脆弱性 - Microsoft
Download
Report
Transcript 脆弱性 - Microsoft
GOAL
Windows環境における、SAP R/3の
セキュリティー設計、運用の概要を説明します。
H/W・S/W・N/W構成設計、パッチ管理運用に関し
てご紹介いたします。
セキュリティ更新プログラムの適用頻度を減らすこ
とにポイントをおいた設計・運用をご紹介いたしま
す。
一年に一度程度のセキュリティ更新プログラムの
適用でも十分にセキュリティの確保が可能となり、
運用負荷の低減、高可用性の実現も可能となりま
す。
AGENDA
過去の脆弱性の整理
セキュアな環境のための設計、運用
ハーデニング
パッチ管理(リスク評価を中心として)
脆弱性の整理 1
1999-2004で見つかった脆弱性の数
1999年
2000年
2001年
2002年
2003年
2004年
61
100 --- 年の初めにWindows2000を発売
60 --- 年の終わりにWindowsXPを発売
72
51 --- 6月にWindows2003を発売
39(11/22現在)
※この見つかった脆弱性の数にはOS、IE、OFFICE、各種プロダクトを
※含んでいます。またサーバ製品、デスクトップ製品に関しても含んでいます。
※また、リスクの非常に低いものから、高いものまで含んだ値です。
攻撃傾向の変化
VIRUS・ワームの感染経路の変化
(インターネットの普及により)
メディア経由型
メール経由型
ネットワーク経由型
VIRUS・ワームのアタックポイントの変化
不注意(FD経由、マクロ利用、メール添付ファイル)
悪意あるWEBサイト、VIEWER等の脆弱性の利用
メール添付型のVIRUSはいぜん多い。(対象はクライアント)
フィッシング詐欺は急増している。 (対象はクライアント)
匿名攻撃が可能な脆弱性の利用
Windows特有ポート(NETBIOS関連ポートへの攻撃)
脆弱性の整理 2
1.ネットワーク経由匿名攻撃が可能
2.管理者権限の取得が可能
サーバ製品かつリスクの非常に高い脆弱性は
11個(Winodws2000 Server 11/383)です。
MS01-033 2001/06/19
MS02-039 2002/07/15
MS03-007 2003/03/18
* MS03-026 2003/07/17
* MS03-039 2003/09/11
* MS03-043 2003/10/16
* MS03-049 2003/11/12
MS03-051 2003/11/12
* MS04-007 2004/02/11
* MS04-011 2004/04/14
* MS04-012 2004/04/14
IIS(現実的な回避策あり)
SQLServer
IIS(現実的な回避策あり)
OS
OS
OS (現実的な回避策あり)
OS
IIS(現実的な回避策あり)
OS(ANS)
OS
OS
※狙われる対象数等を考慮にいれると 最もリスクの
※高い脆弱性は 6個 (ポートフィルタ設定されていない場合)となります。
※(6/383)
脆弱性を狙ったVIRUS
2003-2004で悪用された脆弱性
2003年
* MS02-039
MS03-014
* MS03-026
MS01-020
SQL Slammer
Mimail
Blaster
Swen
2004年
* MS04-011 Sasser
* : サーバを狙う可能性があるもの
Windows Server 2003は?
Windows Server 2003の脆弱性は?
Windows 2000 Server の 1/5以下
・設計当初からのセキュリティの考慮
・デフォルト設定の強化
※但し、前のスライド記述のもっともリスクの
※高い脆弱性の数(6個)はW2K3でもリスクが高い。
!!!!SP1!!!!
SAPサーバ環境では?
SAPサーバでは、基本的にIE,MAILを使用しません。
SAP環境で使うポートは、3xxxが中心です。
サブネット単位で殆どのポートを遮断可能である。
ポートフィルタリング(特にNETBIOS関連)されてい
るNETWORKでは、現実的に緊急度の高い脆弱性
数は以下のみと考えることもできます。
MS04-007 2004/02/11
OS(ANS)
脆弱性の整理 まとめ
全ての脆弱性が高リスクではありません。
1ヶ月以内程度に対策が必要が脆弱性は少ない。
とはいえ、Blasterワームは脆弱性
公開後25日で出回ったのでは?
