Webサーバーの保護 - McAfee

Technology Blueprint
Webサーバーの保護
各Webサーバーのリスクに応じて攻撃対象領域を低減する
SECURITY CONNECTED
REFERENCE ARCHITECTURE
LEVEL
1
2
3
4
5
Security Connected
マカフィーのSecurity Connected
フレームワークは、複数の製品、
サービス、パートナーの統合を可能
にすることで、効率的かつ効果的に
一元的なリスク軽減を実現します。
20年以上の実績を持つセキュリティ
プラクティスを基盤に構築された
Security Connectedアプローチを
通じて、規模やセグメントを問わず、
すべての地域の組織がセキュリティ
体制を改善し、セキュリティを最適化
することでコスト効率を高め、戦略的
にセキュリティとビジネスイニシアチブ
を整合させることが可能になります。
Security Connectedリファレンス
アーキテクチャーは、構想から実装
までの具体的な手法を提供します。
このアーキテクチャーを利用する
ことにより、Security Connectedの
概念をお客様独自のリスク、インフラ
ストラクチャー、ビジネス目標に適合
させることができます。マカフィーは、
常にお客様を保護する新しい方法
を見出すことに専心しています。
各 Web サーバーのリスクに応じて攻撃対象範囲を低減する
現状
良いニュースです。すべての企業が Web サーバーのセキュリティに敏感になっています。
悪いニュースです。 ソニー、 任天堂、 Amazon などの企業で攻撃が破壊的になってお
り、 ハッキング、 侵害、 ダウンタイムで高いコストが発生しています。 Sony PlayStation
Network (PSN) のハッキングでは、 最終的に、 ダウンタイムだけで推定 1 億 7500
万ドルのコストが発生しています。 パデュー大学コンピューターサイエンス学部の Gene
Spafford 教授は、 ソニーが 「パッチが適用されておらずファイアウォールがインス
トールされていない」 古いバージョンの Apache Web サーバーを実行していたことを
米国議会で証言しました 1。 この攻撃に先立って、 ソニーは、 別のハッカーとの非常に
注目された法廷闘争のために、 ハッカーグループ Anonymous から DoS 攻撃を受け
ました。 また、 PSN がハッカー攻撃にあいオフラインになった後で、 ハッカーグループ
LulzSec が単純な (LulzSec の話では) SQL インジェクションでソニーを侵害しました。
ソニーは、 今日 Web ハッカー攻撃を受けて評判を低下させた数多くの企業の 1 つに
過ぎません。
最も明白なことですが、 ハッカーを懸念しているのは Web サイトや Web サーバーの
管理者だけではありません。 予算が厳しい中、 多くの企業が HTTP フィンガープリント、
不正アクセス、 サービス拒否、 コードインジェクション攻撃などの Web サーバー固有
のリスクに対処するのに苦労しています。適切な対策を実施している組織はわずかです。
その上、 ソニーが実証したように、 構成ミスがあり、 パッチが適用されておらず、 安全
ではない Web サーバーのために、 毎日のようにデータ損失、 改ざん、 サービス停止
が発生しています。
課題
既存のWebサーバーインフラストラクチャーのリスク軽減に着手するには、そのインフラストラクチャーを
理解する必要があります。多くの組織では、目的と機能が異なるさまざまなタイプのWebサーバーを使用
しています。Webサーバーのリスクレベルを評価して、実行する必要がある緩和策を判断するためには、
次の要因を考慮する必要があります。
• インフラストラクチャー:
インフラストラクチャー 多くの組織では、ミッションクリティカルなアプリケーションをサポートする旧式の
Webサーバーを使用しています。これらの古いWebサーバーのほとんどは、セキュリティを考慮せずに
セットアップされています。その上、これらの古いシステムは現在サポート対象外となっており、悪用や
ダウンタイムが発生しやすくなっています。2つの理由から、実行しているOSとWebサーバーソフトウェア
のバージョンを把握しておくことが重要です。1つ目の理由は、パッチの適用です。たとえば、Apacheの
バージョンを把握していれば、容易にバグを追跡して適切なパッチを適用できます。同様に、2つ目の
理由はサポートです。ベンダーによってサポートされていないサーバーを実行する際に伴うリスクは、
アップグレードを実行するか緩和策を実装すれば対処できます。
ソニーの「古いバージョンのApache」を例に挙げます。ソニーには、アップグレードを実行するか、Web
アプリケーションのファイアウォールのような緩和策を導入するかの、少なくとも2つの選択肢がありま
した。アップグレードに時間がかかっている企業は、ソニーだけではありません。新しいOSに容易に移植
できない古いプラットフォームでWebアプリケーションが開発された場合、アップグレードには課題が
伴います。また、サポート対象外の古いWebサーバーを実行している多くの企業では、これらの古い
システムがオンラインに戻らない可能性を懸念し、アップグレードを実行したりパッチを適用するために
