サーバーのセキュリティ対策。考えうるリスクと基本の対処法を解説
従業員個人のパソコンへのセキュリティ対策も重要ですが、企業の情報を膨大に保存しているサーバーへの攻撃は、被害が甚大になるため、より強固にしておく必要があります。
企業規模の大小は関係ありません。中小企業でも大企業と関係や取引のある場合は狙われやすくなります。取引メールやネットワークを介して、大企業のシステムに侵入しやすくなるからです。実際に中小企業を足がかりにして、大企業が保有する個人情報が流出する事例が2018年に起きています。個人情報の流出は企業の信用性低下につながりかねません。そのため事前のセキュリティ対策は、企業経営を安全に進めるための重要な要素と言えます。
この記事では、セキュリティの基本情報とサーバーのセキュリティ対策について解説します。
セキュリティの脆弱性とは?
サーバーに外部から攻撃を受けた場合に想定されるリスクを把握する必要がありますが、その前に、サーバーセキュリティを語る上で必要不可欠である「脆弱性」について解説します。
脆弱性とは、OSやソフトウェア上の設計ミスやプログラム上の不具合により、セキュリティが損なわれている状態のことです。ソフトウェアやハードウェアのバグである「セキュリティホール」が代表例ですが、セキュリティ対策、管理体制の甘さのことを脆弱性に含む場合もあります。
脆弱性が発見されると、開発メーカーから更新プログラムが提供されることがあります。しかし、脆弱性は完全に解決することは難しく、次々と新たな脆弱性が発見されているのが現状です。
想定されるリスク
現在、インターネットへの接続なしに、業務はできないと言っても過言ではありません。また働き方改革により、社外で多数のWi-Fiを利用したり、スマートフォンやタブレットを業務で使用したりするケースが増えています。下記は、独立行政法人情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2019」です。
「個人」向け脅威 | 順位 | 「組織」向け脅威 |
---|---|---|
クレジットカード情報の不正利用 | 1 | 標的型攻撃による被害 |
フィッシングによる個人情報等の搾取 | 2 | ビジネスメール詐欺による被害 |
不正アプリによるスマートフォン利用者への被害 | 3 | ランサムウェアによる被害 |
メール等を使った脅迫・詐欺の手口による金銭要求 | 4 | サプライチェーンの弱点を悪用した攻撃の高まり |
ネット上の誹謗・中傷・デマ | 5 | 内部不正による情報漏えい |
偽警告によるインターネット詐欺 | 6 | サービス妨害攻撃によるサービスの停止 |
インターネットバンキングの不正利用 | 7 | インターネットサービスからの個人情報の窃取 |
インターネットサービスへの不正ログイン | 8 | IoT機器の脆弱性の顕在化 |
ランサムウェアによる被害 | 9 | 脆弱性対策情報の公開に伴う悪用増加 |
IoT機器の不適切な管理 | 10 | 不注意による情報漏えい |
<参照元:独立行政法人情報処理推進機構(IPA)「情報セキュリティ10大脅威 2019」をもとに作成>
ランキングのほとんどが外部からの攻撃による脅威となっています。このことから、外部からの攻撃に備えることが、セキュリティ対策の第一歩であることがわかります。
では、次項で具体的な外部からの攻撃について解説します。
サーバーセキュリティを脅かすリスク
脆弱性に対する外部からの攻撃にはいくつか種類があります。ここではその代表的なものについて紹介していきます。
標的型攻撃について
上述の「組織」向け脅威で1位となっていた「標的型攻撃」は、対象を特定して攻撃してくる手法です。代表的なものには「DoS・DDoS」「SQLインジェクション」「ブルートフォースアタック」などがあります。下記より、個別に解説します。
DoS・DDoS
DoS攻撃・DDoS攻撃は比較的昔から使われた手法です。簡単かつシンプルな原理であるため、現在でも多くの攻撃が見受けられます。
ブラウザから閲覧しにくいサイトがありますが、これはサーバーの性能による要因以外にも、何らかのデータが大量に送受信されている可能性があります。このように、悪意を持ってサーバーに大量のデータを送りつけ、アクセス集中によるサーバーダウンを狙うサイバー攻撃のことを「DoS攻撃(Denial of Service Attack)」と呼びます。
「DoS攻撃」の発展型として、複数のIPを使って攻撃対象により大きな負荷をかける手法が、「DDoS攻撃(Distributed Denial of Service Attack)」です。「トロイの木馬」などのマルウェア(悪意のあるソフトウェアやコードの総称)を使い、不正に複数のコンピューターを乗っ取って、攻撃を仕掛けるものです。
DoS・DDoS攻撃を行う目的は、単純な嫌がらせや金銭などを目的とした脅迫行為、競合サイトに対しての妨害行為、抗議活動、他のサイバー攻撃の隠ぺいなどが挙げられます。
SQLインジェクション攻撃
SQL文を使用したデータベースのWEBサイトやアプリケーションに対し、本来使用されないSQL文を挿入(インジェクション)することで、データベース上の情報を盗み取ったり、改ざん、消去をしたりする攻撃方法のことです。WEBサイトやアプリケーションの脆弱性を狙ったもので、情報漏えいにもつながる攻撃のため、非常に危険です。
ブルートフォースアタック
ブルートフォースアタック(Brute Force Attack)とは、パスワードを破る攻撃方法で、考えうるすべてのパターンを試してくるため、別名「総当たり攻撃」とも呼ばれます。