SASSERは、15日、、、
※設計、運用を一定レベルにすることのより
設計重要ポイント:ハーデニング
運用重要ポイント:パッチマネージメント、特にリスク評価
※リスクの極小化、可用性の最大化が可能となります。
アドホックな対策は不要となり、6ヶ月から一年に一度程
度の定期保守運用で十分に対策が可能となります。
トータルセキュリティ対策の重要性
制度・技術の両面から、運用管理を重視した対策が必要
全体は中長期的な計画で実施
着手可能なシステム構築・運用からの実施も可能
パッチマネージメント
ポリシー運用
危機管理手順
ウィルス/不正
アクセス監視
制度面
ポリシー作成
リスク分析
技術面
セキュリティ
監査
アセスメント
運用ガイド
ライン
セキュアな
システム構築
(多層防御)
トレーニング コンサルティング
セキュリティ
ホール調査
多層防御
マルチレイヤ アプローチの使用
攻撃者にとっての検知されるリスクを高める
攻撃者が成功する可能性を低くする
データ
アプリケーション
ホスト
内部ネットワーク
境界部
予期出来ない攻撃からシステムを
守るための考え方です。複数のディ
フェンスラインを設置することで防御
力を高めます。
ACL、暗号化
アプリケーションの強化、ウイルス対策
OS の強化、更新プログラム管理、
認証、HIDS
ネットワーク セグメント、IPSec、NIDS
ファイアウォール、VPN 隔離
物理セキュリティ
警備員、施錠、および追跡装置
ポリシー、規定、
および意識
ユーザー教育
運用・展開の技術的アプローチ
Defense-in-Depth Security Model
さまざまなレイヤの技術を組み合わせて
セキュリティ対策を行う
Perimeter Defenses
管理された社内ネットワークがインター
ネットのような管理外ネットワークに接続さ
れている場所で不正侵入を防ぐ
社内ネットワークセグメントごとに異なる性
質を考慮し、パケットを制限したり認証させ
たりするネットワーク設計を行なう
クライアントとサーバーをセキュリティ設定
や修正パッチなど適用して強固にする
アプリケーションが固有のデータや機能に
対するセキュリティの実装をする
データの重要性に応じてアクセス制御や
暗号化などの適切な保護を行なう
「境界線を防衛する」
Network Defenses
「ネットワークを防衛する」
Host Defenses
「ホストOSを防衛する」
Application Defenses
「アプリケーションを防衛する」
Data Defenses
「データを防衛する」
ハードニングとは
定義:SAP システムの稼動に最低限必要なプラットフォーム
機能、通信機能のみを残すこと
効果1:セキュリティの強化
- SAP システムが無用な脆弱性リスクにさらされる事を防止し、
コンピュータウイルス等による攻撃を最大限ブロックできる
効果2:高可用性の確保
- システム停止を伴うことが多いセキュリティ更新プログラム
の適用頻度を最低限にとどめる事ができる
効果3:低い運用コストの維持
- ユーザーサイドでのテストが必要なセキュリティ更新プログラム
の適用頻度を最低限にとどめる事ができる
セキュアな設計・設定(ハードニング)
セキュアなNETWORK設計
FIREWALL、ROUTERにネットワークの分断
サブネット設計
パケットフィルタリング設計
WWW
電話回線など
FTP
Web
RAS
Router
RAS セグメント
DMZ セグメント
WWW
(社外用)
WWW
(社外用)
Fire
wall等
DNS
Mail
VPN
社内サーバーセグメント
Proxy
社内セグメント
File
WWW
WWW
(ITS
用)
(EP
WWW
WWW 用)
(ITS 用)
(EP 用)
Dire
ctory
DNS
Mail
ITS
EP
適切なサブネット設計
SAP
サーバー
セグメント
SAP
DB
・・・
パケットフィルタリング設計
SAP システムに不要な通信をブロックする為のパ
ケットフィルタリングを実施します。
方法1:ファイアウォール、ルータ、レイヤ3スイッ
チ、SAP Router などの配備(各サブネット単
位)
方法2:IPSec ポリシースクリプトの適用(各ホス