サーバーをオフラインにしたくないと考えています。
• 機能:
機能 Webサーバーの攻撃対象範囲は、過去10年間に拡大しています。ブログや、銀行アプリケー
ションや金融アプリケーションを提供するWebサーバーとは異なり、静的なページを提供するWebサー
バーでは、攻撃対象範囲はそれほど多くありません。インフラストラクチャー内に配置されている各Web
サーバーの目的を把握すると、第一に注意すべきリスクを適切に把握できます。たとえば、ある大学
2
Web サーバーの保護
で、すべての学部と、学生が受講できるすべての授業に関する情報を提供する、クラスカタログのWeb
サーバーを利用しているとします。ただし、このコンテンツは静的で、入力フィールドがないとします。
また、ローンの申し込み方法に関する情報が含まれた、学生ローンのWebサイトもあります。このサー
バーでは、入力が可能です。学生が入力するフォームがあり、学生のログオンページもあります。
クラスカタログのWebサーバーと学生ローンのWebサーバーの両方とも、一般のインターネットからアク
セスできます。ただし、それぞれ機能が異なるため、セキュリティの観点から、各サーバーを異なる方法で
処理する必要があります。この例では大学の2つのWebサーバーを比較していますが、ほぼすべての
企業や組織に同様なシナリオが存在します。企業の主要なWebサイトは機能が非常に限られているの
に対し、B2Bサーバーは大学の学生ローンWebサイトと同様にさまざまな機能を備えていることが考え
られます。Webサーバーの機能を把握すると、ビジネスや組織におけるWebサーバーの重大度を把握
して、各Webサーバーに適切な注意とセキュリティを判断できます。
ソリューション選定の要素
アーキテクチャーには、次のよう
な要素が影響します。
• 第三者 が W e b サ ーバー を
ホストしているかどうか
• 第三者 が W e bア プ リケ ー
ションをホストしているかどうか
• Webアプリケーションファイア
ウ ォ ール を 使 用 して い る か
どうか
• 脅威エージェント:
脅威エージェント Open Web Application Security Project(OWASP)は、「脅威エージェントは、
脅威を生じさせる可能性がある個人または集団を示すために使用されます。誰が企業の資産を悪用し
ようと考えているのか、また、これらの資産が企業に対してどのように使用されるのかを特定することが
非常に重要です」と述べています2。たとえば、脅威エージェントが誰または何なのかは、企業や組織に
よって異なり、Webサーバーのアクセスが行われる場所やアクセス方法によって異なります。米国政府
機関では、大規模小売チェーンとは異なる脅威エージェントに直面するでしょう。米国政府機関では、
国際的なテロ集団やAnonymousのようなハッカーグループについて考慮する必要があります。大規
模小売チェーンでは、PCIデータや顧客の個人情報を盗み出そうとする、組織犯罪やハッカーについて
考慮する必要があります。
また、脅威エージェントは、Webサーバーへのアクセスが一般のインターネットからなのかイントラネット
からなのかによっても異なります。大規模小売チェーンでは、従業員に人事データを提供するWebサー
バーを使用している場合があります。従業員は、ログオンすると、保険データと補償情報を表示できま
す。サーバーには、社会保障番号も保存されます。ただし、このサーバーは、会社の社内ネットワークで
のみアクセスできます。外部ハッカーについて議論することもできますが、このシナリオでは、脅威エー
ジェントは従業員です。
内部の脅威は、「意図しないまたは偶発的な」脅威と「意図的または不正な」脅威に分けることができ
ます。「意図しない」脅威エージェントとして、ディレクトリーのアクセス許可を排他的なグループからすべ
てのユーザーに知らずに変更したり、デフォルトのパスワードの変更を忘れてしまう管理者が挙げられま
す。本番システムではないWebサーバーで変更を行ったつもりで、本番システムのコードを変更した開発
者も、意図しない脅威エージェントの例として挙げられます。これとは対照的に、意図的な脅威エージェ
ントは、情報を入手したりシステムを停止させるために、故意にWebサーバーを攻撃します。この意図的
な脅威エージェントとして、解雇されたばかりの従業員や、個人の利益のために会社のデータや従業員
の個人情報を販売したいと考えている従業員などが考えられます。境界にはさまざまな防御とかなりの
注意が必要であるため、社内つまり従業員の脅威エージェントは見落とされてしまいがちです。
環境が変化したり、新しい脅威エージェントが生まれる可能性があります。そのため、これらの脅威
エージェントを常に特定できるようにしておく必要があります。脅威エージェントを把握するためには、
所属している組織の公的な活動を把握していることが重要です。ソニーはこのよい例です。ハッカー
GeoHotに対するソニーの訴訟がハッカーグループAnonymousの関心を引き、2011年4月4日に
ソニーのWebサイトでDoS攻撃が行われました。法務部門がある場合は、個人や他の企業、集団に対
して行う可能性がある訴訟について常に情報を提供するよう、法務部門に依頼します。
