Technology Blueprint Webサーバーの保護各Webサーバーのリスクに応じて攻撃対象領域を低減する SECURITY CONNECTED REFERENCE ARCHITECTURE LEVEL 1 2 3 4 5 Security Connected マカフィーのSecurity Connected フレームワークは、複数の製品、サービス、パートナーの統合を可能にすることで、効率的かつ効果的に一元的なリスク軽減を実現します。 20年以上の実績を持つセキュリティプラクティスを基盤に構築された Security Connectedアプローチを通じて、規模やセグメントを問わず、すべての地域の組織がセキュリティ体制を改善し、セキュリティを最適化することでコスト効率を高め、戦略的にセキュリティとビジネスイニシアチブを整合させることが可能になります。 Security Connectedリファレンスアーキテクチャーは、構想から実装までの具体的な手法を提供します。このアーキテクチャーを利用することにより、Security Connectedの概念をお客様独自のリスク、インフラストラクチャー、ビジネス目標に適合させることができます。マカフィーは、常にお客様を保護する新しい方法を見出すことに専心しています。各 Web サーバーのリスクに応じて攻撃対象範囲を低減する現状良いニュースです。すべての企業が Web サーバーのセキュリティに敏感になっています。悪いニュースです。ソニー、任天堂、 Amazon などの企業で攻撃が破壊的になっており、ハッキング、侵害、ダウンタイムで高いコストが発生しています。 Sony PlayStation Network （PSN）のハッキングでは、最終的に、ダウンタイムだけで推定 1 億 7500 万ドルのコストが発生しています。パデュー大学コンピューターサイエンス学部の Gene Spafford 教授は、ソニーが「パッチが適用されておらずファイアウォールがインストールされていない」古いバージョンの Apache Web サーバーを実行していたことを米国議会で証言しました 1。この攻撃に先立って、ソニーは、別のハッカーとの非常に注目された法廷闘争のために、ハッカーグループ Anonymous から DoS 攻撃を受けました。また、 PSN がハッカー攻撃にあいオフラインになった後で、ハッカーグループ LulzSec が単純な（LulzSec の話では） SQL インジェクションでソニーを侵害しました。ソニーは、今日 Web ハッカー攻撃を受けて評判を低下させた数多くの企業の 1 つに過ぎません。最も明白なことですが、ハッカーを懸念しているのは Web サイトや Web サーバーの管理者だけではありません。予算が厳しい中、多くの企業が HTTP フィンガープリント、不正アクセス、サービス拒否、コードインジェクション攻撃などの Web サーバー固有のリスクに対処するのに苦労しています。適切な対策を実施している組織はわずかです。その上、ソニーが実証したように、構成ミスがあり、パッチが適用されておらず、安全ではない Web サーバーのために、毎日のようにデータ損失、改ざん、サービス停止が発生しています。課題既存のWebサーバーインフラストラクチャーのリスク軽減に着手するには、そのインフラストラクチャーを理解する必要があります。多くの組織では、目的と機能が異なるさまざまなタイプのWebサーバーを使用しています。Webサーバーのリスクレベルを評価して、実行する必要がある緩和策を判断するためには、次の要因を考慮する必要があります。 • インフラストラクチャー: インフラストラクチャー多くの組織では、ミッションクリティカルなアプリケーションをサポートする旧式の Webサーバーを使用しています。これらの古いWebサーバーのほとんどは、セキュリティを考慮せずにセットアップされています。その上、これらの古いシステムは現在サポート対象外となっており、悪用やダウンタイムが発生しやすくなっています。2つの理由から、実行しているOSとWebサーバーソフトウェアのバージョンを把握しておくことが重要です。1つ目の理由は、パッチの適用です。たとえば、Apacheのバージョンを把握していれば、容易にバグを追跡して適切なパッチを適用できます。同様に、2つ目の理由はサポートです。ベンダーによってサポートされていないサーバーを実行する際に伴うリスクは、アップグレードを実行するか緩和策を実装すれば対処できます。ソニーの「古いバージョンのApache」を例に挙げます。ソニーには、アップグレードを実行するか、Web アプリケーションのファイアウォールのような緩和策を導入するかの、少なくとも2つの選択肢がありました。アップグレードに時間がかかっている企業は、ソニーだけではありません。新しいOSに容易に移植できない古いプラットフォームでWebアプリケーションが開発された場合、アップグレードには課題が伴います。また、サポート対象外の古いWebサーバーを実行している多くの企業では、これらの古いシステムがオンラインに戻らない可能性を懸念し、アップグレードを実行したりパッチを適用するためにサーバーをオフラインにしたくないと考えています。 • 機能: 機能 Webサーバーの攻撃対象範囲は、過去10年間に拡大しています。