ト単位)
方法3:サブネット単位、ホスト単位双方を組み
合わせにより、よりセキュアな環境に
<参考>R/3 が利用する TCP ポート
詳細情報は、WP 「5.2 APシステムが稼動するうえで利用される(宛先)ポート」
<参考>Web AS, ITS が利用する TCPポート
SAP
SAP
SAP
ITS
セキュアな設計・設定(ハードニング)
セキュアなベースライン設計・設定
OSレベルのベースライン設定
RDBMSレベルのベースライン設定
WEBサーバレベルのベースライン設定
ベースライン設定(セキュリティテンプレート)
Windows Server 2003 セキュリティガイドと
添付のテンプレートを利用して効率よくハードニング
http://www.microsoft.com/downloads/details.aspx?FamilyId
=8A2643C1-0685-4D89-B655521EA6C7B4DB&displaylang=en#filelist
セキュリティー運用(パッチマネージメント)
パッチ適用運用(パッチマネージメント)
脆弱性に対するリスク評価
脆弱性情報の収集
リスク評価、対策の検討
パッチ適用運用
定期パッチ適用運用(6ヶ月~一年に一度程度)
1.適用フロー、プロセス明確化(検証環境 --> 本番環境)
2.承認ルートの明確化
3.適用時の検証手順・内容の明確化
4.展開手順の明確化・システム化
緊急時パッチ適用運用
セキュリティ維持のプロセス
実施項目
作業内容
情報収集
セキュリティ脆弱性情報収集
現状分析
自社での影響と緊急度の判定
パッチ展開
結果監視
展開の計画策定
ステージング環境によるテスト実施
本番適用とロールバック
全社のポリシー適用状況の監視
ポリシー違反のフードバックプロセス実施
情報収集&現状分析
毎月第2水曜日(日本時間)に、「月間セキュリティ情報サイト」より脆弱性情報をチェック
http://www.microsoft.com/japan/technet/security/bulletin/monthly.asp
それぞれの脆弱性に対し、以下のポイントでリスクを評価します。
SAP システムのサーバー群に関与するか?
一般的な「最大深刻度」のレベルは?
ハーデニングは有効か?
ハードニングにより、リスクは低くなっている(リスクがない)可能性が高い。
お客様にとっての緊急度、深刻度は?
一般的は情報であり、お客様環境にとっての緊急度、深刻度とは一致しないことも多い。
お客様独自の適用判断基準に適合するのか?
「回避策」はあるか?
最大深刻度
定義
緊急 (Critical)
この脆弱性が悪用された場合、インターネット ワームがユーザーの操作なしで蔓延する可能性があります。
重要 (Important)
この脆弱性が悪用された場合、ユーザーのデータの機密性、完全性または可用性が侵害される可能性が
あります。または、処理中のリソースの完全性または可用性が侵害される可能性があります。
警告 (Moderate)
この脆弱性が悪用された場合、既定の構成、監査または悪用が困難であることなどの要素により、悪用さ
れる可能性は大幅に緩和されます。
注意 (Low)
この脆弱性の悪用は非常に困難です。または影響はわずかです。
リスク
高
低
現状分析(リスク評価&適用判断)
それぞれの脆弱性に対して、アクションを決定
セキュリティ更新プログラムを適用しない
適用不要
SAP サーバーに関係ない、ハードニング等によりお客様に
とっての緊急度・深刻度が非常に低い、お客様基準の適用
対象外である
「回避策」、ハードニングを実装
※適用しない場合は、サービスパックで包括的に適用することを
※お勧めいたします。
セキュリティ更新プログラムを適用する
定期的(6ヶ月から一年間隔)スケジュール時に適用
ハードニング等によりお客様にとっての緊急度・深刻度が低
い、お客様基準の定期適用対象である
緊急適用
ハードニング等も有効でなく、お客様にとっての緊急度・深刻
度が高い、お客様基準の緊急適用対象である
リスク評価例(脆弱性評価マトリクス)
3.3.3.3 各企業別の緊急度判断
別紙
判断項目
影響を受けるのか?
