サーバー管理において、セキュリティの3要素である「機密性 (Confidentiality)」「完全性 (Integrity)」「可用性 (Availability)」に対して、以下のような対策や監視が推奨されます。
1. 機密性 (Confidentiality)
機密性を確保するためには、情報が許可されたユーザーだけにアクセスされるようにする必要があります。以下の対策や監視が有効です。
- アクセス制御:
ファイルやシステムへのアクセス権を適切に管理し、必要最小限のアクセス権を設定します。- 対策: ロールベースアクセス制御 (RBAC)、ファイル権限の厳格な管理、AWS IAMなど
- 監視: 不正アクセス試行のログ監視、ユーザー権限変更の監視
- 暗号化:
通信と保存データの暗号化を行います。特に、通信経路でのデータ漏えい防止が重要です。- 対策: SSL/TLSを使った通信の暗号化、データベースやストレージの暗号化(例:AWS KMS)
- 監視: 暗号化が適用されているか、証明書の有効期限の監視
- 認証・認可:
ユーザー認証には強固な手段を用いる。二要素認証 (2FA/MFA) などを活用して、認証強度を高めます。- 対策: MFAの導入、強力なパスワードポリシーの適用
- 監視: ログイン失敗の監視、異常な認証リクエストの検出
2. 完全性 (Integrity)
データやシステムの改ざんを防ぎ、正確性と一貫性を維持するための対策です。
- ハッシュ値によるデータ検証:
データの改ざん検出には、ハッシュ値を使ってデータの完全性を確認します。- 対策: データファイルの定期的なハッシュチェック
- 監視: ハッシュ値の不一致の検出
- 監査ログの監視:
システムやデータへのアクセスや変更を記録するログを監査し、不正な操作や改ざんを検知します。- 対策: セキュリティログ、操作ログの収集と保管
- 監視: 変更検知システム (IDS/IPS) を使った改ざんのリアルタイム検出
- ファイルシステム監視:
ファイルの不正な変更や削除を検知します。- 対策: ファイル整合性監視ツール(例:Tripwire、OSSEC)
- 監視: 重要ファイルの変更検知
3. 可用性 (Availability)
システムやサービスが常に利用可能な状態を維持するための対策です。
- 冗長化・バックアップ:
サーバー、データ、ネットワークの冗長化を行い、障害時でもサービスを維持できるようにします。- 対策: RAID構成、ロードバランサーの使用、フェイルオーバー設定
- 監視: リソースの使用状況、バックアップの定期的な確認
- DoS/DDoS対策:
サービスに対するDoS/DDoS攻撃からの防御策を講じ、可用性を確保します。- 対策: WAFやCDNの活用、DoS/DDoS対策サービス(例:AWS Shield)の導入
- 監視: 通信トラフィックの異常増加の検知
- リソース監視:
サーバーのリソース(CPU、メモリ、ディスク、ネットワーク)の使用状況を監視し、適切に負荷分散やスケーリングを行います。- 対策: オートスケーリング、リソースアラートの設定
- 監視: CPU、メモリ、ディスクI/O、ネットワーク帯域の使用率
まとめ
セキュリティの3要素に対する対策と監視は多層的に行われるべきです。機密性のためにはアクセス制御と暗号化が重要であり、完全性を保つためにはログの監視や改ざん検知が不可欠です。また、可用性を確保するためには冗長化やリソースの継続的な監視が必要です。