- ベストアンサー
NASのウイルス対策は?
お世話になります。 ファイルサーバを構築しようと計画中、 例えば、BUFFALOのリンクステーションのようなNASが あることを思い出しました。 http://buffalo.jp/products/catalog/storage/hd_lan.html そこでちょっと疑問に思ったのですが、 USB接続の外付けHDDは元のPCのウイルス対策が 機能すると思いますが、 ネットワーク接続しているこのようなNASは どのようにウイルスの対策を行うのでしょうか? アドバイスなど、よろしくお願いいたします。
- hallo_haro
- お礼率95% (752/791)
- ウィルス・マルウェア
- 回答数12
- ありがとう数12
- みんなの回答 (12)
- 専門家の回答
質問者が選んだベストアンサー
#1&その他です。 ※PCと書いてある場合はクライアントです。サーバーはPC(パーソナルコンピュータ)ではありません。 まず、「自分の所属セクションだけ」と言ってもそもそも会社のLANに存在している限りは「セキュリティは無い(極論ではありますがグレー状態は黒と考えるべきです)」とお考えいただいたほうが良いです。ファイルサーバーだけ絶ってても「自分の所属セクションだけ」のPCは他セクションとの係わりを絶つわけにはいかないでしょう?係わりをたつことが出来ないのですからそれぞれが踏み台になりうる危険性を持っている事になります。 「自分の所属セクションだけ」のPCが何台あるかは不明ですがそれらのセキュリティ対策を全てhallo_haroさんが請け負いつつサーバーのセキュリティの面倒を見て、勿論ご自身のPCの対策もすると言うのは「手間」以外何者でもないと思いますが?いかがでしょうか?(それにセキュリティが専業ではないでしょう?) また「手間」が増えれば「エラー」の起こる確率は増えます、特に「ヒューマンエラー」が。「エラー」を放置して「安全」でしょうか? サーバーが上位OSであるかどうかはあまり関係ありません。サーバーからコントロールできない機能はあっても根幹は同じですので(LinuxやMacOSXサーバーでも同じです)。 先のアドバイスで申し上げた通り、前提条件が成り立たないので、現実的なアドバイスになりませんが、技術的な可・不可だけで言えば「自分の所属セクションだけ」を独立したLANにしてルータで区切って会社のLANに対して言わば「子LAN」にしてしまう方法があります。 現実的でないのは会社のLANを構築するのと同じ以上の知識と手間隙がかかるからです(これ作れるのならその会社にいるよりネットワーク関連の会社に転職したほうが多分給料も待遇も良いですと言うレベル)。
その他の回答 (11)
Linuxにはサーバ向けにセキュリティの機能を強化したものが幾つかあります。 たとえば http://www.openwall.com/ など、いくつかがあります。 大抵のものでは、主に認証や特権ユーザの分離など、UNIXライクなOSの抱えている問題点について意識を注いでいます。 これらはアンチウィルスとは違った概念です。アンチウィルスを喩えるならば、「こぼしたジュースを拭い去る雑巾」で、こぼさないように注意することは別の問題です。 またWindows環境に「アンチウィルスがあるから絶対的に安全だ。」なんて思うのは誤った考えかただと思います。 以前にも、デジタル機器は「想定外の利用形態はしない。」というのが大原則と申しましたが、ウィルスとはその「やってはいけないことをするもの」という見方もでき、「やってはいけない」をするようなユーザの侵入を制限したり、誰が何時ログオンしてコンピュータを利用したか監査するのも重要です。
お礼
ご回答ありがとうございました。 UNIX系のOSは、ごめんなさい・・・。 以前手を出しかけて、挫折しました・・・。 WindowsServerでも、結構細かい所では まだまだGUIではなく、コマンドが必要なのは認識していますが それで手一杯です。 私がLINUXに手を出したのは、随分前ですので、 今では状況も変わっていると思いますが、 (私自身、SEではないこともあり、)情報収集だけでも大変 という抵抗感があり、本当にすみません。
- Hoyat
- ベストアンサー率52% (4897/9300)
