ランサムウェアの攻撃 – パート2、従来のITセキュリティ

はじめに

ランサムウェアに特化した本連載の第2回となる今回は、従来型のITインフラをどのように保護すればよいかを探っていきたいと思います。

ランサムウェアの攻撃から従来型のITインフラを守るには？

多くの企業がワークロードをコンテナやクラウドネイティブアプリケーションに移行していますが、ワークロードの大部分は依然として従来型のIT環境で稼働していることを忘れてはいけません。そのため、安全性と最新性を確保することが非常に重要です。

オペレーティング・システム（OS）層は、アプリケーションが使用するライブラリの大部分を提供するため、ここでの鍵になります。したがって、これらのライブラリに既知の脆弱性がなく、信頼できるソースから入手したものであることが非常に重要です。
ここで、SUSEがお役に立ちます。SUSEは、SUSE Linux Enterprise Server (SLES)をはじめとする、安全性、信頼性、および高性能のITインフラストラクチャ ソリューションを提供するリーダー企業です。

Linuxディストリビューションには、SELinux、AppArmor、Netfilterなど、アプリケーションのセキュリティ確保に使用できるセキュリティ機能やツールが多数用意されています。

これらは、Kubernetesなどのコンテナ管理プラットフォームでも使用されています。SUSEは、従来のITインフラにおけるシステムのセキュリティと信頼性を確保するために、これらのツールを提供しており、セキュリティ機関と協力して、ユーザーがプラットフォームのセキュリティを確保できるように、設定ガイドの作成や製品の認証に特に注力と情熱を注いでいます。

ここでは、SUSEのセキュリティ認証の一覧を紹介しますが、その中でも、ソフトウェアのサプライチェーンが安全であることを示す強力な指標であるCommon Criteria EAL4+を強調しておきましょう。この記事の執筆時点では、SLES 15は、この認証を受けた唯一の汎用Linux OSです。

SELinux、AppArmor、Netfilter を使用してランサムウェアから保護する方法は?

SELinuxとAppArmorを使用することで、プロセスがアクセスすべきでないファイルにアクセスしたり、予期せぬ動作をしないように保護することができます。これにより、システムが感染した場合や、攻撃者がそれらで保護されたアプリケーションの脆弱性を突こうとした場合に、マルウェアの拡散を制限することができます。

NetfilterはLinuxカーネルのファイアウォールで、ネットワーク経由の不要なアクセスからアプリケーションを保護するための非常に多機能で強力なツールです。

これらのセキュリティツールは、かなり複雑です。しかし、正しく設定すれば、ランサムウェアからの保護やその拡散の阻止、多層防御、従来のITインフラにおけるセキュリティへのゼロトラスト・アプローチなどに利用することが可能です。

STIGハードニングガイドは、Linuxサーバーをランサムウェア攻撃から守るのに役立ちますか？

Security Technical Implementation Guides (STIGs) は、情報システムとネットワークを保護するための一連のガイドラインと手順です。米国国防情報システム局(DISA)が開発したもので、米国国防総省のネットワークに接続する際のシステムの要件を概説しています。SUSEは、DISAと緊密に連携し、SLES 15の実装ガイドを作成しました。

言うまでもなく、STIGガイドラインは、Linuxサーバーを堅牢化し、ランサムウェアなどの攻撃に対する脆弱性を軽減しようとするすべての人に有用です。

STIGは、Linuxサーバーに実装すべきセキュリティ設定と構成オプションの詳細なリストを提供しており、その内容は以下のとおりです。

• 強力なパスワードの使用とアカウントのロックアウト・ポリシー
• サーバーへのアクセスを許可されたユーザーとホストのみに制限する
• 不要な送受信トラフィックをブロックするファイアウォールの設定
• 不要なサービスやデーモンを無効化する
• サーバーへのアクセスを許可されたユーザーとホストに限定する
• システムイベントのロギングと監視の有効化
• ソフトウェアの定期的なアップデートを可能にする

などです。

これらのガイドラインを実装することで、Linuxサーバーの攻撃対象領域を減らし、ランサムウェアなどの一般的な攻撃ベクトルに対して脆弱性を低減することができます。

SUSEでは、このルールの一部を自動的に適用する方法を提供しています。詳細については、ブログポスト「SLESインストレーションへのDISA STIGハードニングの適用」の参照をお勧めします。

openSCAPとSUSE Managerを使用して、すべてのサーバにSTIGプロファイルを適用するにはどうすればよいですか?

