三輪 信雄 ラック 不正アクセス対策事業本部長
侵入時にプロが駆けつける内容を選択
さらに調べると,侵入検知システムには誤報や見落としが多いことが分かった。現状の侵入検知システムでは,侵入されたかどうかを完全に把握できない。このため過剰に警告をするようにできており,誤報につながるケースが多いのだ。侵入検知システムの警告をそのままシステム管理者に報告するサービスは意味がないと判断した。次に,侵入検知とログ監視の組み合わせサービスを検討した。侵入を正確に検知するには,ログ監視とサーバーへのログインが必須だ。ログインしないと本当に侵入されたか判断できない。状況によっては,侵入者が起動したログイン・プログラムやバックドアのプロセスを切る必要がある。
ただC社は,この二つを合わせたとしても不安が残ると考えた。その不安とは,侵入されてしまった時に自社で対応できるかということ。セキュアなシステムを構築して監視していても,不正アクセスを受けた時の対応は未経験の技術者にはできない。作業マニュアルを用意したり,実経験のある技術者が作業する必要がある。
そうしないと再度侵入されたり,バックドアやトロイの木馬を放置することにもなりかねない。侵入された1台のサーバーだけでなく,周辺サーバーへの被害状況を把握するのも重要な任務である。そこでC社は,侵入検知,ログ監視,緊急時の現場保守をすべて提供するサービスを選ぶことにした。
セキュリティ・ベンダーの中には,ハッカー出身者がいることを売り物にしたり,実績がほとんどない企業もある。そうした中でD社は,はんらんする英語の情報を絶え間なく収集し,検証していく姿勢を強調した。C社は,こうした姿勢や実績を評価してD社を選択した。
|
|
図3 監視サービスによってC社のサーバーが普段から攻撃を受けていると判明 D社のセキュリティ監視サービスを利用したところ,ファイアウォールを通り抜けてしまった攻撃がDNSサーバー,Webサーバー,メール・サーバーに届いていることが判明した。侵入にはいたらなかったが,セキュリティを高めるには対策が必要。C社は毎月D社から,攻撃方法などの報告とともに,対策のアドバイスを受けている。重大なセキュリティ・ホールが発見された時は通知を受ける。C社は監視サービスを利用することで,セキュリティの不安を減らすことができた。 |
監視を任せて真の安全性を確保
C社はD社と専用線で結び,ファイアウォールの内側でサーバーの不正アクセスを監視するようにした。侵入検知システムの利用,ログの監視やリモート・ログインの体制を整え,24時間365日の監視を始めた。監視を始めたところ,多くの攻撃がファイアウォールを通過してサーバーに達していることが分かった(図3[拡大表示])。これまでは,たまたま侵入されていなかっただけだったのである。
C社にはD社から毎月,受けた攻撃の種類と傾向について報告書が届く。また,重要なセキュリティ・ホールなどの問題についてアドバイスを受けるオプション・サービスも利用することにした。
C社はプロのサービスを活用してから,安心してインターネット・ビジネスに専念できるようになった。自社のサーバーは安全だと思い込んでいる企業は多いが,C社のシステムは専門ベンダーの監視とコンサルティングによって,ようやく安全を確保できたのである。