ブログや、銀行アプリケーションや金融アプリケーションを提供するWebサーバーとは異なり、静的なページを提供するWebサーバーでは、攻撃対象範囲はそれほど多くありません。インフラストラクチャー内に配置されている各Web サーバーの目的を把握すると、第一に注意すべきリスクを適切に把握できます。たとえば、ある大学 2 Web サーバーの保護で、すべての学部と、学生が受講できるすべての授業に関する情報を提供する、クラスカタログのWeb サーバーを利用しているとします。ただし、このコンテンツは静的で、入力フィールドがないとします。また、ローンの申し込み方法に関する情報が含まれた、学生ローンのWebサイトもあります。このサーバーでは、入力が可能です。学生が入力するフォームがあり、学生のログオンページもあります。クラスカタログのWebサーバーと学生ローンのWebサーバーの両方とも、一般のインターネットからアクセスできます。ただし、それぞれ機能が異なるため、セキュリティの観点から、各サーバーを異なる方法で処理する必要があります。この例では大学の2つのWebサーバーを比較していますが、ほぼすべての企業や組織に同様なシナリオが存在します。企業の主要なWebサイトは機能が非常に限られているのに対し、B2Bサーバーは大学の学生ローンWebサイトと同様にさまざまな機能を備えていることが考えられます。Webサーバーの機能を把握すると、ビジネスや組織におけるWebサーバーの重大度を把握して、各Webサーバーに適切な注意とセキュリティを判断できます。ソリューション選定の要素アーキテクチャーには、次のような要素が影響します。 • 第三者が W e b サーバーをホストしているかどうか • 第三者が W e bアプリケーションをホストしているかどうか • Webアプリケーションファイアウォールを使用しているかどうか • 脅威エージェント: 脅威エージェント Open Web Application Security Project（OWASP）は、「脅威エージェントは、脅威を生じさせる可能性がある個人または集団を示すために使用されます。誰が企業の資産を悪用しようと考えているのか、また、これらの資産が企業に対してどのように使用されるのかを特定することが非常に重要です」と述べています2。たとえば、脅威エージェントが誰または何なのかは、企業や組織によって異なり、Webサーバーのアクセスが行われる場所やアクセス方法によって異なります。米国政府機関では、大規模小売チェーンとは異なる脅威エージェントに直面するでしょう。米国政府機関では、国際的なテロ集団やAnonymousのようなハッカーグループについて考慮する必要があります。大規模小売チェーンでは、PCIデータや顧客の個人情報を盗み出そうとする、組織犯罪やハッカーについて考慮する必要があります。また、脅威エージェントは、Webサーバーへのアクセスが一般のインターネットからなのかイントラネットからなのかによっても異なります。大規模小売チェーンでは、従業員に人事データを提供するWebサーバーを使用している場合があります。従業員は、ログオンすると、保険データと補償情報を表示できます。サーバーには、社会保障番号も保存されます。ただし、このサーバーは、会社の社内ネットワークでのみアクセスできます。外部ハッカーについて議論することもできますが、このシナリオでは、脅威エージェントは従業員です。内部の脅威は、「意図しないまたは偶発的な」脅威と「意図的または不正な」脅威に分けることができます。「意図しない」脅威エージェントとして、ディレクトリーのアクセス許可を排他的なグループからすべてのユーザーに知らずに変更したり、デフォルトのパスワードの変更を忘れてしまう管理者が挙げられます。本番システムではないWebサーバーで変更を行ったつもりで、本番システムのコードを変更した開発者も、意図しない脅威エージェントの例として挙げられます。これとは対照的に、意図的な脅威エージェントは、情報を入手したりシステムを停止させるために、故意にWebサーバーを攻撃します。この意図的な脅威エージェントとして、解雇されたばかりの従業員や、個人の利益のために会社のデータや従業員の個人情報を販売したいと考えている従業員などが考えられます。境界にはさまざまな防御とかなりの注意が必要であるため、社内つまり従業員の脅威エージェントは見落とされてしまいがちです。環境が変化したり、新しい脅威エージェントが生まれる可能性があります。そのため、これらの脅威エージェントを常に特定できるようにしておく必要があります。脅威エージェントを把握するためには、所属している組織の公的な活動を把握していることが重要です。ソニーはこのよい例です。ハッカー GeoHotに対するソニーの訴訟がハッカーグループAnonymousの関心を引き、2011年4月4日にソニーのWebサイトでDoS攻撃が行われました。法務部門がある場合は、個人や他の企業、集団に対して行う可能性がある訴訟について常に情報を提供するよう、法務部門に依頼します。 • 構成と保守: 構成と保守多くのWebサーバーは、特に市販のOSやWebサーバーソフトウェアが使用されている場合、アプリケーション、構成ファイル、スクリプト、Webページを含め、不要なデフォルトファイルやサンプルファイルを使ってセットアップが行われています。