インフラストラクチャのセキュリティを確保する際に直面する課題の1つは、セキュリティを大規模に管理する方法です。何百、何千ものサーバーにパッチを適用したり設定したりするのは非常に時間のかかる作業で、手動で行うとエラーが発生しやすく、この間、システムが攻撃者に狙われる可能性があります。

SUSE Manager（SUMA）は、SUSE Linux Enterprise Server（SLES）上で動作するものを含むLinuxベースのシステムに対して、WebベースのインターフェースまたはAPIコールを介して包括的なシステム管理機能を提供する、SUSE社のサーバ管理ソリューションです。IT管理者は、物理サーバや仮想サーバ、ソフトウェアパッケージ、パッチ、設定などを容易に管理・監視することが可能です。また、SUMAは、IT管理者がサーバーにセキュリティプロファイルを適用して、STIGなどのセキュリティ標準への準拠を保証し、システムのポリシーへの準拠に関するレポートを生成できるオープンソースツールであるopenSCAPのサポートも提供しています。
SUSE ManagerとopenSCAPを使用すると、複数のサーバーに同時にSTIGプロファイルを適用することができ、時間と労力を節約できるだけでなく、セキュリティ保護されているサーバーと注意が必要なサーバーをすべて1枚のガラスから観察することができるようになります。

ここでは、openSCAPとSUSE Managerを使用して、LinuxサーバーにSTIGプロファイルを適用するための一般的な手順を説明します。

1. サーバーにopenSCAPとSUSE Managerをインストールします。
2. DISAのWebサイトから、適用したいSTIGプロファイルをダウンロードします。
3. STIGプロファイルをSUSE Managerにインポートします。

これらの手順は、初回にのみ実行する必要があります。

1. SUSE Managerを使用して、STIGプロファイルをサーバーに適用します。
2. openSCAPを使用して、サーバーをスキャンし、STIGプロファイルに対して評価します。
3. openSCAPレポートを確認し、どのセキュリティ設定および構成が準拠しており、どれが準拠していないかを確認します。
4. SUSE Managerを使用して、サーバーのセキュリティ設定と構成に必要な変更を加え、STIGプロファイルに準拠するようにします。
5. STIGプロファイルへの準拠を維持するために、必要に応じてステップ5～7を繰り返します。

STIG の適用は 1 回限りのイベントではなく、継続的なプロセスであることに注意することが重要です。定期的にシステムを監視して、STIGs に準拠していることを確認し、必要な変更を行うことが重要です。

ランサムウェアの保護戦略を構築するために、他に活用できるツールはありますか？

SUSE Linux Enterprise Server (SLES) には、ランサムウェアに対する保護戦略を構築するために役立つツールが他にもあります。

• AIDE (Advanced Intrusion Detection Environment) は、Linuxサーバーへの不正な変更を検出するために使用できるツールです。このツールは、サーバー上の選択されたすべてのファイルの暗号化チェックサムを作成し、データベースに格納することで動作します。このデータベースは基準点として使用され、AIDEは定期的にサーバーをスキャンして、ファイルの現在の状態とデータベースに保存されている基準点を比較します。

AIDEは、許可されていない変更を検出した場合、ユーザーに警告を発し、その変更に関する詳細な情報を提供します。

これは、フォレンジック分析プロセスを容易にするために、変更の監査証跡を作成するのにも役立ちます。

AIDEは、本格的なエンドポイント保護ソリューションの代替品ではなく、すべての種類のランサムウェアを検出できるわけではないことに留意することが重要です。また、新しい亜種を検出するために、ツールやルールを定期的に更新することが重要です。

AIDE の詳細については、SLES サーバーでの AIDE の設定に関するドキュメントを参照してください。

• ClamAV は、トロイの木馬、ウイルス、およびその他のマルウェアを検出するために設計されたオープンソースのアンチウイルスエンジンですが、デスクトップシステムを提供する共有フォルダー上の悪意のあるコンテンツのファイルをスキャンするために使用できます。

SAPシステムをマルウェアからスキャンして保護するためのプラグイン、ClamSAPのようなプラグインを使用することができます。ClamSAPは、SAP Netweaverプラットフォームと統合し、SAPアプリケーションで使用されるファイルやデータベース内のマルウェアをスキャンするために特別に設計されています。

ClamSAPとClamAVの両方は、SUSE Linux Enterprise Server for SAPサブスクリプションにバンドルされており、定期的に更新されます。

まとめ

本ブログでは、従来のITインフラストラクチャ上で動作する組織のITサービスをランサムウェアやその他の形態のマルウェアから保護するために、SUSEが提供するいくつかのツールやサービスの概要を説明しました。SUSE製品はセキュリティを優先して設計されており、当社のチームはセキュリティ分野で常に革新を続け、お客様のビジネスの安定性と耐障害性を確保しています。

SLESについての詳細は、バイヤーズガイドをダウンロードしてください。

当社の製品およびサービスに関する詳細については、当社までお問い合わせください。

このシリーズの他の記事については、こちらをご覧ください。

ランサムウェアの攻撃 – パート 1、はじめに

ランサムウェアの攻撃 – パート3、コンテナのセキュリティ

SAPアプリケーションをランサムウェアの攻撃から守る方法