多層防御でサーバーのセキュリティを強化

多くの企業におけるITインフラの中核を成すサーバーのセキュリティ対策は、厳重かつ適切にほどこされていなければなりません。特に、サーバーそのものが取り扱う情報や資産など機密性から、しばしばサイバー攻撃の標的とされるため、より厳格なセキュリティ体制が敷かれている状態が望ましいです。

そんなサーバーのセキュリティ強化に向けた対策を講じるには、幾層もの堅牢な防御体制を敷いておかなければなりません。昨今、セキュリティ対策に向けた様々なソフトウェアが開発されていますが、やはりサーバー自体のセキュリティ対策の地盤が弱ければ、逆効果となる場合もあり、新たな脆弱性を無意識のうちに引き起こしてしまっている可能性もあります。

サーバーセキュリティ強化に向けた堅牢な地盤の確立を目指す上で、対策をしておかなければならない多層防御の中核を成すのが、次の3層となります。

第1層:早期検知

セキュリティ設定の変更やアクセス権の設定変更、特権昇格からサーバーのコンフィギュレーション変更などのような挙動が確認された場合、悪意あるユーザーから攻撃を受けている可能性が高いです。こういった操作を、公開されているサービスのログから早期検知できる事が望ましく、サーバーセキュリティ対策の第1層を担います。

Unix系であればsyslog、Windows系であればセキュリティログやアプリケーションログなどを用いて異常な挙動の検知が可能となり、セキュリティに関わる公開されているログはできるだけ検知できる体制を築いておくことが望ましいです。

また、セキュリティインシデント発生後の調査のためにもログをできるだけ保管しておくことが望ましく、暗号化して保管しておくことでログの改ざんを防ぎ、より確実に原因の究明にログを役立てることができます。

第2層:内部対策の二段構え

早期検知の体制を整えたうえで、次に講じるべきは内部対策です。ここでは内部対策の二段構えとして、ユーザーアカウント管理とパッチ管理に焦点を当てます。

ユーザーアカウント管理

サーバーにおいてもPCにおいても同様の内部対策となりますが、ユーザーアカウントの役職や業務内容に応じたアクセス権の制御やアカウント情報の整備は必須です。サーバー上、若しくはサーバーへアクセスできるアカウントで不要なものがあれば無効化及び削除を定期的に行っている状態が望ましいです。また、サーバーへアクセスできるアカウントやroot、administratorにみられる管理者権限アカウントのパスワード管理も厳重なセキュリティポリシーの基、管理しておかなければなりません。

パッチ管理

混在している複数のサーバーOSの脆弱性管理が適切にできておらず、適用すべき最新のパッチやOSのアップデートが確実に行えていない場合、サーバーOS及び特定のアプリケーションで見つかった脆弱性が残ったままになってしまいます。これでは、悪意ある攻撃者へ侵入経路をみすみす教えてしまっているに等しいです。これを防止するために、つねに最新のセキュリティパッチの適用とサーバーOSのアップデートを出来るだけ早く行わなければなりません。

第3層:能動的セキュリティ対策

上記2層がサーバーに対するセキュリティ対策の地盤を強固なものにしてくれます。そのうえで、第3層の能動的セキュリティとして、サーバーへの攻撃を未然に防ぐためにさらに高度な防御対策を常日頃から練っておくことで、より厳格なサーバーセキュリティが保たれます。以下のような段階ごとのソリューションを検討し、組織ごとに持つセキュリティポリシーに沿ったサーバーセキュリティ強化をはかることが望ましいです。

入口対策の強化
  • IPS/IDS(Intrusion Prevention System/Intrusion Detection System)

IPSとは、不正侵入防止システムと訳され、IDSでは不正侵入検知システムと訳されます。どちらも同様に不正アクセスを検知する機能がありますが、IPSは検知後その不正な通信を遮断する部分も担います。