コンテンツ管理機能やリモート管理機能などの不要なサービスが付属しており、デフォルトで有効になっている場合もあります。また、デバッグ機能が有効になっていたり、匿名ユーザーが管理機能にアクセスできるようになっている場合もあります。 Webサーバーを悪用したいと考える者に対して、これらの各設定は開かれたドアとなっています。時間を割いてこれらの設定を無効にする際、注意が必要です。構成ミスのあるWebサーバーも、組織にリスクをもたらします。「サーバーの構成ミス」は、OWASP Top 10の6位に3なっています。「構成ミス」は、Webサーバーのライフサイクルでいつでも発生する可能性があります。セキュリティを最大限に考慮して構成されたWebサーバーでも、適切に保守が行われないと、すぐに脆弱になってしまいます。 Web サーバーの保護 3 上記の要因についてWebサーバーを評価すると、どのWebサーバーに以下の攻撃や悪用が生じるリスクがあるのか、把握するのに役立ちます。このインフラストラクチャー評価は、リスク軽減を重点的に行う必要がある箇所を特定するのにも役立ちます。 Webサーバーの攻撃次に、Webサーバーの一般的な攻撃と、上記の懸念がこれらの攻撃につながる可能性について説明します。 • HTTPフィンガープリント: HTTPフィンガープリントこの攻撃は、攻撃者が既知の弱点を調べて再利用できるよう、WebサイトまたはWebアプリケーションが実行されているOSとWebサーバーソフトウェアのタイプとバージョンを特定することを目的としています。たとえば、WebサーバーがIIS 7のWebサーバーであることが分かった場合、攻撃者は、インターネットで既知の弱点を調べて、このWebサーバーに存在するそれらの脆弱性をターゲットにします。Webサーバーのフィンガープリントを作成するのは、非常に簡単です。デフォルトのランディングページ、エラーメッセージ、およびphp.iniなどの忘れられたテストページにフィンガープリントの情報が表示されるため、Webサイトにアクセスして参照するだけでフィンガープリントを作成できてしまいます。HTTPヘッダーのサーバーフィールドを参照するという、非常に基本的な方法も有効です。NetCatやnmapなどのほぼすべての無料のスキャンツールで、この方法が利用されています。 • 不正アクセス: 不正アクセス HTTPフィンガープリントから収集された情報を利用して、攻撃者は他の攻撃を計画します。たとえば、テストページでphpinfoが有効になったままであるとします。攻撃者は、Linux（OS）、 Apache（Webサーバーソフトウェア）、MySQL、およびPHPで構成されたWebサーバーがサーバーで実行されていることが分かると、デフォルトのユーザー名とログオンを使用してWebサーバーへの不正アクセスを試みます。Webサーバーが備えているデフォルトのパスワードと「サンプル機能」を利用すると、不正アクセスを容易に行えてしまいます。すべてのWebサーバーソフトウェアにデフォルトの資格情報を使用しているWebサイトもあります。たとえば、Apache Tomcaのデフォルトの管理者ユーザー名とパスワードは「adminとパスワードなし」であるか、「tomcatとtomcat」、または「rootとroot」です。すべてのWebサーバーソフトウェアにデフォルトの資格情報を使用しているWebサイトがあります。 • Webサーバーは、IISSAMPLESディレクトリーにアクセスしてロックダウンや削除が行われていないサンプルスクリプトにアクセスを試みて、攻撃者の好みに合わせて容易に使用できてしまう、サンプル機能も備えています。さらに、セッション乗っ取り、ブルートフォース、不正なパスワード（パスワードの推測）、パスワード変更の悪用、ユーザー名とパスワードを忘れた場合の機能などの、WebサーバーやWebアプリケーションに不正にアクセスする方法もあります。これらのタイプの攻撃の詳細については、OWASPの Webサイト（www.owasp.org）を参照してください。 • サービス拒否（DoS）: サービス拒否（DoS）サービス拒否（DoS）攻撃では、攻撃者は、正当なユーザーがWebサーバー上の情報やサービスにアクセスするのを妨げるよう試みるため、WebサーバーとWebアプリケーションで長時間のダウンタイムが必要になる可能性があります。アノニマスによるソニーのDos攻撃では、地域に応じて、ソニーのWebサイトが数週間から数ヶ月間利用できなくなり、収益損失につながりました4。 • コードインジェクション: コードインジェクション最も有名なコードインジェクション攻撃はSQLインジェクションですが、LDAPインジェクション、OSコマンドインジェクション、XPathインジェクションなどのホスト全体のインジェクション攻撃も存在します。OWASPでは、「インジェクション」を2010年のOWASP Top 10の1位としており、「インジェクションフローは、アプリケーションがインタープリタに信頼できないデータを送信すると発生します。