sshやDNS bind など脆弱性が発見され、至急のパッチ適用が必要となる場合があります。特に特権(rootやadministrator権限)を取得される脆弱性はすぐにでもパッチを適用すべきでしょう。
この場合「サーバはFirewallなどのACL(Access Control List)でガードされているので、パッチの適用は不要です」という意見もあります。
スポンサード リンク
スポンサー リンク
しかしやはりパッチは適用すべきです。
昔(1990年代)の攻撃はFirewallの外からポートスキャンを使用したりFirewallの脆弱性を狙った攻撃でした。この場合はACLで守ることが有効でした。
しかし最新の攻撃ではFireWallの中(DMZやそれ以上)に入り込んでの攻撃であるため、Firewallでの防御は役に立ちません。
(ちなみにAPT、標的方攻撃では偽装したメールに添付して中に入り込んだり、水のみ場攻撃、ドライブバイダウンロードによりマルウェアをダウンロードさせたりします。)
よって「Firewallでガードしているので、サーバに脆弱性が存在しても攻撃されません」というのは誤りと言えるでしょう。
脆弱性は OS、アプリ、ミドルウェアなどで発見されます。常にベンダからの情報や、脆弱性データベースをチェックしてパッチは可能な限り早く適用することを検討するべきです。
最近では「次世代ファイアウォール」として、IPレピュテーション機能やサンドボックス機能を備えたセキュリティ機器も存在します。これらは単にIPアドレスとポートで通信の許可/拒否を行うのではなく、接続元のIPアドレスの信頼性をチェックしたり、通信内容から添付ファイルやダウンロードファイルを実行して不正なコードが含まれないかをチェックします。
これらはAPTには有効なので、是非導入してもらいたい機能です。
| まとめ ・脆弱性対応のパッチ適用は必須。FireWallで守られているから大丈夫というのは誤り。 ・Firewall導入は必須だが、次世代Firewallと呼ばれるセキュリティ機器も導入すべきである。ただし次世代Firewallには明確な定義は無く、様々な機能が存在する。 |