• 構成と保守:
構成と保守 多くのWebサーバーは、特に市販のOSやWebサーバーソフトウェアが使用されている
場合、アプリケーション、構成ファイル、スクリプト、Webページを含め、不要なデフォルトファイルやサン
プルファイルを使ってセットアップが行われています。コンテンツ管理機能やリモート管理機能などの
不要なサービスが付属しており、デフォルトで有効になっている場合もあります。また、デバッグ機能が
有効になっていたり、匿名ユーザーが管理機能にアクセスできるようになっている場合もあります。
Webサーバーを悪用したいと考える者に対して、これらの各設定は開かれたドアとなっています。
時間を割いてこれらの設定を無効にする際、注意が必要です。構成ミスのあるWebサーバーも、組織
にリスクをもたらします。「サーバーの構成ミス」は、OWASP Top 10の6位に3なっています。「構成ミス」
は、Webサーバーのライフサイクルでいつでも発生する可能性があります。セキュリティを最大限に考慮
して構成されたWebサーバーでも、適切に保守が行われないと、すぐに脆弱になってしまいます。
Web サーバーの保護
3
上記の要因についてWebサーバーを評価すると、どのWebサーバーに以下の攻撃や悪用が生じる
リスクがあるのか、把握するのに役立ちます。このインフラストラクチャー評価は、リスク軽減を重点的に
行う必要がある箇所を特定するのにも役立ちます。
Webサーバーの攻撃
次に、Webサーバーの一般的な攻撃と、上記の懸念がこれらの攻撃につながる可能性について説明
します。
• HTTPフィンガープリント:
HTTPフィンガープリント この攻撃は、攻撃者が既知の弱点を調べて再利用できるよう、Webサイト
またはWebアプリケーションが実行されているOSとWebサーバーソフトウェアのタイプとバージョンを
特定することを目的としています。たとえば、WebサーバーがIIS 7のWebサーバーであることが分かっ
た場合、攻撃者は、インターネットで既知の弱点を調べて、このWebサーバーに存在するそれらの脆弱
性をターゲットにします。Webサーバーのフィンガープリントを作成するのは、非常に簡単です。デフォ
ルトのランディングページ、エラーメッセージ、およびphp.iniなどの忘れられたテストページにフィンガー
プリントの情報が表示されるため、Webサイトにアクセスして参照するだけでフィンガープリントを作成で
きてしまいます。HTTPヘッダーのサーバーフィールドを参照するという、非常に基本的な方法も有効で
す。NetCatやnmapなどのほぼすべての無料のスキャンツールで、この方法が利用されています。
• 不正アクセス:
不正アクセス HTTPフィンガープリントから収集された情報を利用して、攻撃者は他の攻撃を計画し
ます。たとえば、テストページでphpinfoが有効になったままであるとします。攻撃者は、Linux(OS)、
Apache(Webサーバーソフトウェア)、MySQL、およびPHPで構成されたWebサーバーがサーバーで
実行されていることが分かると、デフォルトのユーザー名とログオンを使用してWebサーバーへの不正
アクセスを試みます。Webサーバーが備えているデフォルトのパスワードと「サンプル機能」を利用する
と、不正アクセスを容易に行えてしまいます。すべてのWebサーバーソフトウェアにデフォルトの資格情報
を使用しているWebサイトもあります。たとえば、Apache Tomcaのデフォルトの管理者ユーザー名と
パスワードは「adminとパスワードなし」であるか、「tomcatとtomcat」、または「rootとroot」です。
すべてのWebサーバーソフトウェアにデフォルトの資格情報を使用しているWebサイトがあります。
• Webサーバーは、IISSAMPLESディレクトリーにアクセスしてロックダウンや削除が行われていないサン
プルスクリプトにアクセスを試みて、攻撃者の好みに合わせて容易に使用できてしまう、サンプル機能も
備えています。さらに、セッション乗っ取り、ブルートフォース、不正なパスワード(パスワードの推測)、パス
ワード変更の悪用、ユーザー名とパスワードを忘れた場合の機能などの、WebサーバーやWebアプリ
ケーションに不正にアクセスする方法もあります。これらのタイプの攻撃の詳細については、OWASPの
Webサイト(www.owasp.org)を参照してください。
• サービス拒否(DoS):
サービス拒否(DoS) サービス拒否(DoS)攻撃では、攻撃者は、正当なユーザーがWebサーバー上
の情報やサービスにアクセスするのを妨げるよう試みるため、WebサーバーとWebアプリケーションで
長時間のダウンタイムが必要になる可能性があります。アノニマスによるソニーのDos攻撃では、地域に
応じて、ソニーのWebサイトが数週間から数ヶ月間利用できなくなり、収益損失につながりました4。
• コードインジェクション:
コードインジェクション 最も有名なコードインジェクション攻撃はSQLインジェクションですが、LDAPイン
ジェクション、OSコマンドインジェクション、XPathインジェクションなどのホスト全体のインジェクション
攻撃も存在します。OWASPでは、「インジェクション」を2010年のOWASP Top 10の1位としており、「イン
