Technical White Paper - 富士通

Technical White Paper
安全・安心システム構築
富士通のネットワークサーバ IPCOM(アイピーコム)による安全・
安心システム構築について解説します。
安全で高速なインターネットサービスのシステムの検討に、ぜひご活
用下さい。
IPCOM
ネットワークサーバ
Copyright ©2007 Fujitsu Ltd. All Rights Reserved.
アイピーコム
IPCOM
ネットワークサーバ アイピーコム
目次
1.はじめに......................................................................................................................................... 1
2.イントラネット内は安全?............................................................................................................. 2
3.イントラネット内で想定される脅威............................................................................................. 4
4.イントラネット内のセキュリティ対策......................................................................................... 6
5.セキュリティ対策を効率的に行うために...................................................................................... 8
6.IPCOM EX IN シリーズの適用......................................................................................................... 9
付録:IPCOM EX IN シリーズの特長..................................................................................................... 10
Technical White Paper
IPCOM
ネットワークサーバ アイピーコム
多くの企業においてインターネット/イントラネットを使って業務を行うこ
とが当たり前となっています。インターネットやイントラネットの活用により
業務の効率化が実現できる反面、近年では、攻撃によるサービスの停止や、情
はじめに
1.はじめに
報漏洩といった問題が取りざたされております。特に、イントラネットに対し
ては、セキュリティの必要性が認識されておらず、その危険性が指摘されてお
ります。
本書では、社内向けサーバを対象とし、サーバシステムを運用する際のリス
クとそのセキュリティ対策について説明します。また、社内向けサーバフロン
トで必要な機能を、All-in-one で実現する「IPCOM EX IN シリーズ」について
もご紹介します。
1
Technical White Paper
IPCOM
ネットワークサーバ アイピーコム
■セキュリティインシデントの発生箇所
JSOC(注 1)の調査によると、2005 年度の Critical( 攻撃が成功した可能性
が著しく高い状況 ) 以上のセキュリティイベントの発生箇所の調査結果で
は、
インターネットで発生したセキュリティイベント数の 3 倍以上の件数が、
イントラネット内で発生しています。
これは、イントラネット内でボットやワームに感染した PC からの攻撃によ
る影響が大きいようです。ボットやワームの危険性は、多くのメディアで指
摘されているにも関わらず、2006 年度もなくなることなく続いています。
(注 1)JSOC:Japan Security Operation Center。株式会社 LAC が運用
2005 年度セキュリティイベント発生箇所
するセキュリティ監視センター
イントラネット内は安全?
2.イントラネット内は安全?
インターネット
イントラネット
23%
77%
出典元:株式会社ラック JSOC 侵入傾向分析レポート vol.6
図 1. 2005 年度セキュリティイベント発生箇所
2
Technical White Paper
IPCOM
ネットワークサーバ アイピーコム
警察庁生活安全局情報技術犯罪対策課の調査では、インターネットからの不
正アクセスに対して、ファイアーウォール (FW) 導入 ( 約 9 割 ) を筆頭に何
らかの対策をしている人がほとんどです。
これに対し、イントラネット内では、重要システムであっても FW の導入率
が 3 割強とインターネットからの攻撃に対する FW の導入率に比べて低いと
FW の導入率
いう結果が出ています。
外部向け 88.7%
重要システム
イントラネット内は安全?