インジェクションフローは特にレガシーコードで多く発生しており、SQLクエリ、LDAPクエリ、XPathクエリ、 OSコマンド、プログラムの引数などに見られることが多いです」と述べています5。 4 Web サーバーの保護これらの各コードインジェクション攻撃については、本を書けてしまうほどです。ここでは、その中の2つ、 SQLインジェクションとOSコマンドインジェクションについて説明します。SQLインジェクション攻撃は、 Webサーバーとバックエンドのデータベース間のやり取りを悪用するよう試みます。多くのWebサイトでは、データベースを使用して情報を保存しています。SQLコマンドは、Webサーバーで提供されているフロントエンドのWebアプリケーションからバックエンドのデータベースに渡されます。たとえば、顧客が Webサーバー経由で企業から何かを購入しようとし、ウィジェットが必要なフォームに入力するとします。数量、合計金額、顧客名などを入力する箇所があります。最後に、ユーザーが「送信」ボタンをクリックしてトランザクションを終了すると、データベースに対してSQLステートメントが実行されます。SQLインジェクション攻撃は、個人データを入手したり、別のユーザーがデータベースにアクセスするとそのユーザーのコンピューターで実行されるコードを注入するなどの悪質な理由から、Webアプリケーションのフローを悪用して、バックエンドのデータベースでSQLステートメントとSQLコマンドを実行するよう試みます。 Webアプリケーションとデータベース間のやり取りと同様に、OSとWebサーバーソフトウェアも関連している場合があります。開発者は、システムのディレクトリー構造や、ディレクトリーやファイルのコンテンツを入手するなどの、OSの機能を呼び出すコードを作成します。攻撃者がファイルを探しているときに、システムのユーザー一覧を入手するようコマンド「cat/etc/passwd」を実行するのを阻止することはできません。詳細については、OWASPのWebサイトwww.owasp.org/index.php/Main_Pageを参照してください。インフラストラクチャー、機能、エージェントの目的、およびWebサーバーの構成と保守に応じて、上記の攻撃の影響はサーバーごとに異なります。サーバーの構成と保守が適切に行われておらず、インフラストラクチャーが古いOSで構成されている場合、HTTPフィンガープリント攻撃によってWebサーバーがパッチ未適用のIIS 5.0システムであることが明らかになり、インデックスサービスの既知の脆弱性であるバッファオーバーフロー（ワームCodeRedがこの脆弱性を悪用）がターゲットとなる可能性があります。不正アクセスとコードインジェクションでは、OS、Webサーバーソフトウェア、およびWebアプリケーションの構成ミスも攻撃対象となります。ただし、Webサーバーにバックエンドのデータベースを使用しておらず、一般に提供する情報に静的ページを使用している場合、これらの攻撃は関係なくなります。唯一懸念として残るのは、別のサーバーを攻撃するなどの悪質な目的にWebサーバーを利用できるようにする「OSコマンドインジェクション」攻撃です。このさまざまなリスク範囲は、インフラストラクチャー、機能、脅威エージェント、および構成と保守に関して各Webサーバーを把握しておくことの重要性を示しています。 Web サーバーの保護 5 解決策保護するためには、保護対象となるものを把握しておく必要があります。Webセキュリティソリューションでは、各Webサーバーに適切な保護を評価して実装できる必要があります。ソリューションの管理では、分析を容易に実行してこれらの資産のセキュリティを確保できるよう、Webサーバーの異なるデータすべてを中央のコンソールに統合する必要があります。 • インフラストラクチャー: インフラストラクチャーすべてのWebサーバーをスキャンして、最初にインフラストラクチャーを綿密に計画する必要があります。スキャンは、OS、Webサーバーソフトウェア、およびWebアプリケーションを含める場合と、Webサーバーインフラストラクチャーの特定の部分を対象にする場合があります。スキャン時には、インフラストラクチャーの現在のリスクを評価できるよう、データを一元的に収集する必要があります。これにより、OS、Webサーバーソフトウェア、Webアプリケーションの既存のバージョンおよび構成情報に基づいて、セキュリティに関する詳細な意思決定を行うことができます。たとえば、新しいWeb サーバーに、ディレクトリートラバーサル、コードインジェクション、サービス拒否（DoS）攻撃などの一般的なWeb攻撃に対するプロアクティブな保護を導入する場合があります。非推奨のOSで未知のコードを実行できないよう、サポート対象外の古いWebサーバーをロックダウンすることが必要になる場合があります。ただし、既知の適切なコードは実行できます。このプロセスの制限によって、パッチを適用できない場合でもWebサーバーを保護できます。 • 機能: 機能 Webサーバーの的を絞った詳細なスキャンにより、各Webサーバーの機能を判断できます。このスキャンでは、OSとその構成を超えて、Webアプリケーションとバックエンドのデータベース（存在する場合）のみを対象とします。