Webサイトの安全確認を3ステップで SiteLock

知らないと危険!システムエンジニアが理解しておくべきセキュリティの知識


「システムエンジニアにとってセキュリティの知識は必要でしょうか?」。

この質問に対して皆さんはどう答えますか。多くの方が「必要」と思うのではないでしょうか。

先日、世界を震撼させたランサムウェア(身代金要求型ウィルス)のニュースは記憶に新しいところだと思います。こういったインターネット上の脅威に対して、システムエンジニアもしっかりとした知識を持って防御策を施す必要があります。
では、システムエンジニアはいったいどういった知識を持って、どのような対策を施せば良いのでしょうか。

システムエンジニアのセキュリティ知識ってどの程度?

「IT関連の仕事をしているのでセキュリティについても詳しそう」とか「仕事柄、一般の人よりも意識が高そう」といったイメージを持たれている方も多いと思います。
実は意外とそうでもありません。もちろんシステムエンジニアにもさまざまな人がいて、セキュリティ関連の豊富な知識を持っている人もたくさんいます。しかし、実は一般の人とあまり変わらないという人も結構いるのです。
一般的に言われるセキュリティ知識とは以下のようなものではないでしょうか。

  • ウィルス対策ソフトを導入する
  • 不審なメールやWebサイトは開かない
  • パスワードは複雑なものにして、定期的に変更する

こういった内容、システムエンジニアではなくても多くの方がご存知だと思います。これに加えてシステムエンジニアが知っている内容としては筆者の経験上、以下のようなものが挙げられると思います。

  • ウィルス対策ソフトは導入するだけでなく、ウィルス定義ファイルを定期的に更新する
  • ファイヤーウォールを設置する

システムエンジニアが現状で持っている知識といえば多くの場合はこれくらいだと思います。

なぜセキュリティの知識が必要?

しかし、今なぜセキュリティの知識が必要になるのでしょうか。それは「セキュリティ上の脅威が増している」からに他なりません。

例えば、先日世界中で流れたランサムウェアの脅威もこういった脅威の一つです。コンピュータがランサムウェアに感染すると、データがすべて暗号化され、それを再び利用できるようにするためには、ランサムウェアの作者にお金を払う必要があるのです。また、以前のコンピュータウィルスといえば、不特定多数をターゲットとしていましたが、現在は標的型攻撃と言って、特定の企業や組織・個人をターゲットとして不正アクセスなどを含めた攻撃を行うのが主になってきています。

このようにセキュリティ上の脅威は年々悪質なものとなり方法も巧妙になってきています。また一昨年の秋からは被害件数も以前の数倍のレベルで急激に増えています。こういった現状について独立行政法人 情報処理推進機構(IPA)も注意喚起を促しているところです。
こういった現状を踏まえてITエンジニアも以下のことをしっかりと行う必要があると思います。

  • セキュリティの脅威に強いシステムを構築し、運用すること
  • 悪意を持った攻撃に強いネットワークの構築と運用

PCにウィルス対策ソフトウェアの導入や、不審なメールを開かないといった対策も非常に重要なことであり、また大きな効果が得られます。しかし、より効果のあるセキュリティ対策を行うためには、PCが利用するネットワークやサービスを受けるためにアクセスするサーバーなどのインフラ全体のセキュリティをより強固なものにする必要があります。

そこで、ITの専門知識をもつシステムエンジニアがしっかりとしたセキュリティに関する知識を持って、強固なシステムを作る必要があるのです。

システムエンジニアが理解すべきセキュリティの知識

インフラ全体をセキュリティ的に強固で安全なものとするためには、基本的なところとして掲げたPCなどの端末側のウィルス対策などのような「端末」の対策に加えて、「サーバー」「ネットワーク」のセキュリティ対策を行うことが必要です。これによって、端末という1方向からのアプローチであったのが「サーバー」「ネットワーク」を加えた3方向からのアプローチとなり、より強固な対策となるのです。

そこで「サーバー」と「ネットワーク」に対するセキュリティ対策で大きな役割を果たすのがシステムエンジニアです。こういった重要な役割を果たすためには、システムエンジニアはどのような知識を習得しておく必要があるのでしょうか。
例えばセキュリティ関連のよく知られた資格であるCompTIA Security+では、以下のような出題内容でテストが実施されます。

