Q&A
ありがとうございます。一般的にはどういった施策を行なっている場合が多いのかと思い(個人、企業共に)漠然とした質問になってしまいました。
WEBサーバへ、DBサーバへのアンチウイルスソフトのインストールは必須(Linux、Windows)なのでしょうか?
サーバのセキュリティ対策として、ファイアーウォール等や権限の設定等が必要なことはわかりましたが、
ウィルス対策として、アンチウイルスソフトを入れた方が良いのかがわかりません。
WindowsだとWEBサーバへのウィルス対策をうたっているような製品は見つけられませんでしたし、Linuxだと、そもそもどんなアンチウィルスソフトがあるのがよくわかりませんでした。
一般的にWEBサーバ、DBサーバへは、どういった、ウィルス対策を行われている場合が多いのでしょうか、事例や使用しているツール等を教えていただけると嬉しいです。
回答3件
0
ベストアンサー
『一般的にWEBサーバ、DBサーバへは、どういった、ウィルス対策を行われている場合が多いのでしょうか』というご質問ですが、ウイルス対策ソフトの導入という点では、ネット専業の会社は一般的に「導入していない場合が多い」と思います。一方、一般企業や地方公共団体等ではウイルス対策ソフトを導入しているケースは多くあります。
なぜネットのプロたちがあまりウイルス対策ソフトを使わないかというと、端的に言うと、ウイルス対策ソフトの効果があまり期待できない場合が多いからです。
(狭義の)ウイルスの実体はファイルです。なので、ウイルスに感染するためには、まずファイルとしてのウイルスがサーバーに入り込まなければなりません。
一般利用者が使うパソコンの場合、メール受信やウェブ閲覧という形でファイルがパソコンに取り込まれるケースは多いです。しかし、この段階ではウイルスは単なるファイルに過ぎません。ウイルスとして活動を始めるには、ファイルがプログラムとして実行されなければなりません。その経路は、概ね以下の二種類です。
- 元々プログラムと実行可能なファイルであり、利用者が誤ってプログラムとして起動してしまう
- ファイルを閲覧するソフトの脆弱性により、ファイルがプログラムとして実行されてしまう
そして、現実に多いのは 1 のケースです。
サーバーの場合、サーバー上でウェブ閲覧したり、メールの閲覧をすることはあまりないでしょうし、避けるべきです。これらをしない前提では、ウイルスに感染するリスクはかなり減少します。
残りは脆弱性によるものですが、こちらはウイルスに限らず、不正アクセス全般に影響するものですのであり、かつウイルス対策ソフトではSQLインジェクション等の(ウイルス以外の)不正アクセスには対処できないのです。このため、脆弱性管理をきっちりするとか、IPSやWAF等の不正アクセス対策製品により防御することが効果的です。
まとめるとこうです。ウイルス感染の主な要因は、利用者によるファイルの不用意な操作と脆弱性のアクセ用です。サーバーの場合、前者はあまり考慮する必要がありません。また、脆弱性対処は重要ですが、ウイルス対策ソフトでは脆弱性対処のうちの一部しか対応できないので、あまり効果的ではないのです。
まだ半信半疑かもしれませんね。ケーススタディで、ウイルス対策ソフトが役に立つ状況を説明しましょう。
今、Struts2の脆弱性S2-052が話題ですが、とあるサーバーにS2-052脆弱性があり、外部から侵入されてしまったとします。多くの場合、以下のような順序で侵入が行われます。
- 攻撃者はS2-052脆弱性のあるサーバーを探す
- 攻撃者は、とあるサーバー上でS2-052による簡易的な攻撃を行い、脆弱性があることを見つける
- 攻撃者は、脆弱性を悪用して、ウェブシェルと言われる遠隔操作プログラムをサーバーにアップロードする
- 攻撃者がアップロードしようとしたウェブシェルがウイルス対策ソフトのパターンファイルにマッチしたため、ウイルス対策ソフトがウェブシェルを削除した
