サーバー セキュリティ: 過ぎたるは及ばざるがごとし
情報セキュリティに数日携わったことがある人であれば、セキュリティの三大原則 - 可用性、機密性、完全性 - について聞いたことがあるでしょう。これらの概念は、いかなるセキュリティに関する検定について勉強する場合でも、通常最初に学ぶことです。これらの 3 つの概念は常にセキュリティの中心を定義しますが、私は優れたセキュリティにおいて不可欠なものは、別のよく知られていながらしばしば見落とされている概念であると確信しています。その概念とは、「簡素」であることです。
ほかのすべてが一定していると仮定すると、コンピュータの複雑性は 2 倍であるため (セキュリティに重要な要素の数として定義)、最悪の脆弱性が発生する可能性は 4 つ1のうち 1 つの要因により増大します。最悪の脆弱性におけるこの不釣り合いな増加は、コンピュータの様々な部分の間での対話数における急激な増加が原因となって起こります。言いかえれば、相互接続システムは、大きくなればなるほど、またはさらに複雑になればなるほど故障する傾向があります。この論を我々のサーバー インフラストラクチャのセキュリティを増大することに適用すると、簡素であることを増大させるためにできるすべてのことを行う必要があるということになります。
残念ながら、今日、善意のシステム管理者は頻繁に優れた情報セキュリティにまさに逆方向の影響を及ぼそうとしています。彼らはネットワークに非常に複雑なセグメンテーションを導入し、必要以上のポート規則を追加し、アプリケーションおよびオペレーティング システムの既定の設定をその目的を本当に理解せずに変更し、さらに高価なサードパーティのセキュリティ アプリケーションを追加します。組み込みのツール、既定の実装またはより簡易なソリューションがしばしばよりよい保護を提供するであろうにもかかわらず、我々はこれらの事項を行います。最も簡素で洗練されたソリューションである暗号化のアルゴリズムも最もセキュアであると証明されているといわれています。これは情報システムについても当てはまります。最も巧みな設計のソリューションを見つければ、たいていの場合、時の試練に耐えるでしょう。しばしば、より簡素な環境の開発に対する最も困難な部分はどこから始めるか決定することです。
文字通り、我々の既存のデータセンターをさらに簡素にする何千もの方法があります。まず、簡単な仕事のいくつかをテストし、次に Windows Server 2008 がさらにセキュアなソリューションを提供する方法を調査します。
セキュリティはシンプル
ますます混乱させるような多数のセキュリティ ツールとアプリケーションとともに、相互接続したデバイスおよびシステムの急増で、皆さんは「セキュリティはいかにしてシンプルになりうるのか?」と自問自答されるかもしれません。まずよいスタートとして、活用されていないサーバーを取り除くことかもしれません。私はデータセンターを訪れ、そこで高レベルな管理者が「私はあのサーバー (時として、サーバーのラック全体を指して) が何をしているのか分かりません。私がここに来た時からあって、それ以来誰も触れていません。」と言われたことがどのくらいあったかお教えできないくらいです。もし、それが何であるか分からない場合、ログオンし、サーバーの目的を理解するためにインストールされているプログラムを数分間調べてみてください。そしてそのサーバーに対する責任を負うグループを確認してください。また、ログ ファイルを使用して管理者の観点からサーバーにアクセスしている人物を究明することもできます。必要であれば、その目的を確認するためにしばらくの間サーバーを監視してください。多くの場合、そのサーバーを統合または排除し、これにより組織への潜在的なエントリ ポイントを排除することもできる可能性があります。
その後、必要のないセキュリティ アプリケーションを削除することに着目してみましょう。たとえば、組み込みの Windows ファイアウォールまたは IPSec がうまく機能している場合、サードパーティのファイアウォールをサーバーに追加しないでください。多くのバンドルされたセキュリティ パッケージには重複した機能が含まれています。すべてのインストールされているセキュリティ アプリケーションを手早く分析し、削減できるか、またはすべて削除できるかどうかを確認します。次に、検証範囲を拡大して、すべての必要のないアプリケーションについても確認してください。サーバー上の必要のないアプリケーションを排除することは比較的ありきたりなタスクですが、セキュリティ全体に大きな影響を与えるでしょう。これを行うことにより、攻撃のポイントが削減され、皆さんのネットワークへの許可されないアクセスを取得する足がかりとなる可能性のある個所が排除されるでしょう。データセンターから不必要なソフトウェアを取り除くことによるプラスのセキュリティ上の影響は、最後の監査から時がたっているほど大きくなります。