第4回 改ざんのリスクを最小限に抑えるには(後編)
|
株式会社ラック
不正アクセス対策事業本部
製品担当チーム
2001/4/13
| 総合的なWebページ 改ざん防止システム |
「Webページ改ざんのリスクを最小限に抑える」にはどのような対策を行えばよいのか、その一般的な対策について前編で論じてきた。前編での議論を踏まえ、総合的なWebページ改ざん防止システムについて説明する。
■いわゆる「Webページ改ざん防止システム」について
一般に「Webページ改ざん防止システム」というと、Webコンテンツの改ざんを検知し、コンテンツの復旧を行うアプリケーション自身を指すことが多いように思われる。しかし「Webページ改ざん防止システム」が作動するのは、侵入者がすでにWebサーバに侵入している場合である。しかしWebサーバへの侵入を許すような事態は本来あってはならない。侵入者が管理者権限まで取得してしまえば「Webページ改ざん防止システム」自身を停止させることも可能であり、そうなればもはや侵入者の行動を阻むものは何もない。
つまり「Webページ改ざん防止システム」は、サーバへの不正侵入という事態においてコンテンツ改ざんという最悪の事態に至るまでの時間を稼ぐためのシステムである。この点を念頭に置き、通常はこのシステムが作動することのないように対策を施しておく必要がある。
このような理由から、いわゆる「Webページ改ざん防止システム」に加え、それ以前の防衛手段も含めた総合的なWebページ改ざん防止システムを提案したい。
なお「Webページ改ざん防止システム」と「総合的なWebページ改ざん防止システム」を区別するために前者の「Webページ改ざん防止システム」を「Webコンテンツ改ざん検知・復旧システム」という表現で今後表すことにする。
■総合的なWebページ改ざん防止システム
総合的なWebページ改ざん防止システムとして以下の4段階の防衛ラインを設置する(図1参照)。
 |
| 図1 総合的なWebページ改ざん防止システムの例 |
第1段階:ファイアウォールによるアクセス制御
社内・社外に提供すべきサービスに必要なパケットのみを通過させるように設定する。
第2段階:ネットワークベースIDSによる侵入検知
外部セグメントとWebサーバの配置されているセグメント(DMZを前提としている)の2カ所にネットワークベースIDS(Intrusion Detection System)を設置し、不正アクセスの試みや攻撃と考えられるパケットを監視する。外部セグメント・DMZに配置したネットワークベースIDSではそれぞれ異なる情報を収集する。
- 外部セグメントに配置したネットワークベースIDS
社内ネットワークに対してどのような攻撃が行われているのか、事前の情報収集に主眼を置く。
- DMZに配置したネットワークベースIDS
ファイアウォールを突破してきた攻撃に対して重点的に監視を行い、管理者への通知・攻撃への防御を行う。
第3段階:サーバの要塞化
ネットワークサービスアプリケーション・OSについてバグ修正プログラムが公開された場合には速やかに修正を行い、プログラムのバグを利用した攻撃を受ける可能性を最小限に防ぐ。さらに以下の2通りの方法で定期的に要塞化の評価を行い、問題が発見された場合には改善を行う。
- ネットワーク上からの弱点検査
検査ツールによる検査およびセキュリティ検査技師による侵入検査
- ホスト内部リソースの弱点検査
- 検査ツールによる検査およびセキュリティ検査技師による設定内容の検査
万一サーバに侵入された場合に侵入者がより高い権限を取得できないよう、内部ファイルに対して不必要な権限が与えられていないか、OSやアプリケーションの設定が適切か、最新のパッチがあたっているか、バックドアやトロイの木馬が仕掛けられていないかなどの検査を行う。
- Webサービスで使用しているCGIスクリプトの弱点検査
自社で開発したCGIプログラムやサーブレットなどにセキュリティ上の問題がないか検査を実施する。
- 検査ツールによる検査およびセキュリティ検査技師による設定内容の検査
通常のSIベンダは開発したプログラムが要件を満たしているかという検査は行うが、余計なことをしないか(通常は取得できない顧客情報を取得できる機能までプログラムが包含しているなど)という検査は実施しない。ある程度熟練したプログラマーほど、1本でさまざまな用途に使用できるプログラムを作ることがある。そのようなプログラムもセキュリティ対策上盲点となり得る。この点は新規システム構築のためのSIベンダ選定においても十分考慮いただきたい。
第4段階:Webコンテンツ改ざん検知・復旧システム
ホストベースIDSを利用しWebコンテンツに対する書き込みをシステムコールレベルで監視する。コンテンツの不正な改ざんを検出した場合には、保存しておいた元のコンテンツに復旧し、同時に管理者に通知する。詳しい内容については次章で説明する。
セキュリティ技術の急速な発展に対応するため、上記4段階の防衛ラインはそれぞれ常に最新の状態を維持し続ける必要がある。またファイアウォール、ネットワークベースIDS、ホストベースIDS、各サーバのログについては定期的に解析を行い、攻撃の兆候を発見した場合には早急に対策を行うことでサーバへの侵入を未然に防ぐ。
