質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.33%

  • Linux

    4035questions

    Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

  • CentOS

    2831questions

    CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

  • セキュリティー

    476questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

脆弱性対応

解決済

回答 4

投稿

  • 評価
  • クリップ 1
  • VIEW 598

 前提

  • 外部にWebサービスを提供している
  • lvs,Web,redis,DNS
  • CentOS

 質問内容

外部に対してwebサービスを提供するにあたってのセキュリティがよくわかっていません。
そこでセキュリティについて質問になります。

カーネルやソフトウェアに重大な脆弱性が発見された場合、
【即時に対応】
するに関して質問です。

一つ目
仮にルータで100%悪意のある通信は遮断して正常な通信しか通さないことが可能である場合、カーネルやソフトウェアで重大な脆弱性が発見された場合、即時に対応するなんて必要ないでしょうか?

二つ目
どんなにセキュリティ対策をしても、一つ目の質問のような100%悪意のある通信を防ぐような安全なセキュリティ対策は現実では不可能なので、万一のことを考えて即時対応となる、ということで良いのでしょうか?

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 4

+4

仮にルータで100%悪意のある通信は遮断して正常な通信しか通さないことが可能である場合

この前提がおかしいと思います。ルーターに「悪意のある通信」を見分ける能力はありません。
特定の脆弱性を攻撃するためには、特定ポートが開いている必要があるという状況ならよくあります。そのため、ルータでそのポートが閉じられている場合は、即時の対応は必要でないケースが多いと思います。
また、ライブラリの脆弱性であれば、通常は、脆弱性のある機能(関数やメソッド)を呼び出していなければ、脆弱性の影響は受けません。この場合も、即時の対応は必要ありません。

しかし、言葉尻を捉えるようで恐縮ですが、もし本当に「外部に対してwebサービスを提供するにあたってのセキュリティがよくわかっていません」という状態であれば、上記の判断は難しいのではないでしょうか?もしそうであれば、安全を期するためには、全ての脆弱性に対してできるだけ早く対応するしかないような気がします。
そういう意味では、

どんなにセキュリティ対策をしても、一つ目の質問のような100%悪意のある通信を防ぐような安全なセキュリティ対策は現実では不可能なので、万一のことを考えて即時対応となる、ということで良いのでしょうか?

これに対する答えはYESです。ただし、即時対応が常にできるわけでもないので、(堂々巡りの感はありますが)即時対応が必要かどうかの判断(セキュリティの世界でもトリアージと言います)を行うわけです。

脆弱性対応の中でも、影響切り分けは難度の高いものなので、がんばってできるになって欲しいとは思いますが、そんなに簡単に身に着けられるものでもありません。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/01/05 09:06

    ご回答ありがとうございます!

    >そもそもルータに「悪意のある通信」を見分ける能力はありません。

    プラス、IPS/IDSを導入したとしてもゼロディ攻撃があるので、外からLAN内に100%悪意のある攻撃を防ぐなんてそもそもないのですね。だからこそ脆弱性対応は必須、理解できました!ありがとうございます!

    > そのため、ルータでそのポートが閉じられている場合は、即時の対応は必要でないケースが多いと思います。 また、ライブラリの脆弱性であれば、通常は、脆弱性のある機能(関数やメソッド)を呼び出していなければ、脆弱性の影響は受けません。この場合も、即時の対応は必要ありません。

    場合によって即時の対応が必要ありなしの判断するのですね。ただ、脆弱性対応の中でも、影響切り分けは難度の高い、だからこそ、安全を期するためには、全ての脆弱性に対してできるだけ早く対応するしかないとのこと、理解できました。肝に命じたいと思います。


    貴重なご意見ありがとうございました!



    キャンセル

checkベストアンサー

+2

ルータで100%悪意のある通信は遮断して正常な通信しか通さないことが可能

端的に言えば不可能です。なのでこの点は質問が成立しません。
例えばSQLインジェクションなどはhttp通信を使うので、ファイアウォールで遮断することはできません。
ではIDS/IPS、WAFを使えばいいのかと言うと、ゼロデイ攻撃というものが存在するので事はそう簡単ではないです。
※何らかの手段で悪意ある通信を100%遮断できるならラクなんですけどね…

万一のことを考えて即時対応となる、ということで良いのでしょうか

基本的にはそれでよいと思います。
ただし「即時」と言っても事前検証、各種根回しや告知が必要になると思うので、数時間から1日くらいはタイムラグが出てしまう可能性があります。
何も考えずに(事前確認も何もせずに)いきなり適用、というのもあり得る話ではありますが、その辺は脆弱性の内容次第になるかと思います。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/01/05 09:06

    ご回答ありがとうございます!

