ネットワークセキュリティは大丈夫?--よくある設計ミス10選

文:Brien Posey 翻訳校正:石橋啓一郎
2009-11-13 13:04:00
  • このエントリーをはてなブックマークに追加

8:仮想サーバを無作為にグループ化する

 仮想サーバはホストサーバ上に性能に基づいてグループ化されるのが一般的だ。たとえば、要求の高い仮想サーバは、いくつかの要求の低い仮想サーバと組み合わせられるかもしれない。性能の観点から言えばこれはいいアイデアだが、このアプローチはセキュリティの観点からは最高のアイデアとは言いがたい場合もある。

 私は、インターネットに接続される仮想サーバには。専用の仮想ホストを用意することを勧める。もし、インターネットユーザーにサービスを提供する3つの仮想サーバがあれば、それらのサーバを1つの仮想化ホスト上にグループ化するようにし、社内インフラ用のサーバ(ドメインコントローラなど)はそのホストには乗せないようにする。

 その理由は、VM escapeに対抗するということだ。VM escape攻撃とは、ハッカーが仮想マシンから抜け出してホストの制御を握ることを意味する。私の知る限りでは、実際にこのVM escapeを行う方法を見つけた者はいないはずだが、いずれその日が来ることは確実だ。そうなったとき、もしインターネットに接している仮想マシンのホストが、同様に強化されているウェブを提供するサーバとしか共有されていなければ、攻撃に対処出来る可能性はずっと高まる。

9:DMZにメンバサーバを配置する

 可能であれば、DMZにメンバサーバを配置しないようにすべきだ。メンバサーバが侵害を受けると、Active Directoryに保存されている情報が漏洩してしまう。

10:アップデートのインストールをユーザーに頼る

 最後に挙げるよくあるセキュリティ上の問題は、セキュリティパッチの適用をユーザーに任せるということだ。私は最近、いくつかのネットワークで、ネットワーク上のワークステーションにパッチを適用するのにWSUSを使用している例を見た。残念ながら、これらの例では、ユーザーにオプションをクリックさせ、最新のアップデートをインストールさせていた。問題は、ユーザーがアップデート作業にはコンピュータの再起動が必要になることを知っていることだ。一部のユーザーは、アップデートをいつまでも先延ばしにしてしまうかもしれない。エンドユーザーに依存するのではなく、パッチ管理ソリューションを利用して、セキュリティパッチを自動的に適用するようにし、この問題についてはユーザーに選択肢を与えないようにすべきだ。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]