これにより、各Webサーバーの機能に応じて、Webアプリケーションを資産と同じようにグループ化できます。一元管理コンソールの資産の説明に各Webサーバーの重大度を追加すると、ビジネスクリティカルなWebサーバーに注意が必要かどうかを管理者が容易に把握できるようになります。各Webサーバー固有の機能に応じて、特定の保護と保護のレベルを導入します。たとえば、アプリケーションファイアウォールで保護されていない場合は、重要なビジネスアプリケーションをホストするWebサーバーに、ディレクトリートラバーサル、コードインジェクション、サービス拒否（DoS）攻撃などの一般的なWeb攻撃に対するローカルのセキュリティを導入できます。このセキュリティは、ホスト侵入防止としてサーバー自体に追加できます。攻撃とデータ損失を防止するには、事前定義された保護ポリシーとルールを使用します。Webサーバーの機能にバックエンドのデータベースとのやり取りが含まれている場合、攻撃（SQLインジェクションなど）を防止するようデータベースクエリを検証する保護を実装し、正常な動作を確認してデータの改ざんを防止するポリシーとルールを導入します。特に高いパフォーマンスを実現するよう構築された、柔軟性に優れたウイルス対策を実装すると、Web トラフィックに常に対応できます。エンドユーザーがWebサーバー、データベース、または単に共有ディレクトリーにファイルをアップロードできる場合、感染ファイルや意図的にアップロードされたウイルスからサーバーを保護するため、マルウェアが含まれていないかどうかこれらのアップロードをスキャンする必要があります。 • 脅威エージェント: 脅威エージェント脆弱性スキャンを使用して、脅威エージェントがどのような方法で企業のWeb資産を悪用する可能性があるのかテストを行います。評価では、脅威エージェントの目的は明らかにはなりませんが、Webサーバーが悪用に脆弱であるかどうかを判断できます。コードインジェクトションやサービス拒否攻撃を使用する意図的な脅威エージェントは、これらの一般的なWeb攻撃に対するプロアクティブな保護を備えたホスト侵入防止を導入すると軽減できます。未テストのパッチをインストールする従業員などの意図的ではない脅威エージェントは、変更プロセスに対応していない変更と望ましくない変更をブロックすると軽減できます。 6 Web サーバーの保護 • 構成と保守: 構成と保守新たに構築された各Webサーバーをスキャンして、構成ミスがないか確認する必要があります。「ゴールドマスター」のテンプレートを使用すると、業界標準や企業の必要な強化プロセスに準拠しているかどうかを判定できます。Webサーバーを本番環境に展開したら、定期スキャンを継続的に実行してWebサーバーを評価する必要があります。これらの自動保守のスキャンによって、構成ミス、パッチの適用ミス、脆弱性、およびWebサーバーやホスト型のWebアプリケーションの悪用を引き起こすものがないかテストします。変更プロセスは信頼モデルに基づいて実装します。信頼できるエージェントのみがWebサーバーを変更できるようにすると、制御を維持できます。変更は変更フレームワーク内でのみ行われるため、未承認の変更や不明な変更のために脆弱性が生じたり、承認とテストが済んでいる準拠したバージョンからイメージが逸脱するのを防ぐことができます。変更が承認済みで許可済みである場合でも、未承認で禁止されている場合でも、深刻なダウンタイムに発展するエラーが発生する可能性を最小限に抑えるよう、これらの処理を追跡して管理者に通知する必要があります。マカフィーのソリューションで使用されているテクノロジーマカフィーのソリューションは、Webサーバーのセキュリティニーズに柔軟に対応します。特定のWebサーバー用に選択したソリューションが、別のWebサーバーには適していない場合があります。そのため、 McAfee Vulnerability ManagerとWeb Application Assessment Module（WAAM）、McAfee Host Intrusion Prevention、McAfee Application Control、McAfee Change Control、およびMcAfee VirusScan® Enterpriseの各ソリューションを個別にまたは組み合わせて検討することを推奨します。これらのソリューションは、McAfee ePolicy Orchestrator®（McAfee ePOTM）を使用して管理します。䜲䞁䝍䞊䝛䝑䝖䝣䜯䜲䜰䜴䜷䞊䝹 McAfee Network Security Platform 䜶䞁䝍䞊䝥䝷䜲䝈䝛䝑䝖䝽䞊䜽 McAfee Vulnerability Manager (MVM) Web䝃䞊䝞䞊 s s s s McAfee ePO Web Application Assessment Module McAfee Application Control McAfee Change Control McAfee Host IPS McAfee VirusScan マカフィー製品では、特にWebサーバーのリスクに対応するよう設計された保護を利用してWebサーバーの攻撃対象範囲を低減することが可能 Web サーバーの保護 7 McAfee Vulnerability ManagerとWeb Application Assessment Module（WAAM） McAfee Vulnerability Managerは、McAfee Web Application Assessment Module（WAAM）と連携して機能することで、組織が基盤となるOS、Webサーバーソフトウェア、およびWebアプリケーションでハッカーよりも先に脆弱性を検出できるようにします。