サーバーセキュリティ監査とは、攻撃者がどこから侵入できるのか、そして侵入後に何ができるのかを見つけるために、サーバーの露出と構成を体系的にレビューすることです。監査を依頼するよう求められた場合や、社内レビューを実施したい場合に向けて、本ガイドでは徹底した監査が具体的に何を調べ、なぜ各領域が重要なのかを説明します。
監査は診断的なものです。つまり、現状の立ち位置を教えてくれます。監査が見つけた問題を修正する作業であるハードニング と自然に組み合わさります。
要点(TL;DR)
- サーバー監査は、攻撃対象領域、OSとサービスの構成、パッチ状況、アクセス制御、ネットワークとファイアウォールの設定、監視をレビューします
- 通常、CIS Benchmark などの認められた基準に対してサーバーをベンチマークします
- マルウェアと rootkit のスキャン、および侵入が実際に検出されるようにするためのロギングのレビューを含みます
- 出力は、生のスキャナーのダンプではなく、対応可能な優先度付き・リスク評価済みの検出結果の一覧であるべきです
1. 攻撃対象領域のレビュー
最初の作業は、サーバーが実際に何を露出しているかを把握することです。
- リッスンしているすべてのサービスと開いているポートを列挙し、それぞれが意図的なものであることを確認します。
- インターネットに面したサービスと、内部専用であるべきサービスを識別します。
- 価値を加えずに攻撃対象領域を広げる、古いまたは不要なサービスにフラグを立てます。
2. オペレーティングシステムと構成の監査
- OS のバージョンとサポート状況を確認します。end-of-life の OS は恒常的なリスクです。
- 構成を認められた基準、通常はそのディストリビューション向けの CIS Benchmark に対してレビューします。
- OS とインストール済みソフトウェアのパッチ状況を評価し、自動セキュリティ更新が有効であることを確認します。
3. アクセス制御と認証
- ユーザーおよびサービスアカウントをレビューし、古い、デフォルトの、未使用のアカウントを削除します。
sudoと権限の割り当てを最小権限の観点で監査します。- SSH の構成を確認します。鍵ベースの認証、root ログインの無効化、パスワード認証の無効化、ブルートフォース対策です。
- 管理アクセスに対する多要素認証(MFA)を確認します。
4. ファイアウォールとネットワークセグメンテーション
- ファイアウォールがデフォルト拒否(default-deny)ポリシーに従い、必要なポートのみを公開していることを確認します。
- 1台のホストの侵害がネットワーク全体での自由な移動を許さないよう、ネットワークセグメンテーションをレビューします。
- 管理インターフェースが信頼できるソースまたは VPN に制限されていることを確認します。
5. マルウェアと rootkit の検出
- 既存の侵害を検出するために、マルウェアと rootkit のスキャンを実行します。
- システムバイナリと構成への予期しない変更を特定するために、ファイル整合性チェックを実施します。
6. ロギング、監視、検出
- セキュリティ関連のイベントが(例えば
auditdを介して)記録され、保持されていることを確認します。 - 攻撃者が容易に消去できないよう、ログがホストの外へ送られていることを確認します。
- 疑わしい活動がアラートを生成し、侵入が実際に気付かれるようになっていることを確認します。
7. データ保護とバックアップ
- 機密データが保存時および転送時に暗号化されていることを確認します。
- バックアップが存在し、サーバーの外に保管され、リストアによってテストされていることを確認します。
- 復旧プロセスが存在し、文書化されていることを確認します。
良い出力とはどのようなものか
有用な監査は、生のスキャナーレポートを渡すことはありません。リスク評価済みで優先度付けされた検出結果を明確な修正手順とともに提供し、何を最初に修正すべきか、そしてその理由が分かるようにします。スキャナーは誰でも実行できます。価値は、専門家による解釈、誤検知の排除、そして現実のリスクに対する優先順位付けにあります。
重要なポイント
- サーバーセキュリティ監査は、攻撃対象領域、構成、パッチ適用、アクセス制御、ネットワーク設定、マルウェア、監視をレビューします。
- CIS などの認められた基準に対してベンチマークし、マルウェアと rootkit のスキャンを含むことを期待してください。
- 成果物は、スキャナーのダンプではなく、修正ガイダンス付きの優先度付き・リスク評価済みの検出結果であるべきです。
- 監査は診断し、ハードニングは修正します。両者を一緒に使いましょう。
プロによるサーバーセキュリティ監査を受ける
徹底した監査は、どの検出結果が本当に重要かを知る経験豊富な目によって大きく役立ちます。サーバーセキュリティ監査サービス は、完全な攻撃対象領域のレビュー、CIS Benchmark への整合、マルウェアと rootkit の検出、ネットワークセグメンテーションのレビュー、優先度付けされたハードニングレポートをカバーします。現状の立ち位置が分かったら、Linux サーバーハードニングサービス とハードニングガイド が修正をカバーします。
よくある質問(FAQ)
サーバーセキュリティ監査とは何ですか? セキュリティ上の弱点を特定するためにサーバーの露出と構成を体系的にレビューすることであり、攻撃対象領域、OSとサービスの構成、パッチ状況、アクセス制御、ネットワーク設定、マルウェア、監視をカバーします。どこが脆弱で、どのように修正するかを教えてくれます。
監査はハードニングとどう違いますか? 監査は診断的です。弱点を見つけて優先順位を付けます。ハードニングはそれらを修正する是正作業です。現状を知るために監査し、次にギャップを塞ぐためにハードニングします。
サーバー監査にはマルウェアスキャンが含まれますか? 徹底したものには含まれます。構成レビューに加えて、将来のリスクだけでなく既存の侵害を検出するために、マルウェアと rootkit のスキャンおよびファイル整合性チェックを含むべきです。
サーバー監査はどの基準に照らして評価すべきですか? お使いのオペレーティングシステム向けの CIS Benchmark が一般的な基準です。客観的でディストリビューション固有の基準を提供するため、検出結果は主観的ではなく測定可能で再現可能になります。
サーバーはどのくらいの頻度で監査すべきですか? 定期的に、そして重要な変更の後に行うべきです。構成はずれていき、新しい脆弱性が現れるためです。多くの組織は、年次または半年ごとの詳細な監査と、その間の継続的な自動パッチ適用および監視を組み合わせています。
コメント