このため、サーバーを最後に監査し、クリーンな状態にしてから 1 年が経っている場合、「大掃除」に適した時期となっています。「掃除」を開始する最善の方法は、Systems Management Server (SMS) または System Center Configuration Manager 2007 (SCCM) でアプリケーションおよびインストールされているデバイスの一覧を作成し、古くなっているもの、また、使用頻度を確認することです。しかし、SMS がない場合でも、あきらめないでください。Microsoft Application Compatibility Toolkit 5.0 (ACT) が皆さんを支援します。2これは無償ダウンロードで、ネットワークのすべてのソフトウェエアおよびデバイスの広範囲におよぶ一覧のレポートを提供します。小さなクライアント側でのインストールである Data Collection Package (DCP) があり、これは皆さんのために力仕事をしてくれます。DCP は Windows Server 2000 SP4 対応の更新プログラム ロールアップ 1 または Windows Server 2003 SP1 にインストールでき、一覧が作成された後、削除することもできます。次に結果の一覧のレポートを使用して安全に削除できるアプリケーションとデバイスに関して知識に基づいた決定ができます。特定の定量化できるビジネス上のニーズにより正当化できないものは、より容易でさらにセキュアな環境のために削除される必要があります。もちろん、ビジネス上のニーズを構成しているものを確認することはすべての中で最も複雑な部分かもしれませんが、これは別の担当者にまかせることにします。さあ、Windows Server® 2008 オペレーティング システムへの改善点のいくつかを検証することにより、この「過ぎたるは及ばざるがごとし」のセキュリティ プランをテストに採用しましょう。
Windows Server 2008 が「過ぎたるは及ばざるがごとし」の前提に合っている方法がいくつかありますが、まずはその最低限のインストール フットプリントであることが第一です。 特に、Windows Server 2008 は新しい Server Core インストール オプションを提供しています。 この最低限のインストールにより、従来のサーバーのグラフィカル ユーザー インターフェイス (GUI)、7 つの既定のサービスおよび別の機能が排除され、機能性、管理の容易性とセキュリティが向上します。 攻撃面を狭くすることにより、より優れたセキュリティが達成されます。これは本質的に危険にさらされた IIS の役割の元でコアを実行するにあたり特に重要となるでしょう。また、ファイル サーバーの役割の範囲がより狭まるでしょう。3。 Server Core は IT プロフェッショナルにとって互いに利益をもたらす、まれな状況をもたらします。マイクロソフトは中核となるコンポ―ネントとサービスのみをインストールし、攻撃面を狭くすることで最大のセキュリティを得ようとしています。それにより、改善された機能と信頼性の恩恵が追加されるのです。 さらに、心配すべき更新プログラムやセキュリティ更新プログラム数がより少ないため、変更管理に頭を痛めることがより少なくなり、また継続的な管理コストがさらに低くなるということにより、長期的な恩恵を受け続けられます。 マイクロソフトの Web サイトには、「Server Core インストールでは、指定した役割に必要な機能しか含まれないので、管理するコンポーネントが少なくなり、通常、メンテナンスや更新の必要性が少なくなります。・・・インストールされていないコンポーネントにセキュリティや脆弱性が発見されても、修正プログラムを適用する必要がありません。」(http://www.microsoft.com/japan/windowsserver2008/evaluation/overview.mspx) と記載されています。 しかし、Server Core は Windows Server 2008 のセキュリティ プロファイルのほんの一機能です。別の例として、サービス強化に関する改善があります。オペレーティング システムの多くの別の部分のように、サービスが区分化、またはモジュール化されました。 "split access tokens” (「アクセス トークンを分割する」) というコンセプトで知られている、トークンが発行される方法へ簡単な変更を行うことにより、マイクロソフトは、ひとつのサービスが別のサービスのアドレス空間を引き継ぐことを防ぎます。この方法では、オペレーティング システムのある部分にセキュリティの侵害が起こった場合でも、別の部分への影響や危険はありません。