第1回 仮想専用サーバには仮想UTMがウマ合い!
菅原 継顕
フォーティネットジャパン株式会社
シニアリージョナルマーケティングマネージャー
2008/7/31
「仮想専用サーバ」用の「仮想専用セキュリティ」
レンタルサーバはインターネット上に配置するサーバなので、十分なセキュリティ機能が必要になります。ファイアウォールやアンチウイルスなどの単機能セキュリティ製品を用いて構築する方法もありますが、この連載ではセキュリティの統合化がテーマなので、UTMを利用する場合についてご紹介したいと思います。UTMを利用してセキュリティを施す場合、次の3つのパターンがあります。
- 専用セキュリティ
顧客ごとに、専用UTM機器を提供
- 仮想専用セキュリティ
顧客ごとに、仮想UTMを提供
- 共有セキュリティ
全顧客に対し、単一のポリシーでUTMを利用
1.の「専用セキュリティ」は専用サーバに適しています。コストは高くなりますが、1台のUTMリソースを専有できますし、UTMのOSのバージョンも自由になります。セキュリティ機器のパフォーマンスが非常に重要で、1顧客に対し1台の物理的なUTMが必要になる場合には、専用セキュリティが必要になります。
2.の「仮想専用セキュリティ」は、最も仮想サーバに適しているといえます。これは設備が低コストであるうえに、オプション料金を課金したり、サービス料金自体を上げたりすることが可能なため、レンタルサーバ事業者にとって、投資回収期間が短くなるというメリットがあります。さらに、今後のセキュリティ機能の追加時に、それがUTMで実現できる機能であれば、ハードウェアの追加がいらないというメリットがあります。
3.の「共有セキュリティ」は、共有サーバ向けに適しています。共有サーバ、共有セキュリティは自由度が低い代わりに、低価格化が可能になります。共有のセキュリティ機能は、標準機能としているレンタルサーバ事業者が多く、オプション課金は難しくなりつつあります。
「共有セキュリティ」の限界
例えば、共有ファイアウォールを単一設定で使用する場合、非常に一般的な設定で使用することになります。一般的に使用されることの多いポートは開けることになりますので、仮に80番ポートを使用しないインターネットサーバでも、80番ポートを開けて使用することになります。
情報処理推進機構(IPA)が2008年3月に勧告した内容によると、主にHTTPで使用される80番ポートと、HTTPSで使用される443番ポートを開ける場合、マルウェア(悪意のあるソフトウェア)が使用する独自プロトコルを通過させないように、「HTTP通信のみ許可する」、および「不必要な外向きTCPポートをすべてふさぐ」ことにより、近年のシーケンシャルマルウェアを防ぐことができるとあります。
| 【関連リンク】 Joint Workshop on Security 2008, Tokyoで専門家が指摘 未知のマルウェアはWebからやってくる(@IT NewsInsight) http://www.atmarkit.co.jp/news/200803/25/jfirst.html 近年の標的型攻撃に関する調査研究−調査報告書− (独立行政法人 情報処理推進機構 セキュリティセンター) http://www.ipa.go.jp/security/fy19/reports/sequential/index.html |
シーケンシャルマルウェアとは、一気にマルウェアを送り込むのではなく、ダウンローダーをユーザーの環境に送り込み、マルウェアをダウンロードさせるというものです。独自プロトコルで80番ポートや443番ポートでマルウェアをダウンロードさせることにより、ファイアウォール、IPS、ゲートウェイアンチウイルスを回避しています。
この勧告を基に、80番ポートおよび442番ポートでは、HTTP/HTTPSのみを許可したくても、レンタルサーバ事業者が自発的に適用しないかぎり、ユーザー側での設定はできません。「不必要な外向きTCPポートをすべてふさぐ」に至っては、不必要なポートはユーザー環境によって違うため、使用される確率の高いポートは開けることになります。攻撃対象になりやすい、使用される可能性の高いポートをすべて開けざるを得ない共有セキュリティは、やはり限界があるといわざるを得ません。
「仮想専用セキュリティ」のススメ
せっかくの仮想専用サーバに共有セキュリティでは、ファイアウォールのポート設定すらもできず、自由度とセキュリティを犠牲にしてしまいます。できれば仮想専用セキュリティを用意したいところです。2.の仮想専用セキュリティはレンタルサーバ事業者だけではなく、利用者にも次のメリットをもたらします。
●アンチウイルスにおける利点
仮想UTMでアンチウイルスを導入した場合、ユーザーごとに以下のような要望に応えられます。
- 特定のファイル名や拡張子でのブロックを設定したい
- スキャン対象のプロトコルを選択したい
- グレーウェアもスキャン対象としたい
- ウイルス発見時のアクションを選択したい(削除か隔離か)
- 隔離の場合、上限のサイズと保存期間を設定したい
●ファイアウォールにおける利点
仮想UTMでファイアウォールを導入した場合、ユーザーごとに以下のような要望に応えられます。
- 80番ポートのように攻撃の対象になりやすいポートではなく、特定のポート(一般的には使わないポート)を開けて使用したい
- 使用するポート以外はすべて閉じたい
- 使用するプロトコルのみを通したい
- 特定の接続元からのみの接続を許可したい
- 平日9:00-17:00と、それ以外で設定を変えたい
●IPSにおける利点
仮想UTMでIPSを導入した場合、ユーザーごとに以下のような要望に応えられます。
- 重要度や利用しているアプリケーションに関係するシグネチャのみ選択したい
- 侵入発見時のアクションを選択したい(パケットの破棄、セッションのリセット、後続のパケットを通すか破棄かなど)
- アノマリー(異常)検知により通常のパターンと異なる挙動を検出するかどうかを決めたい
このように仮想UTMを利用することにより、セキュリティレベルと設定の自由度を高められます。
さらに副産物的なメリットですが、専用の物理的なUTMを顧客ごとに提供するよりも、仮想UTMは省スペースであり省電力です。サーバラックが飽和しつつあるレンタルサーバ事業者にとって、省スペースは重要ですし、省電力はCO2削減の観点からも重要視されているポイントです。加えて、複数のUTMを使用する場合、UTMの数の倍数分だけケーブルが必要ですが、気を抜けばスパゲティのように絡まってしまうケーブルも減らせます。
 |
2/3 |
 |
| Index | |
| 仮想専用サーバには仮想UTMがウマ合い! | |
| Page1 インターネットは面倒だ! インターネット活用のために必要なものを再認識してみよう レンタルサーバ事業者が用意すべき“松竹梅” レンタルサーバのセキュリティの歴史 |
|
 |
Page2 「仮想専用サーバ」用の「仮想専用セキュリティ」 「共有セキュリティ」の限界 「仮想専用セキュリティ」のススメ |
| Page3 仮想UTMの導入イメージと注意点 管理コストも軽減される仮想UTM |
|
 |
意外とウマ合い! 統合セキュリティ機器活用法 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
