3.2.4 セキュリティ方針の決定

セキュアなサーバー構築を行なう上で、最も重要になるのがフェイルセーフ(fail-safe)の考え方である。フェイルセーフの考え方とは、仮にサーバーで異常が発生した場合でも、その異常を最小限にとどめ、二次災害を発生させないように設計するものである。

本モデルにおいて、フェイルセーフを実施するには、次のようなセキュリティ対策のアプローチが含まれていることが必要になる。

1) 1サーバー、1サービス

1台のサーバーで提供するサービスは、原則ひとつとする。もし、複数のサービスを提供しているサーバーに侵入されてしまうと、複数のサービスで異常を誘発する危険性がある。例えば、Webサービスを提供しているサーバーで、DNSやMailサービスを提供していなければ、Webサーバーが侵入されたとしても、この侵入によりDNSやMailサービスには危害が及ばない。

また、1台のサーバーで複数のサービスを提供している場合、ひとつのサービスを提供しているよりもサーバーの構成が複雑になるため、人為的またはシステム的に脆弱性を誘発する可能性が高くなり、侵入の被害を受けやすくなってしまう。

2) All Denialの方針

これは、何もない(All Denial)状態から必要なもののみを加えるという考え方で、セキュアなインストールや設定、構築に関連するものである。例えば、パケットフィルタリングの設定を実施するときは、まず全てのパケット通過を拒否し、その後、必要な通信のみを許可するというアプローチである。また、逆の考え方として、全てのパケット通過を許可し、その後不必要な通信を拒否するようなものがあるが、このアプローチは設定漏れが発生する危険性があるので避けるべきである。

3) 複合的なセキュリティ対策

セキュリティ対策を実施する場合、ひとつの対策技術を過信するのではなく、複数の対策技術を用いて対策を行う。これは、仮にひとつの対策が破られたとしても、他の対策により情報の安全を保つことを目的としている。例えば、ファイアウォールによるアクセス制御機能の導入やセキュアな設定の実施、通信の暗号化、パッチの適用などによる複数のセキュリティ対策を実施することで、フェイルセーフを実現する。このようなセキュリティ対策のアプローチを、レイヤー防御と呼び、城が城壁や堀、土塁などを利用して防御を重層化したアプローチと同じ考え方である。

4) 本モデルのサーバー構築と運用方針

本モデルでは、上記のセキュリティ方針にしたがい、Fig. 3.2に示すようなサーバー郡のセキュア化とセキュアサーバーの運用を目的とする。

ア) 対象サーバーとサービスの構成

Fig. 3.2のそれぞれのサーバーでは、「1) 1サーバー、1サービス」のセキュリティ方針に基づき、各マシンに対象となるソフトウェア(「2.2.1 本モデルのソフトウェア構成 」参照)をインストールし、必要最低限のサーバーサービスのみを提供する(ただし、暗号化通信やアクセス制御機能を提供するサービスは対象外である)。また、各サーバーにインストールするソフトウェアとインストール環境の関係をTable 3.1に示す。

各OSやサービスのセキュア化と運用方針に関しては、「4. Solarisのセキュア化」、「5. Windows 2000 Serverのセキュア化」で解説する。

Fig. 3.2 本モデルの対象サーバー

Table 3.1 サーバーとソフトウェアの構成

イ) 各サーバーのアクセス制御

対象システムの環境や運用方針により導入するアクセス制御機能は異なるが、本モデルでは、複合的なセキュリティ対策の一環として、Table 3.2に示したアクセス制御機能を導入する(注1) 。また、本モデルでは、Fire Wallが設置され、適切なアクセス制御が実施されていることを前提とするが、Fire Wallによるアクセス制御の詳細に関しては対象外とする。

Table 3.2 サーバーとアクセス制御の構成

Copyright ©   2002 Information-technology Promotion Agency, Japan.  All rights  reserved.