ジェクションフローは、アプリケーションがインタープリタに信頼できないデータを送信すると発生します。
インジェクションフローは特にレガシーコードで多く発生しており、SQLクエリ、LDAPクエリ、XPathクエリ、
OSコマンド、プログラムの引数などに見られることが多いです」と述べています5。
4
Web サーバーの保護
これらの各コードインジェクション攻撃については、本を書けてしまうほどです。ここでは、その中の2つ、
SQLインジェクションとOSコマンドインジェクションについて説明します。SQLインジェクション攻撃は、
Webサーバーとバックエンドのデータベース間のやり取りを悪用するよう試みます。多くのWebサイト
では、データベースを使用して情報を保存しています。SQLコマンドは、Webサーバーで提供されている
フロントエンドのWebアプリケーションからバックエンドのデータベースに渡されます。たとえば、顧客が
Webサーバー経由で企業から何かを購入しようとし、ウィジェットが必要なフォームに入力するとします。
数量、合計金額、顧客名などを入力する箇所があります。最後に、ユーザーが「送信」ボタンをクリック
してトランザクションを終了すると、データベースに対してSQLステートメントが実行されます。SQLインジェ
クション攻撃は、個人データを入手したり、別のユーザーがデータベースにアクセスするとそのユーザー
のコンピューターで実行されるコードを注入するなどの悪質な理由から、Webアプリケーションのフロー
を悪用して、バックエンドのデータベースでSQLステートメントとSQLコマンドを実行するよう試みます。
Webアプリケーションとデータベース間のやり取りと同様に、OSとWebサーバーソフトウェアも関連して
いる場合があります。開発者は、システムのディレクトリー構造や、ディレクトリーやファイルのコンテンツ
を入手するなどの、OSの機能を呼び出すコードを作成します。攻撃者がファイルを探しているときに、
システムのユーザー一覧を入手するようコマンド「cat/etc/passwd」を実行するのを阻止することはでき
ません。詳細については、OWASPのWebサイトwww.owasp.org/index.php/Main_Pageを参照し
てください。
インフラストラクチャー、機能、エージェントの目的、およびWebサーバーの構成と保守に応じて、上記の
攻撃の影響はサーバーごとに異なります。サーバーの構成と保守が適切に行われておらず、インフラストラ
クチャーが古いOSで構成されている場合、HTTPフィンガープリント攻撃によってWebサーバーがパッチ
未適用のIIS 5.0システムであることが明らかになり、インデックスサービスの既知の脆弱性であるバッファ
オーバーフロー(ワームCodeRedがこの脆弱性を悪用)がターゲットとなる可能性があります。不正アクセ
スとコードインジェクションでは、OS、Webサーバーソフトウェア、およびWebアプリケーションの構成ミスも
攻撃対象となります。
ただし、Webサーバーにバックエンドのデータベースを使用しておらず、一般に提供する情報に静的ページ
を使用している場合、これらの攻撃は関係なくなります。唯一懸念として残るのは、別のサーバーを攻撃
するなどの悪質な目的にWebサーバーを利用できるようにする「OSコマンドインジェクション」攻撃です。
このさまざまなリスク範囲は、インフラストラクチャー、機能、脅威エージェント、および構成と保守に関して
各Webサーバーを把握しておくことの重要性を示しています。
Web サーバーの保護
5
解決策
保護するためには、保護対象となるものを把握しておく必要があります。Webセキュリティソリューションで
は、各Webサーバーに適切な保護を評価して実装できる必要があります。ソリューションの管理では、分析
を容易に実行してこれらの資産のセキュリティを確保できるよう、Webサーバーの異なるデータすべてを
中央のコンソールに統合する必要があります。
• インフラストラクチャー:
インフラストラクチャー すべてのWebサーバーをスキャンして、最初にインフラストラクチャーを綿密に
計画する必要があります。スキャンは、OS、Webサーバーソフトウェア、およびWebアプリケーションを
含める場合と、Webサーバーインフラストラクチャーの特定の部分を対象にする場合があります。スキャ
ン時には、インフラストラクチャーの現在のリスクを評価できるよう、データを一元的に収集する必要が
あります。
これにより、OS、Webサーバーソフトウェア、Webアプリケーションの既存のバージョンおよび構成
情報に基づいて、セキュリティに関する詳細な意思決定を行うことができます。たとえば、新しいWeb
サーバーに、ディレクトリートラバーサル、コードインジェクション、サービス拒否(DoS)攻撃などの一般
的なWeb攻撃に対するプロアクティブな保護を導入する場合があります。非推奨のOSで未知のコード
を実行できないよう、サポート対象外の古いWebサーバーをロックダウンすることが必要になる場合が
あります。ただし、既知の適切なコードは実行できます。このプロセスの制限によって、パッチを適用でき
ない場合でもWebサーバーを保護できます。
• 機能:
機能 Webサーバーの的を絞った詳細なスキャンにより、各Webサーバーの機能を判断できます。この