#1&その他です。 まずもってネットワーク上の問題がありまくりなのでアドバイスの前提が全て崩壊です。対ウィルスに対しては特殊と言うより穴だらけな「危険」な環境です。 なのでサーバーを持ち込んで自前のファイルサーバを作ってもネットワーク自体が穴なのでガチガチのセキュリティ対策が必要ですね。 つか、ファイルサーバを持ち込むことによってhallo_haroさんの手間は倍化しながら、PCのセキュリティが下がります。ファイル共有する必要があるならhallo_haroさんのPCへのアクセスを禁じつつ相手方の方にだけアクセス出来るるようにするしかないです(極論ですけど今の環境じゃそうなります)。 まず「ウィルスに感染するとすれば何故なのか?」と「ウィルスとは何か?」を理解することが重要です。常時接続される事によって「何から何まで」感染するわけではありません。WinodwsPCは常時接続する事によって、実はWebに対して「常にアクティブ」な状態になっています。ですのでセキュリティ対策が必要なんで共有するPCも当然セキュリティ対策がなされていなければ無意味なんです(何度も申し上げていますが「LAN自体を一つのPCと考えてセキュリティ対策」しなければ無意味なんです)。 NASにもOSはあります。何が使われているかと言えばLinuxです。ただWeb向けの公開を元々プログラムから外されていますからLAN(又はイントラネット)内からのアクセスしか出来ません、つまりワーム(やウィルス)が侵入するとしたらLAN内からしか「ありえない」のです。 また、Lnuxも(MacOSXも)対Windowsウィルスには感染しません、これはWindowsのプログラムソフトが他OSでは「動作できない」のと同じ事です、またWindowsのプログラムは各OSの独自フォーマットで保存するとプログラムとしては壊れます、それを防ぐ為に「共有」部分はWindowsのプログラムが保持できるようになされていますので(でも「動作しない」ので「感染している」とは言わないです)、ウィルスは共有部分には保存されますので、一旦LANに侵入した(厳密にはユーザーが保存した)ワームがあれば、共有(LAN内公開)されていれば進入は防げません(でもそれらを踏み台に感染する訳でもないです「動作しません」から)。 そこでアクセス制限を加える事が出来るので「入り口」に成り得るPCをhallo_haroさんのPCに限定しておき、そのセキュリティがしっかりしている事が必要になります。 ですが、hallo_haroさんのPCが現状のLANに対してオープンならば無意味になります。 あ~Windowsサーバーでも同じですよ、現状のLANで比較すると個別対策が出来るだけ「マシ」な事はあっても結局個別のセキュリティの手間が倍加する分、あんまり変わらないです。 今のLANで「ファイルサーバ導入する」よりも先に「LAN全体のセキュリティ」の向上をしなければ「ファイルサーバを導入する」なんて無理です。
お礼
なんどもすみません。 どうもセキュリティ面について、まだまだ認識が甘い気がしてきました。 ご回答ありがとうございました。
補足
>対ウィルスに対しては特殊と言うより穴だらけな「危険」な環境です。 はい。現状とにかく危険だと言う認識は私は持っています。 が、管理者及び、上の連中は無関心なんで困っています。 >なのでサーバーを持ち込んで自前のファイルサーバを作っても >ネットワーク自体が穴なのでガチガチのセキュリティ対策が必要ですね。 上のような状態なので、せめて自分の所属セクションだけでも 何とか安全にと言う思いです。 ちなみにファイルサーバ導入後は、基本的に 自分のいるセクションにしかアクセス権は与えないつもりです。 現状、トップにいるServerはWindows2000Serverで、 取りあえず、ドメインコントローラーになっているようですが AD環境の設定も、DNSさえまともに動いていません。 そこにWindowsServer2003R2、もしくは WindowsServer2008の導入を考えていますが、 トップより下の方が上位バージョンなので、その互換性なども 心配しつつです。 L3スイッチ、もしくはローカルルータなどを入れて、 自分のセクションだけ独立させる手も有効かも知れないと思いつつ、 取りあえず、今回はNASに付いての質問となりました。 >ファイルサーバを持ち込むことによってhallo_haroさんの手間は >倍化しながら、PCのセキュリティが下がります。 この辺りがよく分かりませんが、 手間というのは、自分が持ち込むサーバのセキュリティ管理の事で しょうか。 PCとはこの場合、自分のクライアントなのか、 ServerPCなのかも補足願えるとありがたいです。 >今のLANで「ファイルサーバ導入する」よりも先に >「LAN全体のセキュリティ」の向上をしなければ >「ファイルサーバを導入する」なんて無理です。 非常にわがままなのは承知です。 