このように、攻撃が成功した後に、攻撃者が設置したものが たまたま ウイルス対策ソフトが対応している場合は、ウイルス対策が駆除(削除)してくれますが、ウイルス対策ソフトが対応してないファイルの場合は、何もしてくれません。
では、どの程度のウェブシェルがウイルス対策で駆除されるかですが、統計情報などは持ち合わせませんが、あまり期待できないと思います。その理由は、ウェブシェルはあまりにも単純なソフトであり、簡単に作ることができるからです。また、汎用ソフトウェアも遠隔操作プログラムとして使える場合があります。たとえば、Adminerというデータベース管理ソフトは、攻撃者の遠隔操作プログラムとして悪用されるケースがありますが、Adminerは汎用のソフトであり、ウイルスではないので、ウイルス対策ソフトで駆除するわけにはいきません。
また、S2-052のような危険な脆弱性は、外部からプログラムを実行できる性質をもっているので、攻撃者がその気になれば、遠隔操作プログラムを設置することなく悪事を働くことができます。この場合は、ウイルス対策ソフトはまったく無力です。
なので、上記の2ないし3で止めるべきです。それが脆弱性管理であり、IPSやWAFの導入です。また、ファイル改ざん検知システムを導入・運用すれば、ファイルの種類に関係なくアップロードされた時点で発見できるためお勧めです。
ただし、ウイルス対策ソフトをウェブサーバーに導入したほうがよいケースがあります。それは、利用者がファイルをアップロードできる場合です。一般利用者がファイルをアップロードでき、それを一般利用者がダウンロードできる場合は、サーバー上でウイルス感染することはありません(あるいは対策できる)が、ダウンロードしたユーザーがウイルスに感染するリスクはあります。このため、ストレージサービス等を運用する場合は、ウイルス対策ソフトを導入することが一般的です。
また、上記の理由から、データベース・サーバーにはウイルス対策ソフトを導入すべき理由はほとんどありません。
では、一般企業はウイルス対策ソフトを導入している場合が多いと冒頭に書きましたが、その理由は何でしょうか? 全ての理由を知っているわけではありませんが、以下が考えられます。
- サーバー管理者がなんとなく必要と思い込んでいる
- 企業や団体のセキュリティポリシーがウイルス対策ソフトの導入を求めている
- 顧客がウイルス対策ソフトの導入を求めている
私は別にウイルス対策ソフトを目の敵にするつもりもありませんが、多くの場合ウイルス対策ソフトの導入には費用や手間が掛かるので、そのコストをもっと効果的な対策に振り向けた方が賢明だと思っています。
投稿2017/09/10 13:52
総合スコア11701
0
サーバの場合、クライアントと違って機能もアクセス方法も限定されます。よってウィルスが入り込むためには、公開されている機能のあらを突いて潜り込ませることになります。
つまりは、サーバの脆弱性を突かれないようにすることが重要です。
よって対策としてはウィルス対策ソフトよりは、サーバーソフトウェアベンダーから、あるいはJPCERT などの脆弱性情報をこまめにチェックし、パッチを当てるなり設定を調整するなりといったことになります。
稼働中のサーバーにパッチを当てて一時的にでもサービスを止めることはリスクなので、いつやるかなどの調整も大切です。
あと当然ながら、「不要なサービスを起動させない」というのが一番ですね。
投稿2017/09/10 08:53
総合スコア13703
0
基本的に、ウイルス対策ソフトの導入は全てのPCに行った方が良いとは思います。Webサーバだからとか関係なしです。Linuxにも対策ソフトは存在します。
もしも、「PCの用途別のウイルス対策」を仰るのであれば、そもそもNW系統やセキュリティポリシーの大枠がわからないと具体的には答えようがありません。また、企業レベルの話ならば、各種サーバと連動する統合検知システム等についても整備するというような手段もあります。
投稿2017/09/10 07:54
総合スコア4830
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。