サーバーを公開していない場合

いわゆるセキュリティー・ホールというものに対する認識を誤っている人が多いので、自戒の念も込めてお話させてください。 MS関連のセキュリティー・ホール（重大な欠陥）が発見されたのは、何も今回に限ったことではありません。（参考URLにイヤになるほどの一覧があります。） これらのバグ（脆弱性）は、「ファイアーウォール（含ルータのフィルタリング機能）」や「IDS」などの仕組みでは基本的に防ぐことが出来ません。 これらのセキュリティー対策（仕組み）が施されているのは当然の前提として、それでも防ぐことが出来ないから”セキュリティーホール→セキュリティーの抜け穴”と呼ばれているわけです。 セキュリティーホールは、例えばIEやIISなどプログラムの欠陥をつくものですが、攻撃（含受動攻撃）はあくまで”正しい通信に見える方法”で行われます。 例えばWebブラウジング（HTTP通信）など、”正規”の通信方法を使って送り込まれるコードや仕掛けをプログラムが誤って解釈し誤動作を起こすわけです。 ですから、この場合プログラム自体を修正せずにこれを防ぐには、HTTPを利用しない（事実上インターネットを利用しない）しか方法が無いわけです。 これはあくまで基本的な考え方で、紹介されているような個別の対処法がある場合もあるでしょう。 しかし根本的な解決を行うためには、修正パッチを適用するしかありません。（対策法が無いから”緊急の”修正パッチでプログラムの欠陥を直すしかないわけです。） 「修正パッチは他の不具合の原因になるから、暫らく様子をみてから適用する。」というシステム管理者の方もいらっしゃいますが、こうした場合はIDSやファイアーウォール（パーソナル・ファイアーウォールでも可）など、万一脆弱性を突かれた場合でも挙動不審なトラフィックを監視しているから出来ることです。 しかし、現実的には社内全てのマシンに最新の修正パッチを適用し続けるのは結構手間がかかるものでしょう。 そのため私が＃5で紹介させていただいた「PC+ソフトウェアを利用したゲートウェイ」などで、万一クライアントの一台がワームやトロイの木馬に感染した際にも二次被害を防ぐ対策を行っておくべきだと思います。 もちろん、この他にも方法があるでしょうし、ゲートウェイには最新の修正パッチを適用しておかなければ効果半減ですが…。 対策や認識不足による実害を受けた（与えた）会社の方は大抵、「安全だと思っていた。」とおっしゃいます。 上記の様な認識を社員全員が持てるようになるのが理想ですね。 掲示板システムでの長文で、すみません。 それでは。

> ルータのパケットフィルタリングが設定してあれば防げるものでしょうか？ MS-RPCのバッファオーバーランのことかな？ あまり記事は読んでないので外しているかもしれませんが・・・ MS-RPCは通常はルーターなどで閉じられているポートなので外からの攻撃には耐えられるでしょう。 でも、ルーター内部のPCから攻撃されたら耐えられないですよ。 ウィルスに感染したり、悪意あるサイトのスクリプトを実行してしまったPCからの攻撃には。 > パソコンでアップデートをしていなかった場合、今回はどのようなセキュリティをかければ、防げますでしょうか？ 各PCにファイアウォールをインストールして、各PCがそれぞれポートを閉じれば大丈夫かな？ でも使い勝手を考えるとアップデートするのが近道ですよ。

法人（公人）であれば、「間接的加害者」になる可能性を排除する義務があると思います。（あまり好きな言葉ではありませんが、”常識”ではないでしょうか。） 現状のコーポレート・セキュリティー（含ネットワーク・セキュリティー）に関する意識は「自社に対する危害を防ぐこと」しか考慮していないことが多いのではないでしょうか。 間接的加害者になりうる具体的なケースは識者の方々の書き込みの通りですが、最低限、通信内容を記録・保全しておける体制をとるべきです。（社員の通信全てを監視するという意味ではなく、あくまでセキュリティー関連のログ保全という意味です。） この目的を達成するためには、本格的なファイアー・ウォールやIDSを設置・管理する必要はなく、「専用プロキシ（PC）」＋「パーソナル・ファイアーウォール（NISなどのソフトウェア）」といった運用方法でも可能でしょう。 もちろん最低限の管理業務は発生するでしょうが、「ウィルスをバラ撒いたり、個人情報を漏洩してしまった場合の後始末」にかかる手間とリスクを考えれば、十分コストをかける価値があると思います。 ちょっと、講釈口調ですみません。 それでは。

不要なポートを閉じ、外→中へのIPを固定しない。 というのは外からの侵入を防ぐという点ではそれなりに強力です。 もっと上のセキュリティもありますがとりあえずは十分かと。 企業レベルとなると外からの侵入だけではなく、中からの漏洩も考慮する必要があると思いますよ。 ウィルスやセキュリティホールなどによる意図しない漏洩はもちろんですが、 企業となると「意図した漏洩」がないともいえませんので。←ここが個人レベルと違うところ 外からと中からのセキュリティをバランスよく保つのが重要かと。

セキュリティ分野では、誤解や嘘も多いのでそれを切り分けることからして大変です... 悲観者は、いろんな可能性を唱えますし、楽観者は取られるものがないと開き直る.... セキュリティに100%はないので、どんな形態であれ、多少なりともリスクはあります。問題は、どの程度のリスクが存在し、どのレベルを許容するかなのです。 極端にいえば、正しく設定すればファイアウォールがなくても安全にできます。数千万円のファイアウォールを入れても設定や運用が誤っていれば、全く安全ではありません。 結論として、ご自身の要求するセキュリティレベルを満たしているかどうかは監査をしないと判りません。ですが、ちゃんと設定すれば安全にできる可能性は十分にありますよ。ただもう少し環境が判らないと一般論としてのアドバイスは困難ですね。 それと何より大切なのは、何を何から守るかというポリシーです。目標がないとどうしようもありませんので。

サーバの公開にかかわらず、インターネットに接続できるなら、ファイアーウォールは必須です。 個人なら、何もしなくてもいいでしょうが、企業ならセキュリティをかけてあたりまえです。 クライアントPCが外部に出た時にウィルスを持ち帰り、LAN上のPCやサーバに感染し、破壊活動や情報の漏洩を行うことが可能です。 IPマスカレードはポートスキャン等の攻撃には有効でしょう。（閉じてれば）それだけです。 内部に侵入する方法はいっぱいあります。今日もWindowsの欠陥が報道されたばかりです。（10日にもありましたね）

たとえば、そのサーバから外部に対してブラウザで接続したさいに、ブラウザのセキュリティーホールをついて、そのPCにプログラムを仕込みます。 そのプログラムとは、そのサーバの側から外部の遠隔操作ソフトに接続しに行くものです。 そのようにすれば、侵入が可能になります。 あるいは、内部の人間が上述のようなソフトをインストールすることによって、退職後などに遠隔操作して業務にダメージを与えたり、情報を得たりすることが可能になります。ハッキング被害の多くは内部の人間の仕業です。 重要なサーバであるならば、外部への接続もできないようにしておくべきです。 さらに、そのサーバを直接操作できる人間は極力少なくするようにしておきましょう。 また、操作できる人間に対しても、必要最小限の権限のみ与えるようにしましょう。 また、定期的にパッチを適用して、既知のセキュリティホールはすべてつぶしておく必要があります。