上が聞く耳もたずですし、管理者も全く動いてくれないので、 現状のLANのセキュリティ向上はいっそ何か重大な事件でも 起きない限り、私の今の権限ではどうにもなりません。 WinServerは取りあえず、トレンドマイクロの コーポエディションが使えるので、それでカバーするしかないのですが やはり、危険性に変わりはないでしょうか・・・。 どのみち、今のW2KServerに共有ファイルを入れておくことは 危険極まりないので、それよりはましな状況ができれば 良い程度に思っています。 予算的にもすべて自腹になるので、あまり高価な機材は 導入できませんが、なにかこのような状況でアドバイスできることが あればお願いします。 まあ、普通は、常識外れなので無理だと言う回答になるとは 思いますが・・・。
- Hoyat
- ベストアンサー率52% (4897/9300)
#1&3&7です。 ん~と比較の仕方がそもそも間違っているのですよ。 #8さんも仰るようにそもそもがLANとWANとの間で監視するべきことであって、NASがやられる状況はそもそも既に他のPCがやられちゃってる状況なんで。 ファイルサーバを検討する場合の「安全」は別の意味で導入を考えるべきものです。 NASは簡易サーバですので頻度の高いアクセスには意外と弱いです、これはウィルスに対する脆弱さと言う意味ではなくハードウェアとしての耐久性の弱さです。言い方は悪いですが「安かろう悪かろう」の類です。但し繰り返しになりますがセキュリティの安全性の問題ではありません。 ではWindowsServerOS搭載のServerマシンはどうかと言われればHDDを複数持つことが出来、かつミラーRAIDしたりすることが出来るので一定以上の強さを持つことは出来ます。でも、外部公開も前提とされたサーバーOSなのでウィルスセキュリティ対策をしなきゃならないというオチがつくのです(セキュリティ対策をすることによって強めるのではなく、対策が甘いから対策しなきゃならんのです)。 そもそも内向きのサーバーにウィルスセキュリティが必要と言う発想が変なんですよ。先のアドバイスでも申し上げたのですが「LAN全体で1つのPCと考えなければならない」のであってその中の「増設HDD」に過ぎないNASを個別にセキュリティ対策が必要と言う事はないのです。 で、外部との入り口になるルータやモデム、及びPCはセキュリティはするべきですが、USB接続だろうとLAN接続だろうと「増設HDD」に過ぎないものに「個別対策は必要ない」のです。
お礼
何度も回答をありがとうございます。 なかなか理解が悪く申し訳ありません。
補足
実際に使ったことがないので理解が悪く、何度もすみません。 つまり、OSの脆弱性がウイルスなどに感染しやすい 状況を作ると言うことで、 (例えば、以前Macがウイルスに感染しにくいというような) そもそもOSの入っていない、NASには ウイルスが単体で侵入してくることは考えられないと言うことで よろしいでしょうか? 先に書いた商品紹介でも、若干のプログラムらしき物は 入っているいるようなので、その辺りの心配です。 ファイルサーバの導入方法についてがメインではありますが、 ここまで来ると、どちらかというと、興味の方が強いので もしよろしければ補足をお願いできたらと思います。
アンチウィルスを計画するならば、NASのような保管場所よりも、問題の源となる入り口で計画するほうが効率的ではないでしょうか。 たとえば、NASなんていう保管場所よりも、外部に接するゲートウェイや、リムーバルメディアのあるPCなど、といった進入経路で監査することです。 「アンチウィルス ゲートウェイ」でぐぐる。http://www.google.co.jp/search?hl=ja&q=%E3%82%A2%E3%83%B3%E3%83%81%E3%82%A6%E3%82%A3%E3%83%AB%E3%82%B9+%E3%82%B2%E3%83%BC%E3%83%88%E3%82%A6%E3%82%A7%E3%82%A4&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=
補足
こちらの方でお礼方々補足させて頂きます。 入り口でもブロックできればベターですが、 そもそも、内部のクライアントPCは個人所有のPC持ち込み可で、 そのPCには、OSのアップデートやウイルス対策が 徹底されていないという、かなり特殊な?環境です。 私が管理者なら、このような事態は絶対に避けますが、 現任の管理者自身の危機感が薄く、 そこまでしなくても良いという感じですので 個人持ち込みでのファイルサーバ導入を検討中。 当初からWinServerを個人で導入するつもりです。 ただ、その中でNASはどうなんだろうという興味がわいてきたという経緯です。 色々複雑な環境なのですみません。