一般的には、ファイアウォールと併用されることが多く、ファイアウォールが許可した通信に対する検知および遮断までを行うような機能形態となっており、互いに補完しあう関係性にあります。

  • SWG(Secure Web Gateway)

SWGとは、Webアクセスをよりセキュアにするためのプロキシです。元来のプロキシの機能に、アンチウイルスやサンドボックス、Webフィルタリングなど、セキュリティ強化をはかるための機能が搭載されています。

  • CASB(Cloud access security broker)

CASBとは、インターネット経由でのクラウドへの安全なアクセスを実現させるための情報セキュリティのコンセプトのことで、一般的にはクラウドサービスの利用状況の可視化や一元的なクラウドサービスの利用制御等によるクラウドセキュリティの強化を指します。クラウドへの移行が増える昨今、前述したSWGとの連携及び合体が増加していくと考えられています。

  • UTM(Unifeid Threat Management)

UTMとは一般的には「統合脅威管理」と呼ばれており、主にゲートウェイにおけるセキュリティレベルを向上させるためのネットワークセキュリティ対策を指します。統合と表されている通り、幾層にもわたるネットワークセキュリティ対策がUTMの強みであり、アンチウィルスやファイアウォール、前述したIPS/IDSからWebフィルタリング等が統合的に搭載されたセキュリティシステムとなります。

  • IAP(Identity-Aware Proxy)

IAPとは、アイデンティティ認識型プロキシと呼ばれ、社外からオンプレミスのアプリケーションへアクセスを行えるようにするためのセキュリティ強化技術を指します。これは、ゼロトラストネットワークの構築や脱VPNを目指す際に一般的に良く導入されているセキュリティシステムとなります。

  • SIEM(Security Information and Event Management)

SIEMとは、あらゆる規模の企業に対するサイバー攻撃による脅威の軽減と、データ侵害の阻止に貢献するセキュリティソフトを指します。SOC(Security Operations Center)チームによって活用されることが多く、統合的なログの管理と相関的なログの分析、またアラート検知などによる管理者への迅速な脅威通知等の機能が搭載されている高度なセキュリティソリューションとなります。

  • SASE(Secure Access Service Edge)

SASEとは、クラウドサービスにおいて、ネットワーク機能(Network as a Service)とネットワークセキュリティ機能(Network Security as a Service)を統合的に提供するセキュリティサービスのモデルを指します。これまで社内ネットワークに接続してからでないと所定のリソース、とくにアプリケーションへのアクセス出来ないのが一般的でした。しかし、SASEモデルではそれらアプリケーションをクラウドへ集約する形態となるので、エンドポイントがどこにあろうともセキュアなアクセスが可能となるセキュリティシステムとなります。

内部対策の強化
  • EDR(Endpoint Detection and Response)

EDRとは、エンドポイントにおける脅威の検知と対応をになうセキュリティ対策のモデルを指します。昨今より高度な手口を用いたサイバー攻撃の検知や、それらの脅威に対応することが、EDRが担う役割であり、エンドポイントの監視を目的として、多くの企業で導入が進んでいます。

  • MDM(Mobile Device Management)

MDMとは、モバイルデバイス管理と呼ばれており、ビジネス利用のスマートフォンやタブレットなどのモバイルデバイスを適切に管理し、企業のセキュリティを維持・向上させることを指します。BYOD(Bring Your Own Device)の導入からモバイルデバイスの利用形態が多様化する昨今、ビジネス利用されるモバイルデバイスを一元管理し、あらゆるリスクの防止・対策として、端末を制御するプロファイル管理や、盗難・紛失時対策のリモートロック/ワイプ機能を搭載したソリューションとなります。

  • IAM(Identification and Access Management)

IAMは、統合型のIDおよびアクセス管理ソリューションと呼ばれており、ユーザーIDの管理ならびにリソースへのアクセスを制御することで、セキュリティを確保し、コンプライアンスを順守することを目的としたセキュリティ対策のモデルを指します。

  • PAM(Privileged Access Management)