また、ファイアウォールや各サーバのログについては「失敗ログ」だけでなく、「成功ログ」も取得するように設定する。侵入の兆候や失敗は「失敗ログ」解析で知ることができる。しかし侵入されてしまった状況は「成功ログ」を解析しなければ知ることができない。解析にあたっては、ログの改ざんの可能性も考慮しておくことはいうまでもない。
| ホストベースIDSを利用した Webコンテンツ改ざん検知・復旧システム |
前章で説明した4段階の防衛ラインのうち、ホストベースIDSを利用したWebコンテンツ改ざん検知・復旧システムについて、導入時の注意点・システムのメカニズムについてさらに詳しく説明する。
■Webコンテンツ改ざん検知・復旧システムを導入する際の検討事項
Webコンテンツ改ざん検知・復旧システムを設計するうえで最も重要なことは、コンテンツの正規の更新と不正な改ざんの違いをポリシーとして明確に定義しておくことである。このようなポリシーの定義はWebサイトの運用に密接にかかわる要件であるため、Webサイト運用担当者との事前の打ち合わせが必要不可欠となる。
正規の更新と不正な改ざんの判断基準の策定にあたっては、以下の要件を考慮する。
- コンテンツの容量
- コンテンツの更新頻度
- 一度に更新されるコンテンツの容量
- コンテンツアップロードの方法
このような要件は、Webサイト全体あるいは個々のWebページの提供する情報の種類によりさまざまな場合が考えられる。例えば選挙速報を公開するWebページでは、コンテンツの更新頻度は5分おき、更新されるコンテンツの量は数十Kbytes程度かもしれない。一方、ミュージシャンのWebページでは、コンテンツの更新頻度は新曲が発表される3カ月おき、更新されるコンテンツはマルチメディアデータを含み数十Mbytes程度となるかもしれない。
■Webコンテンツ改ざん検知・復旧システムのメカニズム
Webコンテンツ改ざん検知・復旧システムは、次のような流れで不正なコンテンツの改ざんを検知する。
- OS付属の監査モジュールを使用し、ファイルへの書き込みをシステムコールのレベルで検出する。
- ホストベースIDSを利用して監査情報を評価し、実装されたポリシーと照らし合わせることで、ファイルへの書き込みが正規な更新か不正な改ざんなのか判断を行う。
ファイルの不正な改ざんであると判断した場合には、改ざんされたファイルを元のファイルに復旧し同時に管理者に通知する。
| 「不正侵入=改ざん」ではない |
最後になるが、クラッカーのサーバへの不正侵入は必ずしも「Webページ改ざん」を意図しているわけではないという点についても十分ご留意いただきたい。
2000年のWebサイト攻撃事件は、「不正アクセス」に対する意識・関心をこれまでになく高める結果となった。しかし残念ながら「不正アクセス=Web改ざん」という間違った認識を広める結果も招いてしまっている。
サーバに侵入したことをクラッカーが「Webページ改ざん」によって「親切に」宣伝してくれるケースはむしろまれであると考えるべきである。多くの場合、侵入に成功したサーバはほかのサーバへの侵入を試みるための隠れ蓑(踏み台)として利用されるケースの方が多い。そして、自社ホストマシンを「踏み台」として利用されることにより被る被害の方が、「Webページ改ざん」によって被る被害よりもはるかに甚大になる可能性がある。自社ホストマシンを「踏み台」として利用され他社のホストマシンに損害を与えた結果、「踏み台」を提供した企業の責任が問われるケースが現実に発生している。
従って、自社の「Webページ改ざん」に関心がないからといって、ネットワークセキュリティ対策をおろそかにする理由にはならないのである。
| まとめ |
以上論じてきたように、公開Webサーバにはファイアウォール/サーバの要塞化だけでは防ぎきれない攻撃を受け、Webページ改ざんを許してしまうリスクが常に存在する。
そのような状況下でWebページ改ざんというリスクを最小限に抑えるためには、
- ファイアウォールの設置
- Webサーバの要塞化
というこれまでの受動的対策に加え、
- ネットワークベース侵入検知システム
- Webコンテンツ改ざん検知・復旧システム
を設置した総合的なWebページ改ざん防止システムを導入する必要がある。セキュリティ技術の急速な発展に対応するため、以上4段階の防衛ラインはそれぞれ常に最新の状態を維持し続ける必要がある。
また最終防衛ラインとなるWebコンテンツ改ざん検知・復旧システムについては、コンテンツの正規の更新と不正な改ざんの違いをポリシーとして明確に定義しておく必要がある。ポリシーの定義はWebサイトの運用に密接にかかわるものであるため、Webサイト運用担当者との事前の打ち合わせが必要不可欠となる。
いわゆる「Webページ改ざん防止システム」の導入にあたっては以上の点を考慮して、十分検討を行っていただきたい。
 |
「連載 Web改ざんの現状と対策」 |
出典:Scan Security Handbook Vol.5
2000/10/11発行
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