スキャンでは、OSとその構成を超えて、Webアプリケーションとバックエンドのデータベース(存在する
場合)のみを対象とします。これにより、各Webサーバーの機能に応じて、Webアプリケーションを資産
と同じようにグループ化できます。一元管理コンソールの資産の説明に各Webサーバーの重大度を
追加すると、ビジネスクリティカルなWebサーバーに注意が必要かどうかを管理者が容易に把握できる
ようになります。各Webサーバー固有の機能に応じて、特定の保護と保護のレベルを導入します。
たとえば、アプリケーションファイアウォールで保護されていない場合は、重要なビジネスアプリケーショ
ンをホストするWebサーバーに、ディレクトリートラバーサル、コードインジェクション、サービス拒否(DoS)
攻撃などの一般的なWeb攻撃に対するローカルのセキュリティを導入できます。このセキュリティは、
ホスト侵入防止としてサーバー自体に追加できます。攻撃とデータ損失を防止するには、事前定義され
た保護ポリシーとルールを使用します。Webサーバーの機能にバックエンドのデータベースとのやり取
りが含まれている場合、攻撃(SQLインジェクションなど)を防止するようデータベースクエリを検証する
保護を実装し、正常な動作を確認してデータの改ざんを防止するポリシーとルールを導入します。
特に高いパフォーマンスを実現するよう構築された、柔軟性に優れたウイルス対策を実装すると、Web
トラフィックに常に対応できます。エンドユーザーがWebサーバー、データベース、または単に共有ディレ
クトリーにファイルをアップロードできる場合、感染ファイルや意図的にアップロードされたウイルスから
サーバーを保護するため、マルウェアが含まれていないかどうかこれらのアップロードをスキャンする
必要があります。
• 脅威エージェント:
脅威エージェント 脆弱性スキャンを使用して、脅威エージェントがどのような方法で企業のWeb資産を
悪用する可能性があるのかテストを行います。評価では、脅威エージェントの目的は明らかにはなりませ
んが、Webサーバーが悪用に脆弱であるかどうかを判断できます。コードインジェクトションやサービス
拒否攻撃を使用する意図的な脅威エージェントは、これらの一般的なWeb攻撃に対するプロアクティブ
な保護を備えたホスト侵入防止を導入すると軽減できます。未テストのパッチをインストールする従業員
などの意図的ではない脅威エージェントは、変更プロセスに対応していない変更と望ましくない変更を
ブロックすると軽減できます。
6
Web サーバーの保護
• 構成と保守:
構成と保守 新たに構築された各Webサーバーをスキャンして、構成ミスがないか確認する必要があり
ます。「ゴールドマスター」のテンプレートを使用すると、業界標準や企業の必要な強化プロセスに準拠し
ているかどうかを判定できます。Webサーバーを本番環境に展開したら、定期スキャンを継続的に実行
してWebサーバーを評価する必要があります。これらの自動保守のスキャンによって、構成ミス、パッチ
の適用ミス、脆弱性、およびWebサーバーやホスト型のWebアプリケーションの悪用を引き起こすもの
がないかテストします。
変更プロセスは信頼モデルに基づいて実装します。信頼できるエージェントのみがWebサーバーを変
更できるようにすると、制御を維持できます。変更は変更フレームワーク内でのみ行われるため、未承
認の変更や不明な変更のために脆弱性が生じたり、承認とテストが済んでいる準拠したバージョンから
イメージが逸脱するのを防ぐことができます。変更が承認済みで許可済みである場合でも、未承認で禁
止されている場合でも、深刻なダウンタイムに発展するエラーが発生する可能性を最小限に抑えるよう、
これらの処理を追跡して管理者に通知する必要があります。
マカフィーのソリューションで使用されているテクノロジー
マカフィーのソリューションは、Webサーバーのセキュリティニーズに柔軟に対応します。特定のWebサー
バー用に選択したソリューションが、別のWebサーバーには適していない場合があります。そのため、
McAfee Vulnerability ManagerとWeb Application Assessment Module(WAAM)、McAfee Host
Intrusion Prevention、McAfee Application Control、McAfee Change Control、およびMcAfee
VirusScan® Enterpriseの各ソリューションを個別にまたは組み合わせて検討することを推奨します。これ
らのソリューションは、McAfee ePolicy Orchestrator®(McAfee ePOTM)を使用して管理します。
䜲䞁䝍䞊䝛䝑䝖
䝣䜯䜲䜰䜴䜷䞊䝹
McAfee Network Security Platform
䜶䞁䝍䞊䝥䝷䜲䝈䝛䝑䝖䝽䞊䜽
McAfee Vulnerability
Manager (MVM)
Web䝃䞊䝞䞊
s
s
s
s
McAfee ePO
Web Application
Assessment Module
McAfee Application Control
McAfee Change Control
McAfee Host IPS
McAfee VirusScan
