事例:システムのセキュリティ診断
自社で10台のサーバを構築し、インターネット上でサービスを提供している会社からの依頼でOSS運用支援コンサルティングとしてセキュリティ診断を行いました。自分で構築したサーバのため、セキュリティが正しく担保できているか心配ということでした。一つ一つのサーバの設定を確認し、セキュリティ診断を行いました。そして、改善点を報告しました。また、今後の運用方法について話し合い、見直しを行うことになりました。
- 導入企業業種
- ネットサービス
- ユーザー規模
- 約20,000人
- 実施時期
- 2015年1月~2月
- お客様が悩まれていた課題
- 自社で構築したサーバで、正しく設定ができているか心配
- 顧客からセキュリティに配慮するように厳しい要望があがっている
- 脆弱性スキャナでセキュリティ診断をしたが、具体的な直し方が分からない
デージーネットが提案した「システムのセキュリティ診断」
一台一台のサーバを調査し資料化し、改善点を詳細にレポートしました
自分で構築されたWEBサーバやデータベースサーバのセキュリティについて不安があるということでお伺いしました。他社から脆弱性スキャナーを使ったセキュリティ診断を定期的に受けていましたが、それだけでは安心できないと考えられていました。
構築状況、運用状況をヒアリング
セキュリティ診断に先立って、システムの構築時のことについてヒアリングを行いました。また、どのサーバにどのようなソフトウェアがインストールされているのかという情報も、できるだけ細かくして頂きました。 現在の構成と、どのようにインストールし設定を行ったのかを聞くことで、構築者の考え方と、設定の傾向が把握できました。
サーバの設定を資料化
次に、一台一台のサーバの設定を調べ資料化しました。他社の人にはログインを許可しないという管理ポリシーだったため、お客様にオペレーションをお願いしながら、一台一台のサーバを一緒に調べました。また、必要なファイルは個別にコピーを送ってもらいました。 各サーバの設定を資料ベースでお客様にも確認していただくことで、漏れがないかを確認して頂きました。この時点で、既に各サーバのセキュリティ設定の状況には、かなりばらつきがあることが分かりました。
各サーバのセキュリティ診断を実施
作成した資料と入手したファイルを元に、現在の設定についてセキュリティ的に問題がないかを診断しました。脆弱性スキャナーとは異なり、内部の設定を丁寧に確認していくため、たくさんの改善項目が見つかりました。
セキュリティ診断結果を元に対策を具体化
改善項目をリスト化して報告しました。また、一つ一つの改善項目に対して、具体的にどのような対策が必要なのかをご説明しました。特に、システム構築後から、現在までに発生している大きなセキュリティの問題には特別な注意が必要です。対策が必要なソフトウェアをリストアップし、実際の対策の仕方に付ついての説明しました。
セキュリティ対策を実施
セキュリティ診断結果の報告を検討し、お客様に対策を行って頂きました。実際に作業を行ってみると、多くの不明点が出てきます。そのため、弊社でもQ&A対応を粘り強く行いました。
セキュリティ対策の実施結果を検証
お客様の対策作業が終わった後、改めて設定が適切に行われていることを弊社でも確認しました。
コンサルティング後の結果
専門家にセキュリティ診断をおこなってもらい、いくつもの修正を行ったことで、安心して運用できるようになったとの声を頂いています。脆弱性スキャナでの実施よりも詳しく見てもらえたと感じていただいたようです。
また、サーバの設定を資料化したことや、対策作業を分担して行ったことで、属人的になっていた管理を社内で分担することができるようになりました。