McAfee Vulnerability Manager（MVM）は、Web サーバーのOS（Linux、UNIX、またはWindows）を複数のチェックでテストし、管理者が脆弱性を修正または軽減するために使用できるよう結果を返します。 Web Application Assessment Module（WAAM）は、コード実行やインジェクションなどの脆弱性がないかどうか、IISやApacheなどのWebサーバーソフトウェアと任意のWebアプリケーションを調査、テストし、パッチが適用されていないWebサーバーや脆弱なWebサーバーについて警告を発します。Web Applicationのスキャナーでは、あらかじめ作成されたテンプレートを利用し、PCI、OWASP Top 10、またはCWE/SANS Top 25で必要となるチェックに基づいて、またはクロスサイトスクリプティングやパストラバーサルなどの特定のチェックに絞って、詳細なスキャンを実行できます。 MVMとWAAMの両方が、ITセキュリティ管理者がプロアクティブにWebサーバーを監視して、脆弱性やパッチが適用されていないシステムを検出するのに役立ちます。Web Application Assessment Moduleは、McAfee Vulnerability Managerの完全に統合された（ユーザーインターフェイス、レポーティング、エンジン、チケット）モジュールです。MVMは、データをまとめることで、リスクを予測および軽減するのに役立つ実用的なデータを提供します。 McAfee Host Intrusion Prevention McAfee Host Intrusion Prevention（IPS）は、内外の攻撃からシステムリソースとアプリケーションを保護するホストベースの侵入検知/防止システムです。Webサーバー向けの管理性と拡張性に優れた侵入防止ソリューションを実現します。その特許取得済みの技術が、堅牢なバッファオーバーフロー保護によりゼロデイ攻撃と既知の攻撃をブロックします。McAfee Host IPSは、シグネチャーを使用して、Apache やIISといったWebサーバーなどの特定のアプリケーションとOSを保護します。ほとんどのシグネチャーは OS全体を保護するものですが、特定のアプリケーションを保護するものもあります。シグネチャーは、トラフィックストリームと照合することが可能な一連の侵入防止ルールでもあります。たとえば、シグネチャーを使用して、HTTPリクエスト内で特定の文字列を検索できます。文字列が既知の攻撃内の文字列と一致している場合は、Host IPSによって処理が実行されます。これらのルールによって、既知の攻撃に対する保護を実現しています。 Host IPSは、SQLインジェクションなどのコードインジェクション攻撃から保護する上でも役立ちます。Host IPS SQLエンジンは、基本のエンジンが処理する前に、受信したデータベースクエリを捕捉します。各クエリは、既知の攻撃シグネチャーに一致しないかどうか、形式が正しいかどうか、およびSQLインジェクションの明確な兆候がないかどうか調査が行われます。また、SQLデータベースシグネチャーは、データベースのデータファイル、サービス、およびリソースを保護するため、データベースシールディングを実装します。さらに、データベースエンベロープを実装して、正しく定義されたビヘイビアプロファイルに従ってデータベースを動作させることができます。 McAfee Application Control 最もセキュリティを重視している企業でも、Webサーバーへのパッチ適用に苦労しています。その際、「パッチ適用プロセス」に不備があるためではなく、システムがサポート対象外のレガシーシステムである、ビジネスでサーバーダウンタイムが許されない、またはベンダーのソフトウェアでパッチやサービスパックを実行することをベンダーが許可していない、のいずれかまたはすべてが原因である場合があります。McAfee Application Controlを利用すると、これらの問題を解決できます。McAfee Application Control は、Webサーバー上で信頼できるアプリケーションのみ実行を許可する動的なホワイトリストを、メモリー保護とバッファオーバーフロー保護と組み合わせて利用することで、Webサーバーを保護します。Web サーバーを継続的に制御するため、McAfee Application Controlは、保護を運用変更ポリシーにつなげる、変更イベントの透明性も備えています。McAfee Application Controlは、Windows NT 4.0などの現在サポートされていないレガシーシステムにインストールできます。システムリソースはほとんど使用しません。