例えば、2003 年 8 月に Blaster ワームがインターネットで拡大した時には、DCOM のリモート プロシージャ コール (RPC) サービスの問題が悪用され、レジストリやファイル システムの保護された部分に書き込みが行われ、ついにネットワークで複製が作りだされました。RPC には、これらの動作を実行する正当な理由はひとつもありませんが、その動作を明確に否定できないため、免責事項と共に実行されるようになったのです。Windows Server 2008 では、サービスがそのジョブを行うに必要な操作のみが明確に許可されるため、このような悪用は不可能でしょう。Windows Server 2008 は、別のアクセス トークンを強制することにより (故に、メモリの使用は共有されません) さらに先へと進み、RPC などのすべてのサービスが別のサービスから機能を受け継ぐまたは「借用する」のを防ぎます。つまり、基本的に各サービスをそれぞれのサンドボックスに隔離するのです。要するに、マイクロソフトはサービスの構造および動作を簡素化し、それが直接に私たちのセキュリティの改善という結果になったということです。
しかし、簡素であることは私たちのコンピュータのセキュリティのレベルに貢献する唯一の要因ではないことを忘れないようにしましょう。より少ないセキュリティ ツール、アプリケーション、そしてより少ないアクセスという改善点は非常に有益ではありますが、簡素化のためにプロセスに手抜きをしては、重大な誤りとなるでしょう。プロセスは、セキュリティにおける最も過少投資されている部分のひとつとなっています。 私たちはネットワークおよびサーバーのセキュリティを評価するための継続的なミーティングを行い続ける必要があります。私たちは日々行われるそのほかの変更に対応しているセキュリティ ガイダンスのプロセスに従う必要があります。既に道しるべとなるしるしをつけた人物から、可能な限り多くの皆さんのプロセスを盗むことをお勧めします。これを行う 1 つの素晴らしい方法は、Microsoft Operations Framework を把握することです。4 皆さんのセキュリティ テストおよびプランニングに少しばかりの創造性を取り入れることもお勧めします。攻撃者は常に、私たちのネットワークに侵入するための新しい独創的な方法を探しています。このため、私たちもセキュリティ管理へのアプローチに独創性を取り入れることを恐れてはいけません。
セキュリティは今日の IT プロフェッショナルにとって恩恵となり得ますが、頻繁にそのセキュリティを「悪化させるもの」にしてしまいます。私たちは IT セキュリティの複雑さを軽減することができます。実際、複雑さは優れたセキュリティに反するため、私たちにはそうする義務があります。セキュリティに関して言えば、費やす時間をより少なくし、またインストールするツール数も少なくするべきです。時間やエネルギーを優れたセキュリティに費やすべきではないと言っているのではありません。デスクトップはその役割が広く、また物理的なセキュリティに欠けるため、攻撃に最も直面しており、セキュリティの向上をデータセンターに駆り立てています。しかし、構成の悲痛は今日でも続いています。現在、誰かの机に置いてある最小限に構成されたワークステーションは 100 万ドルが費やされたデータセンターで下手に管理されている複雑なサーバーよりもセキュアであると私は主張します。今日のサーバー セキュリティについて、必要以上のことを行わないでください。「過ぎたるは及ばざるがごとし」の考えとともに、複雑さを最小限にし、Windows Server 2008 の組み込まれたセキュリティ機能を活用すれば、不必要な危険のかなりの量を排除できることが分かるでしょう。
1 Paul Kocher によるメモからの抜粋 題名 “Shades of Gray: Security and Complexity” (英語情報)
http://www.cryptography.com/company/Paul-Kocher.html
2 Download ACT 5.0 (英語情報)
http://www.microsoft.com/downloads/details.aspx?FamilyId=24DA89E9-B581-47B0-B45E-492DD6DA2971&displaylang=en#Overview
3 Server Core の役割について詳細情報は次の Web サイトをご覧ください。
http://www.microsoft.com/windowsserver2008/servercore.mspx
4 Microsoft Operations Framework の詳細情報は、次の Web サイトをご覧ください。
http://www.microsoft.com/japan/technet/itsolutions/techguide/mof/default.mspx
この記事は、マイクロソフト セキュリティ ニュースレターで配信しました。