サーバセキュリティのよくある質問

セキュリティ対策における同様の関心をお持ちの皆さまの参考になればと、イベントやセミナーで多く聞かれた代表的な質問とその答えをご用意いたしました。
サーバ管理者向けにサーバのデータ保護に関するFAQと詳細資料をご案内します。
今後のセキュリティ対策のご参考にご活用ください。

問. ウイルスバスター コーポレートエディション サーバ版の仮想パッチ機能と Trend Micro Deep Security™ のIPS/IDS機能 は何が違うのでしょうか。

答. ウイルスバスター コーポレートエディション サーバ版の仮想パッチ機能(Trend Micro Virtual Patch for Endpoint)は、IPS/IDS機能としてクライアント端末で使われるOSやアプリケーションに対応しています。一方、Trend Micro Deep Securityには、上記のルールに加えてサーバで使われるOSやアプリケーションに対応しています。
よって、サーバに存在する脆弱性を狙った攻撃を防ぐためにはTrend Micro Deep SecurityのIPS/IDSが有効です。

問. ServerProtect™ を使っています。Trend Micro Deep Security との機能の違いを教えてください。

答. ServerProtectはウイルス対策のみ提供しています。
一方、Trend Micro Deep SecurityはIPS/IDSや変更監視機能など、サーバセキュリティに必要な複数機能を持ち合わせており、サーバの多層防御を実現します。 「ウイルス対策」の違いとしては、Trend Micro Deep SecurityはTrend Micro Smart Protection Network™に基づくクラウド型アーキテクチャにより、すべてのパターンファイルをサーバに保持する必要がなく、最新の不正プログラムにリアルタイムで検索(スマートスキャン)が可能です。
ServerProtectではこのスマートスキャンが実施できませんので、ServerProtectが保持しているパターンファイルのみを用いて不正プログラムを検出します。

ServerProtectに関する詳細Webページはこちら
Trend Micro Deep Security に関する詳細Webページはこちら

問. サーバを暗号化型ランサムウェアの攻撃から守りたい。何か有効な機能を持った製品はありますか?

答. ランサムウェアによってサーバが暗号化される方法は一般的に、サーバはランサムウェアに感染していないにも関わらず、クライアントに感染したランサムウェアがネットワーク越しに共有サーバを暗号化する、というものです。
このとき、有効なのはTrend Micro Deep SecurityのIPS/IDSです。クライアントからサーバのファイルを暗号化する通信のうち、特定の条件に合致したものを検知・防御します。これにより、クライアントに感染したランサムウェアがサーバを暗号化するのに対処することが可能です。
また、ランサムウェアがサーバに感染し、サーバを暗号化してしまう場合においては、Trend Micro Deep Securityの不正プログラム対策(挙動監視機能)、アプリケーションコントロールが有効です。
また、国内でも大きな話題となった暗号化型ランサムウェア 「WannaCry」のように、特定の脆弱性を利用して社内で横展開するランサムウェアには、Trend Micro Deep SecurityのIPS/IDSで脆弱性を利用する通信を検知・ブロックすることも有効です。

関連資料:猛威を振るうランサムウェア WannaCry
Trend Micro Deep Security 仮想パッチでサーバへの感染拡大防止

“WannaCry”はファイル共有プロトコルServer Message Block(SMB)の脆弱性を利用し、社内にネットワーク経由で拡散するワーム活動機能を持ちます。感染すると端末内部や、ネットワーク共有上のファイルを暗号化。サーバ管理者としてはSMBv1プロトコルを無効化/削除、セキュリティ更新プログラムの適応など、セキュリティ対策を今一度見直す必要があります。しかし、様々な理由でセキュリティパッチ適用が難しい場合、Trend Micro Deep Securityの仮想パッチをお勧めします。サーバを停止することなく対策でき、推奨設定機能が自動でルールを適用。Trend Micro Deep Securityを利用したランサムウェア感染拡大防止策をご確認ください。

Trend Micro Deep Security に関する詳細Webページはこちら

問. 個人情報を管理しているサーバを保護したい。どのようなセキュリティ対策が有効でしょうか。

答. キーワードは「脆弱性対策」と「多層防御」です。
2017年に報道されたサーバからの情報漏えい事故のうち、68%がサーバに存在する脆弱性を利用されたことが原因だと判明しています※。 また、サーバから情報を盗み出す攻撃プロセスの各段階に対応した多層防御を施すことも重要です。サーバへの攻撃プロセスは一般的に「①サーバへの脆弱性を攻撃」「②サーバの権限を奪取」「③不正ファイルやツールを設置して情報を抜き出す」の3段階で構成されます。
それぞれ、①にはIPS/IDS、②にはセキュリティログ監視、③には変更監視・不正プログラム対策など複数の機能を用いて多層で防御することが重要です。
※ 2017年1月~3月までに報道された事例をトレンドマイクロで独自に整理。

関連資料:Web サイトの脆弱性を狙ったサイバー攻撃が続発

2017 年に入り、Web サイトで用いられている著名なソフトウェアで深刻な脆弱性が立て続けに発覚し、これらの脆弱性が狙われたインシデント事例が多数報道されました。本資料は被害事例や、WordPress や Apache Struts2 の脆弱性が攻撃された手法を詳細に解説。そのうえで、IT管理者としてどのような対策が必要なのか記載しています。