- Hoyat
- ベストアンサー率52% (4897/9300)
#1&3です。 >結局、ウイルス対策のない、オンラインストレージという解釈が一番私的にはすっきりくるような気がしました。 え~全然違います。 maimi09さんもおっしゃってますが、「NAS」は外部公開を目的としないLAN(イントラネットも巨大なLANにすぎません)での「ファイルの格納場所」にすぎません。外部公開を目的とした「オンラインストレージ」ではありません。 解釈としては「LAN接続の外付けHDD」です。hallo_haroさんがご質問に書いている「USB接続の外付けHDD」と接続形態が違うだけで「同じもの」なのです。 LANは「内部統制されたネットワーク」であってWeb(インターネット)ではありません。つまり1つのLAN自体が「1つのPC」と考えるべきものなのです。 通常USBのHDDで個別にセキュリティ対策しますか?それと同じ事です。
お礼
ご回答ありがとうございました。 No.6の方への補足で書かせて頂きましたが、 私が見たのは、このような製品でした。 http://buffalo.jp/products/catalog/storage/hd_lan.html USB接続のHDDの場合は、接続されているPCのウイルス対策機能などが 働き、安全に利用ができるかと思いますが、 その認識も誤りでしょうか? (私の外付けHDDは、ちゃんとノートンで守られているようですが。)
補足
すみません。お礼に補足のようなことを書いてしまいました。 LANだけなら、イントラネットと言うことで 閉じた環境という理解はできるのですが そこに、WANにも常時繋がる環境となると、 話は変わってくる気がしますが、その辺りはどうなのでしょう? 話の発端は、WindowsServerOS搭載のServerマシンで ウイルス対策などセキュリティも万全の対策を取ったファイルサーバーと このような安価に買え、設定も手軽なNASをファイルサーバに するのと、コストと安全面から考えると どちらがベスト選択なのかということです。 安全面を犠牲にする可能性が高いならば、コストは我慢して サーバー機を導入する方向で考えたいと思います。 補足など、よろしくお願いいたします。
>今日、Buffaloのカタログを見ていて、 >どうも、リンクステーションの設定次第で、 >webを介してのアクセスができるようで、 >直接外部とやりとりするのではなさそうです。 調査対象の製品が何であるか知りえませんのでアレですが・・・ 例えば http://www.logitec.co.jp/products/nas/lhdlane.html など、NASにWebサーバが実装されている製品も幾つかあります。でも、Webを外部に公開するのが目的ではなくイントラネットのための機能です。つまり内部のみに公開するWebなのです。 また、そういったNASのWebサーバを(非武装セグメントに配置するなど)公開用に転用した場合は、公開Webサーバの事象として必要な検証がなされていないと思われます。デジタル機器は「想定外の利用形態はしない。」というのが大原則ですから、「できる。」というよりも「やってはいけない。」の部類になるとおもいます。 たとえば、公開サーバは非武装セグメントに配置して、内部セグメントと分離するのが一般的ですので、公開サーバ兼NASというのは想定外の利用形態になります。
お礼
ご回答ありがとうございました。 具体的な対象機があげてなかったため、色々誤解などを 与えてしまったようで、申し訳ありませんでした。
補足
どうもすみません。 具体例をやはり書かないと、上手く伝わらないようでしたので 検索して対象製品を見つけました。 (最初からこの製品は?ときけばよかったのですがすみません。) http://buffalo.jp/products/catalog/storage/hd_lan.html このサイトを見る限り、外部からのネット接続可能なようです。 ただ、外部からのアクセス方法の具体的な方法の詳細が分からず、 今回のような質問になってしまいました。