マカフィー製品では、特にWebサーバーのリスクに対応するよう設計された保護を利用してWebサーバーの攻撃対象
範囲を低減することが可能
Web サーバーの保護
7
McAfee Vulnerability ManagerとWeb Application Assessment Module(WAAM)
McAfee Vulnerability Managerは、McAfee Web Application Assessment Module(WAAM)と
連携して機能することで、組織が基盤となるOS、Webサーバーソフトウェア、およびWebアプリケーションで
ハッカーよりも先に脆弱性を検出できるようにします。McAfee Vulnerability Manager(MVM)は、Web
サーバーのOS(Linux、UNIX、またはWindows)を複数のチェックでテストし、管理者が脆弱性を修正
または軽減するために使用できるよう結果を返します。
Web Application Assessment Module(WAAM)は、コード実行やインジェクションなどの脆弱性
がないかどうか、IISやApacheなどのWebサーバーソフトウェアと任意のWebアプリケーションを調査、
テストし、パッチが適用されていないWebサーバーや脆弱なWebサーバーについて警告を発します。Web
Applicationのスキャナーでは、あらかじめ作成されたテンプレートを利用し、PCI、OWASP Top 10、
またはCWE/SANS Top 25で必要となるチェックに基づいて、またはクロスサイトスクリプティングやパストラ
バーサルなどの特定のチェックに絞って、詳細なスキャンを実行できます。
MVMとWAAMの両方が、ITセキュリティ管理者がプロアクティブにWebサーバーを監視して、脆弱性
やパッチが適用されていないシステムを検出するのに役立ちます。Web Application Assessment
Moduleは、McAfee Vulnerability Managerの完全に統合された(ユーザーインターフェイス、レポー
ティング、エンジン、チケット)モジュールです。MVMは、データをまとめることで、リスクを予測および軽減す
るのに役立つ実用的なデータを提供します。
McAfee Host Intrusion Prevention
McAfee Host Intrusion Prevention(IPS)は、内外の攻撃からシステムリソースとアプリケーションを
保護するホストベースの侵入検知/防止システムです。Webサーバー向けの管理性と拡張性に優れた
侵入防止ソリューションを実現します。その特許取得済みの技術が、堅牢なバッファオーバーフロー保護に
よりゼロデイ攻撃と既知の攻撃をブロックします。McAfee Host IPSは、シグネチャーを使用して、Apache
やIISといったWebサーバーなどの特定のアプリケーションとOSを保護します。ほとんどのシグネチャーは
OS全体を保護するものですが、特定のアプリケーションを保護するものもあります。シグネチャーは、トラ
フィックストリームと照合することが可能な一連の侵入防止ルールでもあります。たとえば、シグネチャーを
使用して、HTTPリクエスト内で特定の文字列を検索できます。文字列が既知の攻撃内の文字列と一致して
いる場合は、Host IPSによって処理が実行されます。これらのルールによって、既知の攻撃に対する保護
を実現しています。
Host IPSは、SQLインジェクションなどのコードインジェクション攻撃から保護する上でも役立ちます。Host
IPS SQLエンジンは、基本のエンジンが処理する前に、受信したデータベースクエリを捕捉します。各クエ
リは、既知の攻撃シグネチャーに一致しないかどうか、形式が正しいかどうか、およびSQLインジェクション
の明確な兆候がないかどうか調査が行われます。また、SQLデータベースシグネチャーは、データベース
のデータファイル、サービス、およびリソースを保護するため、データベースシールディングを実装します。
さらに、データベースエンベロープを実装して、正しく定義されたビヘイビアプロファイルに従ってデータ
ベースを動作させることができます。
McAfee Application Control
最もセキュリティを重視している企業でも、Webサーバーへのパッチ適用に苦労しています。その際、「パッ
チ適用プロセス」に不備があるためではなく、システムがサポート対象外のレガシーシステムである、ビジネ
スでサーバーダウンタイムが許されない、またはベンダーのソフトウェアでパッチやサービスパックを実行
することをベンダーが許可していない、のいずれかまたはすべてが原因である場合があります。McAfee
Application Controlを利用すると、これらの問題を解決できます。McAfee Application Control
は、Webサーバー上で信頼できるアプリケーションのみ実行を許可する動的なホワイトリストを、メモリー
保護とバッファオーバーフロー保護と組み合わせて利用することで、Webサーバーを保護します。Web
サーバーを継続的に制御するため、McAfee Application Controlは、保護を運用変更ポリシーにつな
げる、変更イベントの透明性も備えています。McAfee Application Controlは、Windows NT 4.0などの
