- ベストアンサー
WEBサーバのセキュリティを確認しているのですが‥
貧弱WEBサーバを立てております。 また、管理者も貧弱なため、セキュリティ面で一体どこまでやれば十分なのかを お教え頂きたく、質問させて頂きます。 先日までは、セキュリティ会社やShields up!!などのサイトの ポートスキャンの結果がOKだったので、満足していたのですが、 ソフトでもポートスキャンが出来るものがあったので確認したところ、 ポートスキャンソフトの種類によって、使用していないポートが 開いていたり開いていなかったりしているのです。 また、並行して、 ノートンのインターネットセキュリティのログを確認したところ、 勝手に外部へ出るような仕様にしていないにも関わらず、ログ的には勝手に出ていたりします。 しかもそのログのURLを入力して見ても何も表示されなかったり、リファラー的なものしか表示されません。 えーっと、 WEBサーバのセキュリティ(150アクセス程度/日)は、どの程度でまぁ大丈夫レベルでしょうか。 サイトのポートスキャンの結果を信用しておいてよろしいのでしょうか。 本当ならTCP/IPを基礎から習得して、それを基に改善すればよいのでしょうが、 もし危険な状態であるなら、一刻も早くできるところから押さえていこうと思った次第です。 一応、仕様としては、 ・ルータ(5千円程度のコンシューマ用で、ステルス機能が付き、 ポートフォワーディングで不要なポートは全てステルスにするなど、 基本的なところは押さえていると思います。) ・ノートンインターネットセキュリティの導入 ・MSのアップデートは欠かしたことがありません。 ・ウィルス対応・定期チェックも万全だと思います。 ・OSは2000ですが、サーバソフトは最新パッチ導入の日本製のものです。 ・アタックなどは特に頻繁だということもありません。月並みだと思います。 こんなんでお分かり頂けるか不安ですが、 どうぞご教授のほど、宜しくお願いします。
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
OS が Windows 系、ということで、新米管理者の方には少々荷が重そうですね。Linux などの PC-Unix なら楽、というわけではないのですが、Windows 系の場合、『きっちり設定を詰める』というのが難しいのです。 仕事で正にインターネットサーバの構築・管理/運用をこの 4年以上やっているのですが、Linux などの PC-Unix 系よりも Windows 系の方が管理が難しいと感じています。便利な GUI のツールがあっても、それでは設定できないような箇所も詰めないといけないのは辛いです。 なお、セキュリティに「これで十分」はありません。日々情報収集と確認・設定変更他を行い続けても「まだまだなぁ」と思うことしばしば、です。
その他の回答 (1)
- bship
- ベストアンサー率51% (47/92)
この手の回答は気がひけるのですが、お困りの様なので。 勘違いしてはいけないのは(そして実務上多くの実例として)、セキュリティ上の設定で「つもり」っていうのが危ないのです。 セキュリティの設定をこうした->その結果こう検証してこのような結果であった->設定は正しい という確認が必要なのです。それでやっと、「つもり」でなくなり、次のステップへ進めます。専門家でもチェックリストに則って確認するという地道な確認を怠りません。数千万のセキュリティツールを導入しても、運用が全てです。 ですから、ルータがいくらかは関係ないですし、ノートンを入れてても設定が意図のとおりできていなければ(少なくとも文面からはそう読める)無意味です。 「ポートスキャンの結果がOK」という意味が判りません。 ポートスキャンはどのポートが開いているかを列挙するものなので、結果がOKとかNGというものではありません。 それは脆弱性スキャンの範疇です。 開いているポートが脆弱でなければいくらポートが開いてても大丈夫ですし、逆にたとえTCP/80ひとつだけだったとしても脆弱であればアウトです。 脆弱性スキャンをかけることが理想ですが、それなりに知識がいります。 セキュリティは闇雲にやってもダメですよ。 しかも、何をしてよいか判らない常態でありながらも既に接続済みであるようなので、もう遅いかもしれません。 (セキュリティを考慮しないで一瞬でも接続したホストは信用に値しません。それをHardeningするだけ時間の無駄です。侵害は秒単位です) 1.サーバの目的を明確化する 2.必要なサービス、アカウントを決定する 3.必要なサービスのみを立ち上げる 4.不要なソフトや不要なアカウントは削除 5.必要なサービスに脆弱性がないかを最新情報で確認する(本当は脆弱性スキャナを使えば便利) 6.Audit機能を有効にして適切な監査を行う と書くだけなら簡単ですが、3,4,5,6はそれぞれのOSやアプリケーションに依存するのでちゃんとやるには知識が要りますね。 もちろんその前に、 OSからクリーンインストール OS Service Pack等最新状態に保つ ノートン等のソフトウェアを適切に設定する というのが前提ですが。
補足
非常にご丁寧な回答、ありがとうございます。 なかなかお厳しいアドバイス頂いてしまったようですね‥。 まず、正直に申しまして、パソコンがちょっと詳しいだけで、 まだまだ勉強途中にも関わらずシステム管理者にされてしまった者にとって、 セキュリティほど概念が掴み辛いものはないと思います。 レースなら順位、営業なら成績で自分のレベルが推し量ることができますが、 セキュリティにはそれがなく、これでいいかな、と思っていたら 全く違っていたり、まだまだレベルが足りなかったりすることが多く、 実際目に見えてセキュリティを破られないと脆弱かどうか判断できなかったりします。 それならどうして基礎からきっちり固めてこなかったと言われそうですね。。 しかしながら、言い訳ではないのですが、自宅サーバを立ててみよう!みたいな記事群に魅せられて 気軽な感じでここまで来て、本に載っているレベルぐらいのセキュリティレベルには 十分達したと思っていた矢先にこういった結果に遭遇してしまっている訳です。 自分に同情する気などさらさらありませんが、同じような境遇の方は結構いるはずです。 ‥すみません、ちょっと取り乱してしまいました。 >セキュリティ上の設定で「つもり」っていうのが危ないのです。 おっしゃる通りです。しかしながら、先にも書かせて頂いた通り、 これ以上どうすればいいのか、今の現状では改善策が思い当たらないのです。 >「ポートスキャンの結果がOK」という意味が判りません。 スキルの高い方からご覧になると、鼻で笑っちゃうぐらいのことかも知れませんね。 しかしながら先述のように、雑誌等でも「君のサーバは安全か?ここでチェックして確認してみよう!」 なんてのほほんと書かれているのを実践したのですよ(;;) >セキュリティは闇雲にやってもダメですよ。 確かにそうです。だからこそ急を要するために、ここでピンポイントに お知恵をお借りしたいと思ったのです。 具体的に言えば、このサイトとこのサイトは参考になるから、ここを押さえて、 こういうソフトがあるからここでチェックしやがれこの虚けめ! というご鞭撻を頂けたらと思った次第です。 しかしながらbship様のおっしゃることは全くの正論であり、今後の指針と させて頂きたいと思います。 ありがとうございました。