ANo.2の続きですが、 NASも1台のネットワーク機器ですので、外部から接続可能な条件が揃えば、当然ながら外部から接続できてしまいます。このことはNASの機能ということではなく「そういう性格を有しているもの。」ととられて下さい。 そこで外部から接続できないように、ゲートウェイで最低限ポートベースのパケットフィルタの設定が必要なのです。 また、NASとは概念の階層が異なりますが、インターネットを超えて支所Aと支所BのLANを接続したいような場合は、VPNといって暗号化された接続をします。VPNを喩えるならばインターネットに秘密のトンネルをつくってやり取りをするようなものです。 よってインターネットを超えて別のLANとNASを共有するときも、NASを外部に公開する必要が無いので、外部から通信できないようにゲートウェイでパケットフィルタを設定します。 余談になりますが、その他PCのアンチウィルスからNASのファイルをスキャンできるものもあるようです。でもPC側でアンチウィルスの監視をしている場合は、おかしなファイルがNASに転送されることはまずないでしょう。
お礼
再度の回答ありがとうございます。 今日、Buffaloのカタログを見ていて、 どうも、リンクステーションの設定次第で、 webを介してのアクセスができるようで、 直接外部とやりとりするのではなさそうです。 ユーザー管理も既存のWindowsServerなどの登録情報が そのまま使えるとの記載もあり、 NASその物にはあまりプログラム的な物はなさそうでした。 しかし、逆に言えば、言われるとおり、クライアントに 十分な対策が取られていなければファイルとしてウイルスを 保存してしまう危険はどうしてもあるようです。 結局、ウイルス対策のない、オンラインストレージという 解釈が一番私的にはすっきりくるような気がしました。 どうもありがとうございました。
- wamos101
- ベストアンサー率25% (221/852)
当方、アングラ突入調査や対策ソフトなどのテストをしております。 ネットワークドライブと等価ですから同じですよ。ワームなんか気にしなくていいなんていうのは間違いですね。 LAN内といえどもNASにアクセスできるPCがあるということは、そのPC経由でMalwareを送ってしまう可能性は当然あります。
お礼
やはりそうですよね。 でも、皆さんの回答から、ウイルス対策などはソフト的には 無理だと言うことが分かってきました。 こうやって考えると、やはりちゃんとServerOSで きっちりとsecurityを固めたファイルサーバを たてた方が無難ですよね。 ご回答ありがとうございました。
- Hoyat
- ベストアンサー率52% (4897/9300)
#1です。 ワームなんか気にしないでいいです。 「NASの設置場所はLAN内ですから「そんな使用法はしない」という前提で作られています。」と先に書いたように「外部公開を前提にしていないので」NASは同一LANからのアクセスしかできない様になっています。ワームが入る余地なんてないです(LANユーザーがPCの遠隔操作できるポートを開放していないことが前提ですよ)。
お礼
具体的な製品名が出てきませんが、 ある雑誌の広告で、ネットを介して外部からもアクセスできる NASがあるような物を見ました。 もしかしたらこういう物はNASとは言わないのかも知れませんが、 取りあえず、今回挙げたリンクステーションのような製品では ウイルス対策は不可能だと言うことは分かってきました。 ご回答ありがとうございました。
>常時回線接続による、ワームなどの侵入も心配がないのでしょうか? NASは外部に公開する必要が無いので、ルータのポートフィルタでNASが使っているポートを遮断しておく。 外部からPCに接続できそうなポートがあればルータのポートフィルタで遮断しておく。 のが、最低限必要なことです。 PC踏み台でNASアタックの対策までPCとNAS間の接続ポリシーまで悩んでいると、PCとNAS間の通信が出来なくなってしまうでしょうからAS ISというとですが、PCでは悪意のあるコードに関して監視されているはずですから、たぶん起こらない想定できるのではないでしょうか。
お礼
色々な情報があり、混乱しています。 私の説明不足でしたが、最近のNASは、ネットを介して 外部からもアクセスできる物もあるとか聞いています。 もう少し、NASの仕組みから調べないとだめなような気がしてきました。 ポートの件は参考にさせて頂きます。 ご回答ありがとうございました。
- 1
- 2
お礼
本当に何度もすみません。 PC・・・確かに、言われればクライアントですね。 規模や、事情などは訳あって詳しくはかけない所が苦しいのですが LAN内のPCは約150台ほど。 自分のいる場所は10台弱。 ですので、まあ価格と労力などを検討すると、どういう方法がベストか もう一度考えてみます。 とにかく、一般企業では考えられないような常識のない場所。 ということでご勘弁ください。 取りあえず、初期の質問であったNASについては だいたい分かってきましたので、お礼申し上げます。 どうもありがとうございました。