システムのセキュリティについて
システムのセキュリティへの取り組み
インターネットに接続したサーバマシンを運営するには、考慮しなければならない問題がたくさんあります。そのような問題は、サーバの安定性と利便性にとって常に脅威となります。サービス拒否攻撃(DoS攻撃)を受ける、ウイルスに攻撃される、サーバを乗っ取られてスパムメールの踏み台にされる、迷惑なメールを送りつけられるなど、不適切な使われ方や不測の事態からサーバを守るには、管理者が常に警戒する必要があります。
FirstClassのインターネットサービスは、このような脅威に対抗するために必要な機能を以前から搭載していました。しかし、今バージョンではさらに強力な機能を搭載し、管理がより簡単にシステムのセキュリティを強固に設定、維持できるようにしました。インターネットサービスのセキュリティ設定方法を詳しく説明する前に、ご利用のインターネットサービスのセキュリティをより確保するための一般的なセキュリティ対策について説明します。
サーバマシンの物理的な保護
システムが悪用されないようにする第一歩は、未登録のユーザによってインターネットサービスのマシンに不正な変更を加えられないようにすることです。このような悪用の例としては、マシンを物理的に動作不能にすることや、マシンが攻撃を受けやすくなるようなソフトウェアを仕込んで設定することなどがあります。
不正使用からのサーバマシンの保護
インターネットサービスのマシンを物理的に保護できない場合は、サーバが無断で使用されないようにする必要があります。対策としては、マシンで利用するパスワードを厳重にすることや、ユーザグループと会議室に権限を設定してユーザが利用できる機能を制限することなどが考えられます。
例えば、インターネットサービスをWindowsのサービスやUnixのデーモンとして実行できます。こうすれば、マシンをログインしたままにしていても無断で操作される心配がなくなります。
ネットワーク攻撃からのサーバの保護
インターネットサービスが悪用されないようにする次の方策は、OSレベルで行います。OSの製造元が提供する最新のセキュリティパッチを必ず適用し、低レベルのネットワークからのサービス拒否攻撃を防ぐようにしてください。
また、インターネットサービスのマシンで使用しないネットワークプロトコルを無効にしてください。有効にしていると、ネットワーク接続を許可するソフトウェアがご利用のシステムへの侵入口となってしまう可能性があります。インターネットサービスの実行中は、利用するように設定したネットワークポートしか使われません。ファイル共有、ネットワークログイン、ネットワーク管理プロトコル、その他のWebサーバは、マシンに侵入するための土台としてよく悪用されます。
問題を起こす接続からのシステムの防御
特定のIPアドレスが自分のシステムのセキュリティをチェックしている(例えば、Code Redウイルスに感染させようと試みたり、システムリソースを勝手に消費したりしている)ことがシステムのログで判明したら、そのIPアドレスをブロックすることを検討してください。そのようなIPアドレスからの接続は、放置せずに拒否することをお勧めします。[インターネットモニタ]フォームの[セキュリティ]タブには警告ランプがあり、IPアドレスとホスト名が表示されます。これにより、疑わしい活動を見つけ出し、攻撃を仕掛けているIPアドレスを簡単にブロックできます。
IPアドレスをブロックする場合は、そのIPが安全なサイトのIPアドレスではないこと、および一時的に配布されているIPアドレス(インターネットサービスプロバイダのDHCPから配布されたIPアドレスなど)ではないことをよく確認してください。インターネット上には、IPアドレスの所有者を確認するために利用できるサイトが数多くあります(www.samspade.orgなど)。
SMTPリレーの禁止
ご利用のマシンでSMTPリレーを行う必要がない場合は、無効にしてください。必要がある場合でも、できるだけ機能を限定してください。スパム配信業者は、オープンリレーを見つけ出して利用する傾向があります。スパムメールをご利用のサーバから配信しているように見せかければ、スパムメールを通常のメールと思わせることができるためです。このように利用されてしまうと、ご利用の帯域がメールの大量配信に使われてしまいます。管理者は、通常のメールをブロックしないようにしながら、できる限り早くスパムメールを拒否する必要があります。
|