新米ネットワーク管理者の「やってはいけない」

第2回 サーバ管理の「やってはいけない」

この記事を読むのに必要な時間:およそ 2.5 分

第1回は内部ネットワークを管理する上で「これをやってはいけない」というポイントを紹介しました。2回目となる今回は,公開サーバを管理する上での注意点を取り上げていきます。

余計なサービスを外部に公開してはいけない

公開サーバというと,基本的にはWebサーバであったりFTPサーバだったりといったものが頭に浮かぶと思われますが,ネットワークにつながっている機器の中にはサーバ機能を内蔵し,管理者の意図しないところでアクセス可能な状態になっているものがあるので,管理を行う上では注意をしなければなりません。

意図せずサーバ機能を公開しうる機器としては,Webカメラやネットワーク対応のプリンタルータなどがあります。これらの多くは設定をWebベースで行ったり,FTPでデータの転送が行えたり,Telnetなどで操作を行うことが可能です。

そのため,機器の設置個所によっては,管理外のユーザにより意のままに操作されてしまう可能性があるため,適切なアクセスコントロールを行うか,不要であればサーバ機能を無効にする必要があります。適切な機能管理を行っていないと,出勤時にプリンタの紙がなくなるまで無意味に何百枚も印刷がされていたり,ネットワークの設定が書き換えられ,業務にならない状態にされるなどの被害を受けてしまうこともあり得ます。既存および新規に導入する機器の仕様を理解するのも,管理者の大事な仕事です。

煩雑な設定をあまり必要とせず,導入のしやすさから業務利用されることの多いアプライアンスと呼ばれる特定の機能に特化した製品も,設定ひとつで危険性が様変わりします。よく見受けられるのは,管理パスワードをデフォルト設定のまま使用しているケースです。メジャーな製品であればあるほど,デフォルトで設定されているパスワードは容易に知ることが可能であり,悪用される可能性も高まります。

そのほか,安全な外部Webサイトへのアクセスを実現するために導入したProxy製品の設定に不備があると,第三者によってSpam送信に利用されるなど,踏み台として利用されてしまう危険性があるため,アプライアンス製品だからセキュリティ面でしっかりしているなどという思いこみは避けなければいけません。

設定の不備という点で陥りやすい例を挙げると,Windows上で動作するIIS(Internet Information Service)において,ファイルをサーバにアップロードする際に用いられるPUTメソッドが有効で,誰からのアクセスでも受け付けるような設定になっていたばかりに,ファイルをアップロードされ,Webサイトが改ざんされてしまったというケースがよくあります。FTPでも同様に,誰にでもアップロードできる設定のまま公開していると,違法なファイルの置き場所になりかねません。これらは余計な権限を付与してしまったばっかりに被害を受けた典型的なケースです。

いずれも安易な設定を行った結果起こるべくして起こった事象といえます。ファイルのアップロードなど権限の付与については可能な限り許可しない方針とし,限られたユーザのみが行えるように設定を行う必要があるでしょう。

不要なファイルを残してはいけない

サーバを長期にわたって運用管理していると,保存しているファイルの数が肥大化します。とくにWebサイトなどインターネットに公開している場合,一時的に作成されたキャンペーンサイトなどをそのまま残しておいてあるケースも多々見受けられます。これらの多くはメンテナンスがされておらず,半ば放置されている状態のものも少なくありません。サービス提供上必要なものであればいいのですが,無意味に放置しておくくらいなら,サーバ上から削除しておいたほうがよいでしょう。

なぜならば,メンテナンスがなされていない古いWebサイトやWebアプリケーションには,脆弱性が潜んでいる可能性が考えられるためです。当時は最新の情報を元に作られたものの,何年も経過するうちにバージョンが古くなり,中には脆弱性が発見されるというケースも珍しくありません。

最近はGoogleなどの検索サービスが高機能化したこともあって,攻撃者は脆弱性が存在するサイトやアプリケーションを検索サービス経由で探し出し攻撃対象としています。

構築したサイトが必要なくなったからといって,メンテナンスせず放置するようであるならば,時間の経過とともに脆弱性が発見される可能性が考えられるため,公開サービスで使わなくなったものは削除することが望ましいと言えます。事前に公開期間などを定め,期間が経過した段階で不要となったファイルを確認,削除するなど,定期的なメンテナンスができれば良いでしょう。

また,メンテナンスというよりは見直しになりますが,使用しているサービスを極力安全なものへと切り替えるのも安全性を高めるひとつの手段です。通信が暗号化されずにそのままやり取りされるFTPTelnetなどは,通信を盗聴されてしまえば中身が丸見えとなるため危険性が高いので,可能な限り通信内容を暗号化するSFTPかSCP,SSHに切り替えることを検討すべきです。

もちろんファイル提供の場として公開しているAnonymousFTPサーバなどはこの限りではありません。書き込み権限などきちんと制御されていれば問題ないでしょう。

著者プロフィール

賀川亮(かがわりょう)

日々の情報収集と子供の成長監視に余念がない24時間365日体制でセキュリティ監視に勤しむJSOC(Japan Security Operation Center)所属の子持ちのセキュリティアナリスト。

株式会社ラック
URL:http://www.lac.co.jp/

JSOC
URL:http://www.lac.co.jp/business/jsoc/

コメント

コメントの記入