これは、追加の容量が不足しているレガシーシステムで重要です。McAfee Application Controlを実装している組織では、パッチの適用にかかる時間を短縮できるため、ダウンタイムを削減できます。 8 Web サーバーの保護 McAfee Change Control 先に示したように、変更によってWebサーバーの停止が生じる可能性があります。構成と継続的な保守は、重要なプロセスです。McAfee Change Controlを変更管理プロセスの基盤として利用するか、企業の既存のプロセスに追加すると、Webサーバーの制御を強化できます。 McAfee Change Controlは、McAfee Application Controlと同様に、Webサーバーの変更の試みをリアルタイムで追跡して検証します。この2つの製品を組み合わせて使用すると、アプリケーションと、アプリケーションによって使用されるデータの両方を保護できます。Application Controlがバイナリを監視するのに対し、Change Controlは個々のファイルやディレクトリーを監視できます。McAfee Application ControlとMcAfee Change Controlの両方が信頼モデルで機能します。承認されている変更チャネル（トラスト）以外で変更が試みられた場合、その変更は許可されません。さらに、「信頼できるエージェント」が変更を行った場合、その変更は許可されます。すべての変更が追跡されて検証が行われます。McAfee Change Controlは、次の3つの独自の機能を提供します。 • ファイル整合性監視（FIM） • 変更の防止 • 調整（オプションのアドオン）ファイル整合性監視機能は、変更を行ったユーザー、行われた変更、変更のあったファイル、変更日時、および変更方法について詳細情報を提供します。重要なファイルとレジストリキーを変更する試みを包括的に把握できます。変更の防止機能は、変更が更新ポリシーに従って適用された場合のみ変更を許可するなど、重要なファイルとレジストリーキーが不正に改ざんされるのを防ぐ書き込み保護を提供します。また、調整機能は、変更管理システム（CMS; Change Management System）内の対応するチケットに変更を対応付けて、行われた変更の証拠を変更要求（RFC; Request for Change）の裏付けとして提供します。 1. チྍ䛥䜜䛯䝴䞊䝄䞊䛻䜘䜛᭦᪂ 2. ᶒ㝈䛾䛒䜛⟶⌮⪅ 䜶䞁䝍䞊䝥䝷䜲䝈䝁䞁䝋䞊䝹 3. チྍ䛥䜜䛯䝃䞊䝗䝟䞊䝔䜱䜶䞊䝆䜵䞁䝖䠄Tivoli䚸SMS䛺䛹䠅 Ᏻ඲䛺᭦᪂ McAfee Application ControlとMcAfee Change Controlによる、信頼モデルを利用した更新許可 Web サーバーの保護 9 McAfee VirusScan Webサーバーでウイルススキャナーを実行するのは、パフォーマンスが低下する可能性があるため適切ではないと考える人もいるでしょう。ただし、先に示したリスクのために、可能であればMcAfee VirusScan の保護を統合するのが賢明です。ほとんどのお客様では、ユーザーがディレクトリーにファイルをアップロードするWebサーバーでVirusScanを利用しています。ファイルをスキャンし、クリーンアップするかディレクトリーへの書き込みを拒否するよう、VirusScanをプロセスに統合することができます。VirusScan EnterpriseとVirusScan Command Line Scannerの2つから選択できます。 VirusScan EnterpriseとVirusScan Command Line Scannerは、高いパフォーマンスを実現し、次の脅威からWebサーバーを保護します。 • ウイルス、ワーム、トロイの木馬 • バッファオーバーフロー • 不要と思われるコードとプログラム McAfee ePolicy Orchestrator（McAfee ePO） McAfee ePolicy Orchestratorは、Webサーバーのセキュリティ状態を把握するために必要なデータを収集して表示する単一管理コンソールです。また、McAfee ePolicy Orchestratorは、Webサーバーのリスクを軽減するために必要なソリューションを制御します。以下のタスクをMcAfee ePOで実行できます。 • MVMのスキャンとWAAMのスキャンを表示する • MVMとWAAMのデータおよびWebサーバーに導入されているセキュリティに関する情報を利用して、各Webサーバーのリスクレベルを分析する • WebサーバーでMcAfee VirusScan、McAfee Change Control、McAfee Host IPS、McAfee Application Controlを導入および管理する • スキャン、導入、ポリシー、タスクを設定および自動化する McAfee ePOは、すべてのWebサーバー資産を1つの画面で表示する中央のコンソールであるだけでなく、Webサーバーをさらに効率的に保護するための機能も備えています。 