第6回　Web改ざんへの対策とツール（後編）

今回の主な内容 Web改ざんの対抗手法 　Webサーバ自身の設定 　ファイアウォール 　不正アクセス検知システム 　改ざん検知システム 監視運用体制 　監視体制 　検知後の対応

田中 直人
株式会社ネットマークス
コンサルティング部
2001/5/16

Web改ざんの対策手法

　ここでは改ざん手法の中から、ネットワーク経由の改ざんを検知、阻止するための手法やシステム、ツールについて紹介する。

■Webサーバ自身の設定

　さまざまなツールやシステムを導入することも重要であるが、保護すべきWebサーバについても、セキュリティ上の問題点がないように十分に注意して設定を行う必要がある。さらに、前編に挙げたようなDNSサーバを利用した改ざん方法も存在するため、そのほかのインターネットサーバの設定やセキュリティ対策も十分に考慮すべきである。

　Webサーバの基本的なセキュリティ対策として以下の点が挙げられる。

• アカウントの適切な管理
• 不要なサービスの停止
• 最新のソフトウェアの使用（OS、アプリケーションとも)
• 最新のパッチの適用（OS、アプリケーションとも)
• Webサーバプログラムの適切な設定

　また、情報処理振興事業協会セキュリティセンターからも、「Web 改ざんの防止を目的として行う価値のある対策」といった文書が公開されている。

http://www.ipa.go.jp/security/ciadr/webjack.htm

　さらに、OSの基本的な設定やアカウント管理などについての調査を行うツールが存在する。これらのツールを使用することにより、管理者は膨大な数のシステムファイルのチェックを迅速に行える利点がある。

　以下に代表的な製品を列挙する。

System Scanner
http://www.isskk.co.jp/

ESM
http://www.axent.com/ （編注）

■ファイアウォール

　ファイアウォールとは、ネットワーク通信の制御やその通信の記録の取得を行うためのシステムである。一般的に、ある組織が管理するネットワークと、それ以外のネットワークにおいて、何らかのセキュリティ上の差が存在する場合に設置される。Webサーバをファイアウォールで防護した場合、以下のメリットが得られる。

• Webアクセス通信の制限
  　発信元アドレスに基づく通信制御を行うことができる。これにより、Webによる閲覧を禁止したいネットワークからの通信を禁止することが可能。
  
  
• 管理用通信の制限
  　管理者以外によるファイル転送、仮想コンソールサービスのための通信を禁止することができる。これにより、管理の利便性を損なわずにセキュリティを高めることが可能となる。
  
  
• 不要なサービスへの通信禁止
  　Webサーバ上の不要なサービスを停止することなく、それらのサービスへの通信を禁止することができる。特にサーバが複数台存在する場合、この利点は管理者の負担を軽減する。
  
  
• 通信記録の保存
  　ファイアウォールで通信記録を保存することができる。

　以前は、Webサーバ自身やファイアウォールによる通信制御によって、不正アクセスや改ざんからWebサーバを防護する方法が一般的であったが、前項のCGIプログラムを利用した方法や、バッファオーバーフローによる改ざん手法など、ファイアウォールでは検知、防御が困難な不正アクセス手法も存在するため、ファイアウォールのみでなく複数の対策を考慮する必要がある。

　以下に代表的な製品を列挙する。

Firewall-1
http://www.checkpoint.co.jp/

Gauntlet
http://www.nai.com/japan/

■不正アクセス検知システム

　不正アクセス検知システムは、リアルタイムにネットワーク上の通信やシステムの挙動を監視し、不審な振る舞いを検知することを目的としたシステムである。一般的に検知後は管理者への通知、不正アクセスの記録、不正アクセスの阻止といったさまざまな行動をとれるようになっている。

　現在、主な検知方式として、以下の2種類が存在する。

• ネットワーク監視型
  　ネットワークを流れる通信を監視し、不正アクセスと思われる通信を検知することを目的としている。この方式による利点としては、複数のサーバを同時に監視可能なことや、監視対象となるマシンにはソフトウェアをインストールする必要がないことなどが挙げられる。
  
