントを振り返る
• ここが変だよ、そのWeb改ざん対応
• きっかけは不正侵入――私がセキュリティ業界に足を踏み入れたワケ
• CMSが狙われる3つの理由
• FacebookやApple、MSまで……Javaの脆弱性を狙う攻撃の手口
• Hardening One、8時間に渡る戦いの結果は？
• そのときStarBEDが動いた――「Hardening One」の夜明け前
• ロシアでわしも考えた
• 実録、「Hardening Zero」の舞台裏
• ちょっと変わったSQLインジェクション
• 官民連携の情報共有を真面目に考える
• アプリケーションサーバの脆弱性にご注意を
• IPv6、6つの悩み事
• スパムが吹けば薬局がもうかる
• JSOCに飛び込んできた不審なメール――これが標的型攻撃の実態だ
• 東日本大震災、そのときJSOCは
• ペニーオークションのセキュリティを斬る
• 2010年、5つの思い出――Gumblarからキャンプまで
• 9・18事件にみる7つの誤解
• 曇りのち晴れとなるか？ クラウド環境のセキュリティ
• Webを見るだけで――ここまできたiPhoneの脅威
• 不安が残る、アドビの「脆弱性直しました」
• ともだち373人できるかな――インターネットメッセンジャーセキュリティ定点観測
• 実録・4大データベースへの直接攻撃
• Gumblar、いま注目すべきは名前ではなく“事象”
• Gumblarがあぶり出す 「空虚なセキュリティ対策」
• 新春早々の「Gumblar一問一答」
• 実はBlasterやNetsky並み？静かにはびこる“Gumblar”
• ECサイトソフトウェアはなぜ更新されないのか
• 狙われるphpMyAdmin、攻撃のきっかけは？
• 学生の未来に期待する夏
• 米韓へのDoS攻撃に見る、検知と防御の考え方
• 分かっちゃいるけど難しい、アカウント情報盗用ボット対策
• 狙われる甘〜いTomcat
• 表裏一体、あっちのリアルとこっちのサイバー
• 世間の認識と脅威レベルのギャップ――XSSは本当に危ないか？
• 急増したSQLインジェクション、McColo遮断の影響は
• ○×表の真実：「検知できる」ってどういうこと？
• ところで、パッケージアプリのセキュリティは？
• レッツ、登壇――アウトプットのひとつのかたち