新米ネットワーク管理者の「やってはいけない」

第3回 ネットワークの「やってはいけない」

この記事を読むのに必要な時間:およそ 2 分

第1回は内部ネットワークにおけるPCやユーザ,第2回はサーバを管理する上での「これやるべからず」を紹介しました。3回目となる今回は,ネットワークそのものを管理する上での注意点などを取り上げていきます。

状態把握を怠ってはいけない

多くのPC,サーバ,ネットワーク機器を管理するようになってくると,全体の情報把握の頻度はどうしても下がってしまいがち。各機器の状態把握が疎かになればなるほど,脆弱性が生まれやすい環境になってしまいます。

Windowsについては第1回で触れたようにMBSA:Microsoft Baseline Security Analyzerを使用することでパッチ適用状況の調査など,ある程度管理負担を軽減することができますが,LinuxサーバやMacOS,ネットワーク機器など,ネットワークに接続されている端末は多岐にわたるため,それらを包括して脆弱性がないか調査するには,ネットワーク管理が手に負えない状況になってしまう前に,脆弱性スキャナなど,リモートでまとめて状況を調査してくれるツールの導入を検討する必要が出てきます。

脆弱性スキャナとは

ウィルス対策ソフトのように定義ファイルを持ち,リモートからスキャンを実施することで,ネットワーク上のPCなどに脆弱性が存在しないかチェックを行うことができるツール。公開サーバなど,一見正常に稼動しているように見えても脆弱性が隠れていることがあり,攻撃者に狙われる前に調査および対策を行うのに適しています。

製品・サービスともに多数存在しますが,無償の脆弱性スキャナとしてはTENABLE Network Securityが提供しているNessusが有名です。

Nessus

Nessus

ツールなどを利用して行った検査結果は,セキュリティ管理がどの程度実施されているかを把握できる目安となるので,万が一何か問題が発生した際にも検査結果を元に素早い行動に移ることが可能となるのは,大きな利点となるでしょう。

安易な運用をやってはいけない

脆弱性検査は,管理対象の脆弱性や設定不備などを自動的に検出し通知してくれるので,管理の負荷を軽減しつつセキュアな状態を保つことが可能となるなど,一見メリットばかりに見えます。ですがそのメリットとは裏腹に,週1回といった間隔で継続的に脆弱性スキャンを実施している組織は,それほど多くないように感じられます。

「無償のスキャナすらある現状でなぜ実施しないのか」と,疑問に思われるかもしれませんが,理由は単純で,脆弱性スキャナの存在自体があまり知られていなかったり,使用できる人材がいない,有償の製品を使用することにより金銭的負担がかかる……などの懸念事項が多く,費用に対して売り上げ増などが見込める類のものではないため,積極的な運用とまでは至っていないところが大半です。

しかしながら,脆弱性を早期に発見し対策を講じることができるということが致命的な損失を防ぎ,結果的に利益を生み出すことを経営陣などに理解してもらえれば,おのずと実施の運びとなるのではないかと考えられます。コスト=無駄という意識を組織的に改革する必要がセキュリティ対策には求められるのです。もちろん,対策を重視するあまり,コストのかけすぎることのないようにバランスを取ることが大切です。

コストに対する理解を得られた後についても,脆弱性スキャンなどの各種検査が運用に乗った際には,ネットワークの帯域を占有するほど大量の通信を発生させる場合がありますので,営業時間に実施するのではなく,深夜帯に実施するなどといった点を考慮する必要が出てきます。

勝手に作業してはいけない

脆弱性スキャンに限らず,ネットワークに影響を与える作業を実施する際には当然ですが,事前の連絡と承認が必要です。通知を行わず検査などを実施してしまうと思わぬ事象(障害)を招きかねません。管理ネットワーク内であったとしても,利用しているユーザや組織へ事前連絡を行うべきでしょう。

管理者として深夜帯の作業など,運用面で負担が大きいと感じるのであれば,検査サービスを提供している企業もあるので,管理ネットワークの規模や予算により検討する必要も出てきます。先にメリットとして挙げたセキュリティ管理の証明という意味では詳細なレポートを提供してくれますので,上司や経営陣への提案もしやすいといえます。

著者プロフィール

賀川亮(かがわりょう)

日々の情報収集と子供の成長監視に余念がない24時間365日体制でセキュリティ監視に勤しむJSOC(Japan Security Operation Center)所属の子持ちのセキュリティアナリスト。

株式会社ラック
URL:http://www.lac.co.jp/

JSOC
URL:http://www.lac.co.jp/business/jsoc/

コメント

コメントの記入