現在サポートされていないレガシーシステムにインストールできます。システムリソースはほとんど使用しま
せん。これは、追加の容量が不足しているレガシーシステムで重要です。McAfee Application Controlを
実装している組織では、パッチの適用にかかる時間を短縮できるため、ダウンタイムを削減できます。
8
Web サーバーの保護
McAfee Change Control
先に示したように、変更によってWebサーバーの停止が生じる可能性があります。構成と継続的な保守
は、重要なプロセスです。McAfee Change Controlを変更管理プロセスの基盤として利用するか、企業
の既存のプロセスに追加すると、Webサーバーの制御を強化できます。
McAfee Change Controlは、McAfee Application Controlと同様に、Webサーバーの変更の試み
をリアルタイムで追跡して検証します。この2つの製品を組み合わせて使用すると、アプリケーションと、アプ
リケーションによって使用されるデータの両方を保護できます。Application Controlがバイナリを監視す
るのに対し、Change Controlは個々のファイルやディレクトリーを監視できます。McAfee Application
ControlとMcAfee Change Controlの両方が信頼モデルで機能します。承認されている変更チャネル
(トラスト)以外で変更が試みられた場合、その変更は許可されません。さらに、「信頼できるエージェント」が
変更を行った場合、その変更は許可されます。すべての変更が追跡されて検証が行われます。McAfee
Change Controlは、次の3つの独自の機能を提供します。
• ファイル整合性監視(FIM)
• 変更の防止
• 調整(オプションのアドオン)
ファイル整合性監視機能は、変更を行ったユーザー、行われた変更、変更のあったファイル、変更日時、
および変更方法について詳細情報を提供します。重要なファイルとレジストリキーを変更する試みを包括
的に把握できます。変更の防止機能は、変更が更新ポリシーに従って適用された場合のみ変更を許可
するなど、重要なファイルとレジストリーキーが不正に改ざんされるのを防ぐ書き込み保護を提供します。
また、調整機能は、変更管理システム(CMS; Change Management System)内の対応するチケットに
変更を対応付けて、行われた変更の証拠を変更要求(RFC; Request for Change)の裏付けとして提供し
ます。
1. チྍ䛥䜜䛯䝴䞊䝄䞊䛻䜘䜛᭦᪂
2. ᶒ㝈䛾䛒䜛⟶⌮⪅
䜶䞁䝍䞊䝥䝷䜲䝈
䝁䞁䝋䞊䝹
3. チྍ䛥䜜䛯䝃䞊䝗䝟䞊䝔䜱䜶䞊䝆䜵䞁䝖䠄Tivoli䚸SMS䛺䛹䠅
Ᏻ඲䛺᭦᪂
McAfee Application ControlとMcAfee Change Controlによる、信頼モデルを利用した更新許可
Web サーバーの保護
9
McAfee VirusScan
Webサーバーでウイルススキャナーを実行するのは、パフォーマンスが低下する可能性があるため適切
ではないと考える人もいるでしょう。ただし、先に示したリスクのために、可能であればMcAfee VirusScan
の保護を統合するのが賢明です。ほとんどのお客様では、ユーザーがディレクトリーにファイルをアップ
ロードするWebサーバーでVirusScanを利用しています。ファイルをスキャンし、クリーンアップするか
ディレクトリーへの書き込みを拒否するよう、VirusScanをプロセスに統合することができます。VirusScan
EnterpriseとVirusScan Command Line Scannerの2つから選択できます。
VirusScan EnterpriseとVirusScan Command Line Scannerは、高いパフォーマンスを実現し、次の
脅威からWebサーバーを保護します。
• ウイルス、ワーム、トロイの木馬
• バッファオーバーフロー
• 不要と思われるコードとプログラム
McAfee ePolicy Orchestrator(McAfee ePO)
McAfee ePolicy Orchestratorは、Webサーバーのセキュリティ状態を把握するために必要なデータを
収集して表示する単一管理コンソールです。また、McAfee ePolicy Orchestratorは、Webサーバーの
リスクを軽減するために必要なソリューションを制御します。以下のタスクをMcAfee ePOで実行できます。
• MVMのスキャンとWAAMのスキャンを表示する
• MVMとWAAMのデータおよびWebサーバーに導入されているセキュリティに関する情報を利用して、
各Webサーバーのリスクレベルを分析する
• WebサーバーでMcAfee VirusScan、McAfee Change Control、McAfee Host IPS、McAfee
Application Controlを導入および管理する
• スキャン、導入、ポリシー、タスクを設定および自動化する
McAfee ePOは、すべてのWebサーバー資産を1つの画面で表示する中央のコンソールであるだけで
なく、Webサーバーをさらに効率的に保護するための機能も備えています。
10