  • ネットワークセキュリティ
  • コンプライアンスと運用セキュリティ
  • 脅威と脆弱性
  • アプリケーション、データ、ホスティングセキュリティ
  • アクセスコントロール、認証マネジメント
  • 暗号化

技術的に高度な内容はセキュリティエンジニアに託すとしても、こういった内容の基礎的な部分や考え方についてはシステムエンジニアも理解しておく必要があります。

危険な脆弱性とその対策

最後に現在、注意すべき脆弱性にはどんなものがあり、それぞれどういった対策をすれば良いのかということをいくつか例にあげて見てみましょう。

1. SMB v1 の脆弱性 (MS17-010)

Microsoft Server Message Block 1.0 (SMBv1) サーバーの脆弱性により、悪意を持った攻撃者が不正なコードを実行することで、リモートでシステムを操作されてしまう。これを悪用したのが先日のランサムウェアWannaCryptである。

<対策>

Microsoftから修正プログラムがリリースされているので、適用する。

「Microsoft Windows SMB サーバー用のセキュリティ更新プログラム (4013389)

2. Adobe Flash Playerで不正なコードが実行される脆弱性

悪意を持ったWebサイトを閲覧することで、DoS攻撃が行われたり、任意のコードが実行されたりするというもの。これによって、アプリケーションが異常終了したり、PCがリモートで乗っ取られたりする可能性がある。

<対策>

対策は以下の2つです。

  • 1)Adobe Flash Playerを最新版に更新する
  • 2)ブラウザを最新版に更新する

3. WordPressのREST APIの脆弱性

2017年2月10日にThreatpostにより公開されたもので、WordPressのREST APIに存在する脆弱性のため、リモートでデータの書き換えが行えるようになる。

<対策>

「WordPress 4.7.2」で対応がなされているので、バージョンアップを適切に行う。

主な脆弱性と対策を掲げましたが、これを見てもリモートで端末が操作されてしまうなど、危険性が高いことがお分かりただけると思います。

そこで有効なのが「SiteLock」です。「SiteLock」はオールインワンのクラウドベースのセキュリティ対策サービスで、以下のような特徴があります。

  • WebサイトやWordPressの脆弱性のチェックができる
  • マルウェアや不正なコードの検知と駆除ができる
  • Webサイトの改ざんチェックができる

この「SiteLock」を利用することで、「Webサイトの脆弱性を可視化」して分かりやすくチェックすることが出来たり、マルウェアなどの脅威を簡単に駆除したり、というさまざまなメリットがあります。「SiteLock」を知識を持ったシステムエンジニアが有効に使うことで、脅威に対して迅速で余裕を持った対応が出来るようになり、問題の発生を防止することが出来ます。

まとめ

近年、マルウェア感染や情報漏えいなど急激にセキュリティ関連の事故事例が増えています。先月もチケット関連業務を行なっている「ぴあ」が不正アクセスによりクレジットカード情報約3万2000件を含む個人情報約15万5000件を流出させてしまったと発表しています。またランサムウェアWannaCryptによる事件では今の所、少なくとも世界150カ国で計20万件の被害が出ていることが明らかとなっています。

こういった中、「端末にウィルス対策ソフトウェアを導入する」「不審なメールは開かない」などの対が策に加えて、システムエンジニアが行うべき「セキュリティ的に強固なシステム・ネットワークを作る」などといった役割の重要性が増しています。
こういった課題に対応するためには「SiteLock」のようなセキュリティ対策サービスを使うことも大きな効果があります。
今後、こういった記事を参考にしてシステムエンジニアがセキュリティ対策の分野でどういう役割を果たすべきで、何を学ぶ必要があるのかということをしっかりと認識すべきはないでしょうか。

参考文献


執筆者プロフィール

早坂浩充
1974年生まれの43歳。首都圏、京阪神でサーバーエンジニアとして15年程度業務に従事してきた。現在は、社内システム部門の取りまとめ役として様々なIT関連の事柄の解決やIT戦略の立案などに日々取り組んでいる。

SiteLockのプラン・料金を調べる