■イントラネット内のセキュリティ対応状況
( 社内 ) 向け
34.4%
0
50
100 [%]
出典元:警察庁生活安全局情報技術犯罪対策課
図 2. FW や IPS の導入率
3
Technical White Paper
IPCOM
ネットワークサーバ アイピーコム
前述のように、イントラネット内においてもセキュリティイベントが多く発
生するにも関わらず、セキュリティ対策が万全ではないため、イントラネット
内は想像しているより危険が潜んでいることがわかったかと思います。
では、実際にどのような危険があるのか、社内向けサーバセグメントにおいて
考えられる脅威について以下に示します。
イントラネット内で想定される脅威
3.イントラネット内で想定される脅威
4
Technical White Paper
IPCOM
ネットワークサーバ アイピーコム
1. モバイル PC 持込などによる感染 PC からのウイルス・ワームの拡散想定さ
れる被害
・ウイルス・ワームの拡散動作に伴う、ネットワークの性能低下
イントラネット内で想定される脅威
図 3. イントラネット内で想定される脅威
・感染動作によるトラフィックが増加し、本来必要な通信が出来なくなっ
てしまう。
・サーバセグメント内の各サーバへの 2 次感染
・感染したサーバの負荷が増加し、処理性能低下またはサービス停止が
発生する。
・ウイルス・ワームの種類によっては、サーバ内に保存してある機密情
報が漏えいしてしまう。
2. 不正アクセス(サーバに対する “ いたずら ” や侵入)
■想定される被害
・業務サーバの停止
・不正なデータ入力による Web アプリの停止や意図的なサービス妨害
を起こす。
・機密情報の漏えい・データの改竄
・サーバの権限を乗っ取り、更に重要なシステムへ侵入し、情報を盗み
出す。
・保存されている情報を改竄し、利用できなくする。
3. 通常の運用やオペミス / 設定ミスによる擬似攻撃
■想定される被害
・アクセス集中による突発的な負荷による、サーバの性能低下・サービスの
停止
・SW の設定ミス ( ミラーポートの設定など ) により、ループが発生し、
ネットワークやサーバの性能低下やサービス停止が起こる。
Technical White Paper
5
IPCOM
ネットワークサーバ アイピーコム
被害を発生させないようにする直接的な対応としては、アンチウイルスソフ
トの導入や、アクセス制限の設定、FW、IPS/IDP の導入等が考えられます。
・FW の導入に関しては、セグメントの境界毎に導入することを推奨します。
万が一ワームやボットに感染した場合でも、その感染したセグメント内に
被害範囲を押さえ込むことができます(感染拡大や二次被害の防止)。
・ログ管理は、直接的な対応ではないものの、被害が発生した場合に分析す
ることにより、問題点の洗い出しや攻撃者の特定が出来、被害発生時の対
応を早くしたり、悪意のある攻撃者への心理的な圧力となって抑止効果と
して働くといったことがあります。
イントラネット内のセキュリティ対策
4.イントラネット内のセキュリティ対策
6
Technical White Paper
IPCOM
ネットワークサーバ アイピーコム
1. ウイルス・ワームへの対策
・サーバやクライアント PC へアンチウイルスソフトを導入し、感染を
防ぐ。
(a)
・アンチウイルス・アンチスパムゲートウェイを導入し、特定セグメントへ
イントラネット内のセキュリティ対策
図 4. イントラネット内のセキュリティ
の侵入を防ぐ。(b)
・検疫システムを導入することで、感染の可能性の高い PC を排除し、感染
の危険を下げる。(c)
・セグメントの境界に FW を設置し、感染被害を最小限に抑える。(e)
2. 不正アクセス(サーバに対する “ いたずら ” や侵入)への対策
・許可されたネットワーク・端末からしかアクセス出来ないように、アクセ
ス制限をかける。(d)
・FW や IPS/IDP 機器を導入し、不要な通信を遮断する。(e)
・サーバまたはネットワーク機器でサーバへの操作のログを取得し、問題発
生時に備える。( ネットワークフォレンジックなども含む。(f)
※事後の対応向けだが、アクセスした人を突き止められることから
抑止効果が期待できる。
3. オペミスや設定ミスへの対策
・サーバでのコネクション制限を設定し、処理性能を越えるアクセスがあっ
てもサービスを継続。(g)
・FW や IPS/IDP 機器の導入による、擬似的な攻撃への対応。(e)
・セグメント毎に FW を設置し、攻撃の影響範囲を最小限に抑える。(e)
7
Technical White Paper
IPCOM
ネットワークサーバ アイピーコム
セキュリティを強固にするためには、それぞれの箇所で対策を行う必要があ
ります。しかし、あまりにも多岐に渡るため、これらを正しく管理・運用して
いくためには、大変な労力がかかります。また、セキュリティ対策をあちこち
に分散させると、各機能の親和性、整合性が完全にはとれず、必ずどこかに穴
が空いてしまうものです。
そこで、同じ箇所に置かれる装置や求められるセキュリティ強度に応じて、
別の場所で代替可能な機能を一箇所に集めて、効率的にセキュリティ対策を行
うことが考えられます。1 つの装置で機能を集約することで、機能の親和性、
整合性の確認漏れ等に起因する穴をなくすことができます。
UTM(Unified Threat Management) アプライアンスは、FW を軸として IPS/
