Linuxサーバのセキュリティ対策を再考する
「Linuxだけは安全」なのか? IT担当者とセキュリティ・ベンダーが「本音」を語るシステムのオープン化やITコスト削減という追い風を受け、Linuxのサーバの導入が多くの企業で進められている。だが、Linuxサーバのセキュリティ対策に関する実情についてはあまり耳にする機会がない。本稿のパート1では、現在Linuxサーバを導入しているユーザー企業のIT担当者の方々を招き、Linuxサーバのセキュリティ対策、ウイルス対策に対する「本音」を匿名で語っていただいた。また、パート2ではセキュリティ製品ベンダーが、Linuxサーバのセキュリティにおける“常識”の嘘や、あるべきセキュリティ対策の姿について解説している。
■Part 1/Linuxサーバのセキュリティ、IT担当者が語る「実際のところ」
■Part 2/セキュリティ企業に聞く、サーバ・セキュリティの『実践術』
※ここではパート2記事から抜粋して掲載します。
セキュリティ・レベルが 企業価値を左右する時代
──もし企業のサーバがセキュリティ被害をこうむった場合、どのような状況に陥ると考えられるでしょうか。
山田:10年前、「Code Red」ワームによる被害が生じた時には、WindowsサーバでWebサイトを公開していた多くの企業で業務が停止してしまうという事態が発生しました。ビジネスとITがより密接となり、サイバー攻撃の性質も変わった現在では、その被害はさらに大きくなるのは間違いないでしょう。
──過去と現在のサイバー攻撃の性質の違いとはどのようなものでしょうか。
山田:以前は、どちらかというと攻撃者が自分の技術を試して自己満足を得るために攻撃するという傾向が強かったのですが、現在では金銭的な利益を不正に得るための攻撃が主流になっています。実社会の犯罪と変わらず、ITツールを使って窃盗や詐欺を行うイメージですね。
これに伴って、攻撃手法もできるだけ目立たない、気づかれにくいものが選ばれるようになっています。また、ひそかに企業のWebサイトなどに侵入し、不正な仕掛けを施して、アクセスしたユーザーにマルウェアをダウンロードさせたり、情報を詐取したりする手口も増えています。
──攻撃側の変化を受けて、セキュリティ対策に対する考え方にも変化が求められているのでしょうか。
鈴木:そうですね。以前は自社のサーバやデータを守ることが目的となっていましたが、現在はそれだけでは済みません。自社のサーバが他者のサーバに対する攻撃の「踏み台」にされたり、先に触れたように「マルウェアの配布元」にされたりする可能性もあります。不正行為に加担させられるようなことになれば、社会的な影響は非常に大きく、顧客からの信用も失墜しかねません。
また、グローバル展開している企業の場合は、セキュリティ・ルールが国ごとに異なる場合もありますから、日本拠点は独自に国内向けのルールを設ける必要があることも忘れてはならないポイントでしょう。
──ステークホルダーと協力したセキュリティ対策が必要ということですね。
鈴木:はい。実際に我々も、取引先から当社のセキュリティ対策がどのように行われているのか、具体的な内容を問われることがありますし、逆に我々からお取り引き先に対してそれを問うことも多いです。ビジネスで関係する多くの企業と協力してセキュリティ意識を合わせることで、お互いに守られているのだと感じますね。
山田:仮にアウトソーシング先企業のセキュリティ・レベルが低ければ、自分たちも被害をこうむるリスクが高まりますよね。ビジネスでお付き合いする相手には、セキュリティ・レベルを問うのが当たり前の時代になっているのだと思います。セキュリティ・レベルが低い、あるいはセキュリティ・レベルが具体的に証明できない場合には、そもそもビジネスの土俵に上がらせてもらえなくなるのではないでしょうか。これでは貴重なビジネス・チャンスを失うことになってしまいます。