例えるならば、番号式のチェーンロックをすべての組み合わせで試していくようなイメージです。人間が行うと途方もない時間がかかってしまいますが、プログラムされたコンピューターの処理能力だとわずかな時間しかかかりません。
使用できる文字数と入力桁数によるパスワードの最大解読時間 | |||||
---|---|---|---|---|---|
使用する文字の種類 | 使用できる文字数 | 入力桁数 | |||
4桁 | 6桁 | 8桁 | 10桁 | ||
英字(大文字、小文字を区別しない) | 26 | 約3秒 | 約37分 | 約17日 | 約32年 |
英字(大文字、小文字を区別する)+数字 | 62 | 約2分 | 約5日 | 約50年 | 約20万年 |
英字(大文字、小文字を区別する)+数字+記号 | 93 | 約9分 | 約54日 | 約1千年 | 約1千万年 |
<参照元:独立行政法人 情報処理推進機構(IPA)「コンピュータウイルス・不正アクセスの届出状況[2008年9月分および第3四半期]について」をもとに作成>
上図のように、大文字、小文字を区別しない英字4桁だと約3秒で破られてしまいます。組み合わせの数が多ければ多いほど解読されにくくなるため、桁数や使用する文字種を多くするといいでしょう。
しかし、この解読時間は2008年のものです。時代とともに処理能力は想像もしないスピードになっている可能性がありますので注意しましょう。
無差別型攻撃
標的型攻撃に対し、無差別攻撃はメールやWEBサイトを通して、不特定多数のユーザーに対してマルウェアを感染させます。その中でも、近年はランサムウェアによる被害が拡大しています。
ランサムウェア
感染するとパソコン内のデータが暗号化され、読めなくなってしまいます。「WannaCry」「TeslaCrypt」など、これまでに猛威を振るったランサムウェアはいくつもありますが、脅迫状を表示して身代金(ランサム)を要求することが共通していることから総じてランサムウェアと呼ばれます。個人のパソコンから共有フォルダなどに感染が拡大するリスクがあるため非常に悪質です。従業員のセキュリティ教育はもちろんですが、企業全体で最新のセキュリティソフトを用いてスパムメールをブロックするのが肝要です。
基本的なサーバーセキュリティ対策
ここではセキュリティ対策として、基本的な方法をいくつか紹介します。
セキュリティパッチの管理
現在最も多いのが、既知の脆弱性に対するサイバー攻撃です。従って、まずは既知の脆弱性に対応することが、不正アクセスなどの被害を減らす一番の方法です。その中で重要なのが「セキュリティパッチ」。これはソフトウェア上の問題点や脆弱性に対し、それらの不具合を解決するための修正プログラムです。
セキュリティパッチを適用してソフトウェアを常に最新の状態に更新しておくと、問題点や脆弱性を解決しやすくなり、サイバー攻撃に対するリスクを大きく低減できます。
安全なパスワードの作成
安全なパスワードを作成することも、基本的なセキュリティ対策の1つです。安全なパスワードの作成条件には以下のような方法が挙げられます。
・英単語などをそのまま使用しない
・アルファベットと数字を混在させる
・適切な長さの文字列にする
・類推しやすい並び方や安易な組み合わせにしない
しかし、せっかく安全なパスワードを設定しても、パスワードが漏れてしまったら意味がありません。部外者に伝えないことはもちろんのこと、電子メールなどでのやり取りの方法や、パスワードを書いたメモの取り扱いなどパスワードの保管方法にも留意が必要です。
ログ管理
万全のセキュリティ対策をしていても、不正アクセスやウイルス感染のリスクは残ります。これに対し、ログを管理することで、迅速な原因究明や事後対応を行い、被害を最小限に抑える考え方が重要です。例えば、内部犯行による情報漏えいがあった場合、ログを遡って原因を調査できます。
WEBサーバーにおけるセキュリティ対策
WEBサイトを運用する上で、WEBサーバーを利用するケースは多いでしょう。WEBサーバーを利用する際にもセキュリティ対策は必須です。この方法にはさまざまな種類があり、守る場所や目的によって異なる対策が求められます。代表的な対策として、ファイアウォール、WAFなどがあります。
ファイアウォール
防火壁(ファイアウォール)のようにネットワークの間に立ち、不正アクセスをブロックするシステムを指す「ファイアウォール」。WEBサーバーに標準搭載されています。パケット内の送信元・送信先のIPアドレスと通信ポートの情報をチェックし、不要な攻撃を防止できます。しかし、許可されたポートからの通信で攻撃された場合は防ぐことはできず、次に説明するWAFなどの対策が必要となります。
WAF
「Web Application Firewall」の略で、アプリケーションの脆弱性を悪用した攻撃からWEBサイトを防御するための技術です。WEBアプリケーションとして代表的なサーバーやデータベースの前面に配置することで、SQLインジェクションやブルートフォースアタックといった攻撃を防ぎます。
まとめ〜脆弱性の発見と対策に終わりはない〜
今回は、サーバーのセキュリティについて、考えられるリスクやその対策について紹介しました。サイバー攻撃は日々進化しており、いたちごっこのような様相になっていることは否めませんが、従業員へのセキュリティ教育、最新のセキュリティパッチの管理などを徹底することで、リスクを限りなく低減できます。
企業の情報漏えいは、企業活動の継続に甚大な影響を及ぼします。常に可能な限りの対策を行いましょう。