    > 端的に言えば不可能です。なのでこの点は質問が成立しません。 例えばSQLインジェクションなどはhttp通信を使うので、ファイアウォールで遮断することはできません。 ではIDS/IPS、WAFを使えばいいのかと言うと、ゼロデイ攻撃というものが存在するので事はそう簡単ではないです。

    なるほどです!そもそも100%遮断することができないのですね。すごく勉強になります。ありがとうございました!


    > ただし「即時」と言っても事前検証、各種根回しや告知が必要になると思うので、数時間から1日くらいはタイムラグが出てしまう可能性があります。

    みなさん業務都合の上でなるべく早く対応されているのですね。理解できました!ありがとうございました!

    貴重なご意見ありがとうございました!

    キャンセル

+2

質問の内容から見て、運用中のサービスがありながら、セキュリティに関しての理解が全く足りていない状態だと思います。

本業がWebサービスの提供なのであれば、そこにリソースを絞る方向で検討されてはいかがでしょうか?
PaaS、SaaSを前提にすることで、理解しなければならない範囲をおおいに狭めることが可能となります。

ちなみにですが、究極の即時対応は、サービスの提供停止/リソースのネットワークからの切り離しです。
通常は、脆弱性の内容を検討し、その影響範囲を精査し、パッチの適用の検討、テスト等の工程を経て、アナウンス、メンテナンス実施となるため、かなり時間がかかってしまいます。

脆弱性発見の段階でサービス停止を実施するケースは無いかと思いますが、サービス停止をする判断基準(例えば、脆弱性発見ではなく、脆弱性を利用された痕跡の発見やそれによるデータ流出の痕跡発見等)を事前に決めて、経営層の承認をもらっておくことで、一番混乱する時期に正しい判断を下す余裕ができる事があります。

合わせて検討されてはいかがでしょうか。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/01/05 12:51

    ご回答ありがとうございます!

    > サービス停止をする判断基準(例えば、脆弱性発見ではなく、脆弱性を利用された痕跡の発見やそれによるデータ流出の痕跡発見等)を事前に決めて、経営層の承認をもらっておくことで、一番混乱する時期に正しい判断を下す余裕ができる事があります。

    なるほどです!色々試行錯誤していきたいと思います。是非参考にさせて頂きます。

    貴重なご意見ありがとうございました!

    キャンセル

-2

一つ目 
仮にルータで100%悪意のある通信は遮断して正常な通信しか通さないことが可能である場合、カーネルやソフトウェアで重大な脆弱性が発見された場合、即時に対応するなんて必要ないでしょうか?

ものによります。極めて重大な脆弱性の場合は即時対応必須かと思います。
ただ、その「即時」のレベルがサービス内容によって変わってきます。

二つ目 
どんなにセキュリティ対策をしても、一つ目の質問のような100%悪意のある通信を防ぐような安全なセキュリティ対策は現実では不可能なので、万一のことを考えて即時対応となる、ということで良いのでしょうか?

どのレベル感か?にもよるのですが、、、
一般的に最低限求められる、クロスサイトスクリプティングなどの対応は必須かなと。
その上でどこまで必要なのか?はやはりサービス次第です。

もし開発されているサービスが請負なのであれば請負元に確認、
自分がオーナーであるサービスなのであれば、自分が許せる範囲で最低限の対応をしておく、が良いかと。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/01/05 09:06

    ご回答ありがとうございます!

    サービス内容によって、影響範囲によって「即時」かどうか判断するのですね。理解できました。ありがとうございます!

    貴重なご意見ありがとうございました!

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.33%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

同じタグがついた質問を見る

  • Linux

    4035questions

    Linuxは、Unixをベースにして開発されたオペレーティングシステムです。日本では「リナックス」と呼ばれています。 主にWebサーバやDNSサーバ、イントラネットなどのサーバ用OSとして利用されています。 上位500のスーパーコンピュータの90%以上はLinuxを使用しています。 携帯端末用のプラットフォームAndroidは、Linuxカーネル上に構築されています。

  • CentOS

    2831questions

    CentOSは、主にRed Hat Enterprise Linux(RHEL)をベースにした、フリーのソフトウェアオペレーティングシステムです。

  • セキュリティー

    476questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。