影響を受けるOSがあるか?
影響を受ける機能、プロダクトがあるか?
匿名攻撃が可能か?(ポートが開いているだけで攻撃が可能)
特権取得可能か?(特権の昇格が可能)
有効な回避策がない
各企業におけるハードニングが有効でない?
※判断例 上記を全て満たす場合 緊急、それ以外は定期適用とする。
パッチ展開&結果監視
当該セキュリティ更新プログラムが SAP 環境での障害事例がないかを
チェック
SAP Note 30478, 62988, 664607
開発・品質保証環境でテストしてから、本番へ適用
最低限、以下のテスト・確認を行う
セキュリティ更新プログラムのインストール
SAP の起動と停止
チェックリストに基づいた確認
セキュリティ更新プログラムのアンインストール
セキュリティ更新プログラム適用後の一定期間は、経過を観察する
SAP システムの稼動に問題が生じた場合
セキュリティ更新プログラムのアンインストール
SAP Note に従った問題解決
2.3.1 稼動確認
3.4.2.2 テスト環境での稼動確認
セキュリティー運用
アカウント管理
ローカルアカウント、ドメインアカウントの考慮
権限設定、管理、監査の考慮
メンテナンス性も考慮した設計(ドメイン、OU)
セキュリテイ監視
ANTI-VIRUS製品によるチェック・防御
ANTI-VIRUS GATEWAY製品によるチェック・防御
IDS、IPSによるチェック
ログ監視
まとめ
本セションでは、外部からの攻撃(VIRUS等)に対するセキュ
リティ対策(設計・運用)に関してお話ししました。
ハーデニング
パッチマネージメント(特にリスク評価)
この実装により、以下が実現可能です。
セキュリティの強化
高可用性の確保
低い運用コスト
Microsoft はプラットフォームベンダーとして、Windows Server 他のセ
キュリティ強化、脆弱性解消に今後も努めていきます
マイクロソフトが提供するサービス
コンサルティングサービス
http://www.microsoft.com/japan/consulting/def
ault.asp
サポートサービス
プロフェッショナル・サポート
http://support.microsoft.com/gp/prof_service
プレミア・サポート
http://support.microsoft.com/gp/premier
SAP関連コンサルティングメニュー
#
大分類
小分類
項目
詳細項目
想定成果物
1
高信頼性
高可用性
設計
DBサーバ冗長構成策
定
DBサーバ可用性要件定義支援
DBサーバ可用性要件定義案
DBサーバ冗長構成策定支援
DBサーバ冗長構成案
DBサーバ冗長構成設
計/構築
MSCS構成設計/構築支援
DBサーバ冗長構成設計案
DBサーバ冗長環境構築技術資
料
ディザスター対策設計
ディザスター対策設計支援
ディザスター対策設計案
想定障害ケース洗い
出し
想定障害ケース定義支援
想定障害ケース定義案
7
各想定ケースに対する
対策検討
障害復旧方式策定支援
障害復旧方式案
8
DBバックアップ/リスト
ア方式策定支
援
データ可用性要件定義支援
データ可用性要件定義案
DBバックアップ/リストア方式策定
支援
DBバックアップ/リストア方式案
DBバックアップ/リスト
ア設計支援
SQL Server標準バックアップ設
計支援
DBバックアップ/リストア設計案
運用ツール用サンプルスクリプト
2
3
4
5
6
障害リカ
バリ設計
9
10
11
12
13
ログ・シッピング構成設計/構築支
援
Snap Shotバックアップ設計支援
監視設計
監視項目策定
監視項目定義支援
監視項目定義案
監視方法制定
監視方式策定支援
監視方式案
SAP関連コンサルティングメニュー