10 Web サーバーの保護導入効果マカフィーのソリューションは、Webサーバーインフラストラクチャーを把握して、Webサーバーを中断させる可能性がある脆弱性、攻撃、脅威エージェントから各Webサーバーを保護するのを支援します。 McAfee Vulnerability MangerとWeb Application Assessment Moduleは、HTTPフィンガープリント、不正アクセス、サービス拒否、コードインジェクションのいずれかまたはすべての攻撃に対してWeb サーバーが脆弱であるかどうかをテストして識別します。Mc Afee Host IPSは、IISサイトサーバー AdSampleの情報漏えい（HTTPフィンガープリント）、Apacheシールディングの構成ファイルアクセス（不正アクセス）、IIS WebDAV検索リクエストのDoS（サービス拒否）、DELAYを使ったMSSQL SQL インジェクション（コードインジェクション）といった、これらの攻撃の大半に対して、そのシグネチャーを使って保護を実現します。古いWebサーバーを利用しているなど、Host IPSが適切でない場合は、McAfee Application ControlとMcAfee Change Controlを導入できます。これらのシステムは、自動的かつ効率的な保守を実現するとともに変更と問題を把握できるようにする一元管理コンソールを使って連動させることができるため、損害が生じる前に措置を講じることができます。 Web サーバーの保護 11 追加情報 www.mcafee.com/japan/products/vulnerability_manager.asp www.mcafee.com/japan/products/application_control.asp www.mcafee.com/japan/products/change_control.asp www.mcafee.com/japan/products/host_intrusion_prevention.asp www.mcafee.com/japan/products/virusscan_enterprise.asp www.mcafee.com/japan/products/virusscan_enterprise_for_linux.asp www.mcafee.com/japan/products/epolicy_orchestrator.asp ＊本書は 2012 年 10 月時点での情報です。仕様等の変更が生じる場合や、一部、日本未発売の製品も含まれています。詳細はお問い合わせください。著者について Douglas SimpsonはIT業界で11年以上の経験があり、ITセキュリティ、リスク、およびコンプライアンスに特化してネットワークの設計、構築、管理などを行ってきました。ウィッテンバーグ大学で学士号を取得し、セキュリティプロフェッショナル認定資格（CISSP）、Ethical Hacker （CeH）、ITサービスマネジメント（ITIL）、およびMCSEの最新の認定も取得しています。 1 http://consumerist.com/2011/05/security-expert-sony-knew-its-software-was-obsolete-months-before-psn-breach. html 2 https://www.owasp.org/index.php/Category:Threat_Agent 3 https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project 4 http://www.sony.co.jp/SonyInfo/IR/financial/fr/10q4_sony.pdf 5 https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project マカフィー株式会社 www.mcafee.com/jp 東京本社〒150-0043　東京都渋谷区道玄坂1-12-1 渋谷マークシティウエスト20F　TEL：03-5428-1100(代)　FAX：03-5428-1480 西日本支店〒530-0003　大阪府大阪市北区堂島2-2-2 近鉄堂島ビル18F　TEL：06-6344-1511(代)　FAX：06-6344-1517 名古屋営業所〒460-0002　愛知県名古屋市中区丸の内3-20-17 中外東京海上ビルディング3F　TEL：052-954-9551(代)　FAX：052-954-9552 福岡営業所〒810-0801　福岡県福岡市博多区中洲5-3-8 アクア博多5F　TEL：092-287-9674(代)　FAX：092-287-9675 McAfeeの英文/和文社名、各商品名、ロゴはMcAfee, Inc.またはその関連会社の商標または登録商標です。本書中のその他の登録商標および商標はそれぞれその所有者に帰属します。 2012 McAfee, Inc. All Rights Reserved.　●製品、サービス、サポート内容の詳細は、最寄りの代理店または弊社事業部までお問合せください。●製品の仕様、機能は予告なく変更する場合がありますので、ご了承ください。　MCABP-PYWS-1210-MC