Web サーバーの保護
導入効果
マカフィーのソリューションは、Webサーバーインフラストラクチャーを把握して、Webサーバーを中断
させる可能性がある脆弱性、攻撃、脅威エージェントから各Webサーバーを保護するのを支援します。
McAfee Vulnerability MangerとWeb Application Assessment Moduleは、HTTPフィンガープリ
ント、不正アクセス、サービス拒否、コードインジェクションのいずれかまたはすべての攻撃に対してWeb
サーバーが脆弱であるかどうかをテストして識別します。Mc Afee Host IPSは、IISサイトサーバー
AdSampleの情報漏えい(HTTPフィンガープリント)、Apacheシールディングの構成ファイルアクセス
(不正アクセス)、IIS WebDAV検索リクエストのDoS(サービス拒否)、DELAYを使ったMSSQL SQL
インジェクション(コードインジェクション)といった、これらの攻撃の大半に対して、そのシグネチャーを使っ
て保護を実現します。古いWebサーバーを利用しているなど、Host IPSが適切でない場合は、McAfee
Application ControlとMcAfee Change Controlを導入できます。これらのシステムは、自動的かつ
効率的な保守を実現するとともに変更と問題を把握できるようにする一元管理コンソールを使って連動
させることができるため、損害が生じる前に措置を講じることができます。
Web サーバーの保護
11
追加情報
www.mcafee.com/japan/products/vulnerability_manager.asp
www.mcafee.com/japan/products/application_control.asp
www.mcafee.com/japan/products/change_control.asp
www.mcafee.com/japan/products/host_intrusion_prevention.asp
www.mcafee.com/japan/products/virusscan_enterprise.asp
www.mcafee.com/japan/products/virusscan_enterprise_for_linux.asp
www.mcafee.com/japan/products/epolicy_orchestrator.asp
*本書は 2012 年 10 月時点での情報です。 仕様等の変更が生じる場合や、 一部、 日本未発売の製品も含まれています。
詳細はお問い合わせください。
著者について
Douglas SimpsonはIT業界で11年以上の経験があり、ITセキュリティ、リスク、およびコンプライアンスに特化
してネットワークの設計、構築、管理などを行ってきました。
ウィッテンバーグ大学で学士号を取得し、セキュリティプロフェッショナル認定資格(CISSP)、Ethical Hacker
(CeH)、ITサービスマネジメント(ITIL)、およびMCSEの最新の認定も取得しています。
1 http://consumerist.com/2011/05/security-expert-sony-knew-its-software-was-obsolete-months-before-psn-breach.
html
2 https://www.owasp.org/index.php/Category:Threat_Agent
3 https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
4 http://www.sony.co.jp/SonyInfo/IR/financial/fr/10q4_sony.pdf
5 https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
マカフィー株式会社
www.mcafee.com/jp
東 京 本 社
〒150-0043 東京都渋谷区道玄坂1-12-1 渋谷マークシティウエスト20F TEL:03-5428-1100(代) FAX:03-5428-1480
西日本支店
〒530-0003 大阪府大阪市北区堂島2-2-2 近鉄堂島ビル18F TEL:06-6344-1511(代) FAX:06-6344-1517
名古屋営業所
〒460-0002 愛知県名古屋市中区丸の内3-20-17 中外東京海上ビルディング3F TEL:052-954-9551(代) FAX:052-954-9552
福岡営業所
〒810-0801 福岡県福岡市博多区中洲5-3-8 アクア博多5F TEL:092-287-9674(代) FAX:092-287-9675
McAfeeの英文/和文社名、各商品名、ロゴはMcAfee, Inc.またはその関連会社の商標または登録商標です。本書中のその他の登録商標および商標はそ
れぞれその所有者に帰属します。 2012 McAfee, Inc. All Rights Reserved. ●製品、サービス、サポート内容の詳細は、最寄りの代理店または弊社事業
部までお問合せください。●製品の仕様、機能は予告なく変更する場合がありますので、ご了承ください。 MCABP-PYWS-1210-MC