PAMとは、特権アクセス管理と訳されており、サーバーやネットワーク機器、OSなどのITリソースに対して、多くの操作が可能になる特権アカウントを使ったアクセスを管理することを指し、ITセキュリティ施策を講じる第一歩として重要な位置づけにあります。

サーバーセキュリティ対策で生じる課題

サーバーセキュリティを強化する上で抑えておくべき3層の防御体制はやはり、言うは易く行うは難しです。第1層と第2層の強化は、サーバーセキュリティの地盤固めという点では外せない部分であるということは前述しました。しかし、この最低限強化しておかなければならない対策事項においても、以下のような課題があり、十分に対策できていないケースがよく聞かれます。

  • ログの収集までは何とかできるが、企業規模が大きいと手作業や目視での異常行動の検知は不可能に近い。
  • 例え異常な挙動を確認しても、人力ではセキュリティインシデントへの対応に遅れが生じる。
  • パッチが最新版に更新されても、リリースに気づかず適用が遅れてしまう。
  • サーバーへアクセスする特権アカウントが複数名で共有されており管理が煩雑。
  • ログ解析や調査、またアカウント管理などの処理操作が属人化してしまう可能性がある。
  • 人力ではなくソフトウェアで管理する場合、導入コストがかかってしまう。
  • 自前で必要なシステムをプログラムするとなると、運用設計などの含めて構築する必要があるため手間と工数がかかる。

より簡単にサーバーのセキュリティ対策を実施するには

多層防御でサーバーのセキュリティ対策を講じるうえで、第1層と第2層の強化を行うことは、能動的セキュリティ対策を実施する上でも重要な地盤固めとなります。しかし、企業規模や扱うリソース数などによって、そこにかかる負荷や割かれる工数は比例し、人の手による管理体制の維持は現実的に厳しくなります。

より効率的に、厳格で適切なサーバーセキュリティ対策を講じていくためには、人手だけではなく各層の要件に対応するツールを使用することが推奨されます。

ManageEngineでは、多層防御によるサーバーのセキュリティを担保いたします。

各層の要件に対応するソリューション

第1層:早期検知

WindowsイベントログやSyslog、アプリケーション独自のログ等を収集/保管/分析し、内外ネットワーク共に不正なアクセスや挙動を早期検知し即時のアラート発報までを担います。また機械学習を用いて動作の異常を検出する「UEBA機能」も搭載されており、UEBA上でプロファイリングされた通常の動作パターンに対して逸脱するようなイベントをトリガーにアラート検知も可能です。

第2層:入口対策の二段構え

ユーザーアカウント管理

統合型のIDおよびアクセス管理ソリューション (IAM=Identity and Access Management) であり、ユーザーIDの管理ならびにリソースへのアクセスを制御することで、セキュリティを確保し、コンプライアンスを順守することができます。ユーザーアカウントの管理、パスワード管理のセルフサービス化、Active Directoryの変更監査、企業アプリケーションのシングルサインオンなど、IAMに関するすべての作業をシンプルかつ簡単に実現可能なインターフェイスを提供します。

ローカルやネットワークを通してサーバーへアクセスするユーザーアカウントや特権アカウントの管理に必要な要素を兼ね備えた特権ID管理ソリューションとなります。特権ID貸し出しの際に必要な申請承認フローや、ゲートウェイ方式によるアクセス制御の徹底、またサーバー内での操作録画から監査ログの収集、そして厳格なパスワードの運用をご提供いたします。

パッチ管理

総合的なパッチ管理ソリューションであるPatch Manager Plusは、Windows、Mac、Linux端末への自動パッチ配布だけではなく、350種類を超えるサードパーティアプリケーションのパッチ配布を行えます。

気軽にはじめられるのも強みのひとつです

30日間フル機能をサポート付でお試しください
無料の評価版ダウンロード

ご購入までのステップ

お求めの製品がなければこちらもチェック

Back to Top