IDP やアンチウイルス機能、Web コンテンツフィルタリング機能などが統合
された装置で、このような機器を使うことで、個々の機器をさまざまな箇所に
設置するよりもセキュリティ強度が高まり、導入・管理を簡単に行うことが出
来ます。
また、業務サーバ等アプリケーションを提供するサーバでは、OS にセキュ
リティホールが見つかったとしても、パッチを適用するとアプリケーションが
動作しない可能性もあるため、きちんと検証が済むまで、セキュリティホール
を塞ぐことが出来ないことがあります。こういう場合にも、サーバの前でセキュ
リティホールを突いた攻撃が出来ないように FW などを設置することで、シス
セキュリティ対策を効率的に行うために
5.セキュリティ対策を効率的に行うために
テム全体として、セキュリティを確保することもできます。
8
Technical White Paper
IPCOM
ネットワークサーバ アイピーコム
サーバ前でセキュリティを確保することは、堅牢なシステムを構築する上で
のポイントとなります。 サーバの前でセキュリティを確保する場合、サーバ
負荷分散装置の前に FW やアンチウイルス、IPS/IDP などのセキュリティ専用
装置を設置します。 専用装置を組合せてのシステムは、親和性、整合性の確保、
また二重化システムの設計・構築などが非常に困難となります。 IPCOM EX IN
シリーズは、サーバを集約する負荷分散装置に UTM を搭載しており、サーバ
前のセキュリティ確保に最適な装置です。サーバ負荷分散装置には、データ通
信が集約されるため、サーバに対して漏れなくセキュリティを確保できます。
例えば、昨今の情報漏えい対策などで、サーバを一箇所に集めて管理するこ
とがありますが、サーバを集めることで、サーバセグメント内でサーバ間の通
信が発生します。UTM 装置とサーバ負荷分散装置を個別に置く場合、サーバ
間の通信に対してもセキュリティを確保するとなると、サーバ負荷分散装置
とサーバの間にも UTM を置かなければなりません。 ですが、統合装置である
IPCOM EX IN シリーズの適用
6.IPCOM EX IN シリーズの適用
IPCOM EX IN シリーズであれば、下図のように、全ての機能を 1 台で実現する
ことが出来ます。
図 5. IPCOM EX IN シリーズの適用
Technical White Paper
9
IPCOM
ネットワークサーバ アイピーコム
■ UTM 型ロードバランサーでサーバのセキュリティを一括確保
サーバ負荷分散機能、SSL アクセラレーター機能等のネットワーク機能に加
え、FW/IPS 機能、アンチウイルス機能等のセキュリティ機能(UTM) を 1
台で提供。
データ通信が集約されるサーバ前で漏れなくセキュリティ対策を実施しま
す。
■簡単運用
複数の機能を 1 台に統合することで監視対象装置が減るため監視が簡単に
なります。加えて、ログ形式が統一されていることから、複数の機能を横断
した事象確認が行え、ネットワークトラブル発生時の切り分けも簡単に行え、
早期解決に繋がります。
また、サーバの保守や障害対応を行う場合に、サービスを止めることなく保
守や障害対応を行うことが出来るため、安心してサーバの運用が行えます。
付録:IPCOM EX IN シリーズの特長
付録: IPCOM EX IN シリーズ特長
図 6. IPCOM EX の特長
10
Technical White Paper
IPCOM
ネットワークサーバ アイピーコム
UTM 機能や SSL-VPN 機能などのオプションを用意。機器追加を行うことな
く、ライセンスの登録を行うことで機能アップが可能です。
例えば UTM 機能によって、お客様がサーバにアップロードするファイルの
ウイルスチェックを行ったり、SSL-VPN を使用して、自宅からサーバの
メンテナンス作業を行うことが出来ます。
表 1. IPCOM EX IN シリーズ適用の効果
効果例
従来
IPCOM EX IN シリーズ適用
高信頼システム設計 ソフト/機器間の相性、構築技術など、IPCOM が装置として保証
設置
高度なノウハウ/調査時間が必要
装置設置、装置間のケーブル接続等の設 1BOX として提供
導入
計、作業が必要
各 装 置 毎 に 設 計、 各 装 置 の ツ ー ル / テンプレートによる一括設定
運用
保守
ビューによる導入作業
装置毎の管理/運用
IPCOM1 台で管理/運用
サポート先がまちまちであり、トラブル サポート先が一箇所であり、調査/切
調査に時間がかかる
り分けがスムーズ
付録:IPCOM EX IN シリーズの特長
■様々な機能追加オプションを用意
11
Technical White Paper
IPCOM
ネットワークサーバ アイピーコム
IPCOM 製品情報 http://primeserver.fujitsu.com/ipcom/
富士通 IPCOM EX シリーズのラインナップ
富士通 IPCOM EX シリーズのラインナップ
12
Technical White Paper
IPCOM
ネットワークサーバ アイピーコム
安全・安心システム構築
富士通株式会社
2007 年 11 月 初版
SFP-B0304-08-01
Copyright © 2007 Fujitsu Ltd. All Rights Reserved.
Technical White Paper