-
Be the first to like this
Upcoming SlideShare
OSS利用時のセキュリティ 基本のキ
- 1. Copyright Red Hat K.K. All rights reserved. 1 OSS利用時のセキュリティ 基本のキ Kazuo Moriwaka Red Hat K.K. Solution Architect 2016-06-10
- 2. Copyright Red Hat K.K. All rights reserved. 2 このスライドの目的 ● 対象: OSSを利用するまたは既に利用しているが、 セキュリティについてそれほど詳しくない方 ● 目的: – 基本的なセキュリティ対策である「既知の問題の修正 を反映する」「既知の脆弱な設定の確認をおこなう」 の必要性を伝え、注意するべきポイントを示す – Red Hat Enterprise Linux(RHEL)での関連情報を伝える
- 3. Copyright Red Hat K.K. All rights reserved. 3 agenda ● 「セキュリティ上の問題」って何? ● ソフトウェアはメンテナンスが重要 ● OSSのセキュリティの基本 – ソフトウェア選定 – 更新情報を把握 – ソフトウェア更新をシステムへ反映 – 適切な設定を徹底
- 4. Copyright Red Hat K.K. All rights reserved. 4 「セキュリティ上の問題」って何? ● 「本来できてはいけないことができてしまう」問題 – 見えるべきでない情報が見える – 管理の権限がないシステムを停止させられる – 許可していないのに他ユーザに影響を与える – 他のユーザになりすませる – などなど ● 「ソフトウェアのセキュリティ上の問題」では、 ソフトウェアの問題により本来できてはいけないことが できてしまう – ソフトウェア以外にもハードウェアや運用の問題も セキュリティ上の問題になります ● 被害を受けるだけでなく加害者になってしまう危険性
- 5. Copyright Red Hat K.K. All rights reserved. 5 ソフトウェアはメンテナンスが命 ● ソフトウェアはメンテナンスが非常に大事です – メンテナンスでは以下を繰り返します ● 問題の発現・発見 ● 発見した問題を追跡調査 ● 修正 ● メンテナンスされないソフトウェアはどうなる? – 問題の発現・発見はされ続ける – 勝手に直ったりはしません → 既知の問題が継続的に増えていきます → セキュリティ上の既知の問題も増えていきます – どんどん腐っていく「ゾンビ」のようなもの
- 6. Copyright Red Hat K.K. All rights reserved. 6 OSS利用時のセキュリティ 「セキュリティが大事」というときに何を気にす る必要があるか? ● ソフトウェア選定 →メンテナンスされているソフトウェアを選ぶ ● 更新情報を把握 →ソフトウェア提供元の更新情報を把握する ● ソフトウェア更新をシステムへ反映 →迅速に各システムを更新する ● 適切な設定を徹底 →設定上の問題もセキュリティ上の問題になる
- 7. Copyright Red Hat K.K. All rights reserved. 7 ソフトウェア選定 ● メンテナンスされないソフトウェアは利用しない – 利用期間がサポート期間に含まれることを確認する – 場合によっては運用中のバージョン変更を計画に折り込む ● メンテナンスされるものを調達する – メンテナンスを提供している企業(Red Hatなど)と契約 ● 「問いあわせ対応」ではなく「修正の開発・提供」ができる企業を選ぶ – コミュニティの状況をチェックする ● 「最新版」であっても数年放置されているような、コミュニティが機能していない ケースもある ● 場合によってはコミュニティを維持するため自社エンジニアを投入する ● RHELでは: – 10年間のライフサイクルと更新ポリシーを公開 – コミュニティでのメンテナンスが終了してもサポート期間中は維持 – 各ソフトウェアにメンテナンス担当エンジニアやグループを割り当て – セキュリティ対策については別途専門のチームを編成
- 8. Copyright Red Hat K.K. All rights reserved. 8 更新情報を把握 ● ソフトウェア提供元が提供する更新情報を把握する ● 企業や各コミュニティでの更新情報を確認 ● 一般的なソフトウェアのセキュリティ情報については以下に日 本とアメリカでの包括的なリストがある – JVN: http://jvndb.jvn.jp/ – NVD: https://nvd.nist.gov/ ● 自分のシステムに影響する更新を把握する ● RHELでは: – 更新情報をカスタマーポータルからメール通知 ● 製品・脆弱性から更新情報を検索も可 – 1台ならyum security pluginでシステムに適用可能な更新を一覧 – 複数台ならRed Hat Satelliteでまとめて確認 – 重要な問題についてはRed Hat Insightsのレポートにも表示
- 9. Copyright Red Hat K.K. All rights reserved. 9 ソフトウェア更新をシステムへ反映 ● 元のソフトウェアが更新されていても自分のシステムに古い版 が入っていては意味がない – 定期的なソフトウェア更新作業を折り込んだ設計にする ● 特にセキュリティ問題については迅速な反映が求められます – 既知のセキュリティ問題を利用した攻撃ツールが流通している – 新しいセキュリティ問題に対応した攻撃ツールが次々に開発される ● RHELでは: – yum によるアップデート ● コマンド一回でシステムの全パッケージを更新する ● 指定したパッケージだけを更新する ● 依存関係管理により組み合わせが破綻することによる障害を予防 – Red Hat Satelliteによるアップデート ● 多数のRHELを一括して更新 ● テスト環境で実施した更新と同じ更新内容を本番環境へ反映 ● 一部電源ofなど通信不可であっても起動時に更新を実行して更新漏れを防ぐ
- 10. Copyright Red Hat K.K. All rights reserved. 10 適切な設定を徹底 ● 設定上の問題もセキュリティ上の問題になります – 適切な設定を徹底することが重要 ● 設定を決める人へのトレーニング ● 設定を集中管理して自動化することで人的ミスを防ぐ – 手順書の解釈違いなどの人的ミスを予防、変更履歴管理 ● 設定がポリシーに沿っているかのチェック – 組織のポリシーと設定が整合していることを確認 ● RHELでは: – 設定の自動化: ● Red Hat Satellite同梱のPuppetによる設定管理 ● Ansible Tower同梱のAnsibleでの自動化 – 設定のチェック: ● OpenSCAPによる設定のチェック ● Red Hat Insightsで脆弱な設定を警告
- 11. Copyright Red Hat K.K. All rights reserved. 11 まとめ OSSを利用する時の基本的な注意点 ● ソフトウェア選定 →メンテナンスされているソフトウェアを選ぶ ● 更新情報を把握 →ソフトウェア提供元の更新情報を把握する ● ソフトウェア更新をシステムへ反映 →迅速に各システムを更新する ● 適切な設定を徹底 →設定上の問題もセキュリティ上の問題になる
Be the first to comment