  　ただし、欠点としては不正アクセスに似た通信に対して、誤検知や過剰検知を取り除くことが困難なことや、実際に不正アクセスが成功したかどうかの判定が困難なこと、スイッチ環境の場合にはトラフィックの監視が困難なことが存在する。
  
  
• ホスト監視型
  　ホストの状態やログを監視し、不正アクセスの挙動を検知することを目的としている。この方式による利点としては、ネットワーク監視型に比べて誤検知、過剰検知が少ないことや、スイッチ環境にも適合可能なことが挙げられる。
  
  　欠点としては、監視対象となるマシンごとにソフトウェアをインストールする必要がある。

　これらの検知方式にはお互いに一長一短があり、どちらが優れているというものでないため、環境や必要に応じた形で使い分けることが重要である。また、不正アクセス検知システムも万能ではなく、検知は可能でも防止が困難な攻撃が存在することから、ファイアウォールと組み合わせて利用することが望ましい。

　以下に代表的な製品を列挙する。

RealSecure
http://www.isskk.co.jp/

NewProwler
http://www.axent.com/ （編注）

ITA
http://www.axent.com/ （編注）

■改ざん検知システム

　改ざん検知システムとは、システムファイルやWebコンテンツの内容、またはその特徴を記録し、対象となるファイルが改ざんされていないかどうかを調査するツールである。

　例えば、内部の悪意あるユーザーが管理者のアカウントを不正利用し、正規の通信方法でWebコンテンツを改ざんするといった事態について考えた場合、設定や運用にもよるがファイアウォールや不正侵入検知システムを利用していても、その改ざんを検知、阻止できない可能性がある。また、コンテンツが膨大な場合には、その中から改ざんされたファイルを探し出すことは難しい。

　不正アクセスによる改ざんを防ぐことができなかった場合に、いかにそれを検知し修復するかという点において、これらのシステムを導入するメリットが存在する。

　以下に代表的な製品を挙げる。

TripWire
http://www.tripwire.com/

監視運用体制

　ツールやシステムを導入することのみでは、Web改ざんを防止する手段として十分ではない。これらを正しく設計、運用して初めてWeb改ざんを防止することが可能となる。ツールやシステムは、あくまでも目的を達成するための手段であって、目的そのものではないことに注意したい。

■監視体制

　まず、Webサーバの稼働時間や監視対象に合わせて、監視方法や体制を決定する必要がある。

　一般的にWebサーバは24時間で稼働させるため、それに応じた監視体制が必要となる。重要なWebサーバであれば、監視員を常駐することもあるが、そのような余裕がない場合には、夜間、休日はツールやシステムに任せて監視員を常駐させない方法がとられることもある。また、監視方法としては、コンテンツの目視や、ツールによる検知などが考えられる。

　また、監視対象をどのように決定するのかも重要である。改ざん自体を監視する場合もあるが、改ざんに至る可能性のある不正アクセスについても監視対象に含める場合もある。

　これらの要素を考慮したうえで、必要な要件を満たすためのシステム、ツールを選択し、監視環境を構築する必要がある。

■検知後の対応

　監視体制を決定した後、次に実際に改ざんや不正アクセスが検知された場合にどのように対応するかを決定する必要がある。これらが正しく定まっていないと、改ざんや不正アクセスの兆候を検知したものの何も対応が行えず、結果として改ざんを許してしまう可能性がある。主に考慮する必要があるものとして、連絡方法や承認方法、作業方法などが挙げられる。

　検知されたWeb改ざんや不正アクセスの状況により、これらの手段は変わってくるが、これらをある程度は事前に決定しておく必要がある。具体的な方法を例に挙げると、連絡方法としても電話や電子メールなどのさまざまな方法があるし、連絡体制も必要となる。また、状況によっては大規模な対応を迫られることがあり、承認をとる必要がある場合も起こり得るかもしれない。実際にWebが改ざんされた場合の修復手順はどのようにして行うか、不正アクセスをWeb改ざんに至らせる前にどのように阻止するかというようなことを事前に考慮し、対策を手段と手順も含めて考慮しておく必要がある。

キャプション：監視運用体制の例

編注：Axent Technologiesは2000年にシマンテックに買収されており、記事中の製品は現在シマンテックから販売されている。 http://www.symantec.co.jp/

「連載　Web改ざんの現状と対策」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）