#
大分類
小分類
項目
詳細項目
想定成果物
1
高パフォー
マンス
SQL
Server
SQL Server物理設計
ディスク配置設計支援
ディスク配置設計案
ファイル配置設計支援
ファイル配置設計案
整合性チェック実施方式策定支援
定常運用メンテナンス運用
設計案
2
3
メンテナンス運用設計
4
断片化対策実施方式策定支援
5
統計情報更新方式策定支援
チューニング
6
性能分析/チューニング支援
性能分析報告書、性能改善
対策案
パラメータ設計支援
パラメータ設計案
コーディング標準化
ABAP (Open SQL)
コーディング標準化・レビュー支援
ABAP (Open SQL)
コーディング標準化・レ
ビュー支援報告書
チューニング
パラメータ設計支援
サーバ性能設計案
7
8
9
10
Windows
Server
チューニング支援
SAP関連コンサルティングメニュー
#
大分類
小分類
1
セキュリティ
ポリシー
詳細項目
想定成果物
セキュリティポリシー策定支援
セキュリティポリシー案
ドメイン利用要件定義支援
ドメイン利用要件定義案
ドメイン構成策定支援
ドメイン構成案
ドメイン運用設計
ドメイン運用管理設計支援
ドメイン運用管理設計案
Windows Server
Windows Serverセキュリティ
ベースライン設定支援
Windows Serverセキュリティ
ベースライン設定内容案
6
SQL Server
SQL Serverセキュリティベース
ライン設定支援
SQL Serverセキュリティベー
スライン設定内容案
7
NETWORK
NETWORKセキュリティベース
ライン設定支援
NETWORKセキュリティベース
ライン設定内容案
2
Windowsドメイン
項目
ドメイン設計
3
4
5
セキュリティベース
ライン
8
パッチ管理
パッチ適用マネージメント方針
策定支援
パッチ適用マネージメント方
針案
9
プロジェクトのセキュリティ標準
開発プロジェクトセキュリティ標
準策定支援
開発プロジェクトセキュリティ
標準案
Go to MS/SAP Solution Site !!
http://www.microsoft.com/japan/business/sap/default.mspx
体制
経営層を巻き込んだ体制作り
情報システム部よりの方針を、トップダウンで徹
底できるような体制・ポリシー・権限が必要と考
えております。トップを巻き込んだ体制が非常に
重要です。
クライアント
VIRUSの入口の強化(持込PC、リモートアクセス等)
VIRUS・ワームの入り口はクライアントPCのケースが殆ど
です。社内スタンダードでないクライアントPCのセキュリ
ティー強化は非常に重要です。
リモートアクセス(RAS、VPN、、)
ルール面での対策:厳密なルール(OS、Anvi-Virus、PFW、、)
システム面での対策:
ANTI-VIRUS、パターンファイル、PFW状況のチェック可能なVPN
装置、VPN GETEWAY装置、W2K3のconnection namager
administration Kit
モバイル使用PC、個人所有PC、外部ベンダー持込PC
ルール面での対策:厳密なルール(OS、Anvi-Virus、PFW、、)
システム面での対策:検疫システム(DHCP利用、認証VLAN、、)
スタンダード
開発スダンダード(ロジックにより脆弱性)
クロスサイトスクリプティング
クエリ文字列の偽造
Cookieの偽造
、、、
※脆弱性の極小化のためにはスタンダードが必要
プロジェクトチームスタンダード
開発者使用PCのスタンダード(パッチ運用、
ANTIVIRUS、ドメイン管理等)
セキュリティールール、体制、プロセス、罰則