セキュリティ診断

  セキュリティ診断を実施することで、サーバネットワークの持つ脆弱性(ぜいじゃくせい)を発見することができます。セキュリティ診断にはいくつかの方法がありますが、もっとも確実な方法は情報セキュリティ専門家による診断サービスを依頼することです。

  一般的なセキュリティ診断サービスは、外部からの診断と内部からの診断の2通りのサービスを用意しています。外部からセキュリティ診断は、インターネットから擬似的にアタックを試みるものが多く、攻撃に利用される可能性のある脆弱性などを発見するのに役立ちます。内部からのセキュリティ診断は、主にネットワーク全体のセキュリティ強度を診断することを目的していて、事前に依頼者が提供したネットワークサーバの情報を元にして、さらに詳細な診断を実施します。

セキュリティ診断

  外部からのセキュリティ診断は、対象とするサーバグローバルIPアドレスを通知するだけで、すぐに依頼できるものもありますが、内部からのセキュリティ診断は、ネットワークサーバの情報を情報セキュリティ専門家に提供しなければならないため、手間と時間が掛かります。

  これらのセキュリティ診断によって、WebアプリケーションSQLインジェクション脆弱性や、セッションハイジャック脆弱性の有無などを診断することで、設置したサーバのセキュリティ強度が確認でき、さらに強化すべきポイントを明確にすることができます。

  なお、これらのセキュリティ診断は一般的には有料のサービスとして提供されていますが、インターネットで公開されているフリーウェアの診断ツールを入手して、自分である程度のチェックを試みる方法もあります。

コラム ~ DNSSEC ~

  DNS(Domain Name System)は、インターネット上のホスト名IPアドレスとの対応づけを管理するために使用されるプロトコルです。

  DNSドメイン名IPアドレスの一意性を保つためにドメインツリー構造を取っています。Webサーバへのアクセスやメールの送受信など、インターネット上の多くのアプリケーションDNSサービスの存在を前提としていることから、DNSはインターネットの基盤サービスとも言われています。

  DNSにはキャッシュする情報を書き換えられる脆弱性(ぜいじゃくせい)があることが知られています。これが正規の通信を不正なコンピュータに誘導するために利用され、フィッシング詐欺などに悪用されることがあります。このような攻撃はDNS キャッシュが汚染されるということから「DNSキャッシュポイズニング」と呼ばれています。

  DNSSECDNS Security Extensions)は、DNSのセキュリティを向上させるための拡張機能です。DNSSECは、ドメインの権威を持つDNSサーバの応答にデジタル署名を付加することで、正当な権威サーバによって生成された応答であること、また応答内容が改ざんされていないことを保証します。
 


  2010年7月15日には、世界各地のルートサーバDNSSECの運用が開始されました。2011年1月からは、日本国内の.jp(ドット・ジェイピー)ドメインでも運用が始まっています。

  まずは、自分たちの組織が利用しているインターネットサービスプロバイダやホスティングサービスが、DNSSECに対応しているかを確認しましょう。