どうも、痩せている人の5倍ほど汗が出るライターのモリイです。夏は辛いっす。でも、LIGのみなさんと食べ放題に行きたい…。
さて、そんな私は、本業ではWordPress専用のセキュリティ診断サービスを運営しており、常日頃から皆さまのお役に立つセキュリティ対策を提供することを心掛けています。前回の記事「WordPressの5つの主要セキュリティプラグインを詳細に比較してみた」では、WordPressのセキュリティプラグインの比較をしてみました。
しかし、セキュリティプラグインだけでは、外部の脅威に対して十分な対策を講じることができません。そこで、今回はWebアプリケーションに対する「監視・対策」に用いられるOSS(オープンソース・ソフトウェア)のセキュリティパッケージを紹介させていただきます。
WordPressやJoomlaといったCMSだけでなく、Webアプリケーションを広く外部の脅威から守るため、参考にしていただければと思います。
Webアプリケーション監視・セキュリティ対策用のオープンソースソフトウェア6選
今回紹介するセキュリティパッケージは全部で6つです。
1. ModSecurity(mod_security)
ModSecurity(mod_security) はオープンソースで開発されているWAF(Web Application Firewall)であり、外部からの脅威を監視するために利用します。ブルートフォースアタック対策に用いるときには、“ログインフォームに対し、何分毎に何回アクセスがきたら拒否し、何分後に解除するか”などの事前調整が必要となります。ただし、事前に導入サイトと同じテストサイトを用意し、検証してからの導入をおすすめいたします。
2. Suricata
Suricataは、オープンソースの侵入検知・防止エンジンです。外部からの脅威を監視するために利用します。導入に際しては、動作のためにMySQL、Rails環境が必要となり、サーバリソースを多く確保しなければならなくなる場合があります。
3. iptables
http://www.netfilter.org/projects/iptables/index.html
iptablesは、Linuxに実装されたIPv4用のパケットフィルタリングおよびネットワークアドレス変換(NAT)機能(複数のNetfilterモジュールとして実装されている)の設定を操作するコマンドのことです。外部からの脅威を監視するために利用します。
ただし、昨今のDDoSはIPあたりの頻度が低いので、検知できないという場合もあります。
4. logwatch
サーバログを解析し、サーバ監視レポートとしてメールで通知するツールです。
5. smartmontools
サーバログを分析するために利用する、ディスクエラーチェックツールです。
6. Munin
リソースモニタリングツールです。サーバリソースやトラフィックを確認するために利用します。
監視可能な脅威項目例の一覧
以下、今回紹介した6つのパッケージで監視可能な脅威項目例の一覧表になります。
対策可能な脅威項目例の一覧
以下、今回紹介した6つのパッケージで対策可能な脅威項目例の一覧表になります。
留意事項
上記のソフトウェアパッケージを用いて監視・対策を設定する場合は、対象サーバへソフトウェアをインストールしての監視設定実施運用となります。そのため、そのオーバヘッド分サーバのパフォーマンスが低下する可能性があります。サーバスペックやサーバリソースに余裕がないと、対応できない場合があるので注意が必要です。
また、上記はLinux環境を前提としており、WindowsOS環境については対応できない場合があります。
まとめ
本記事で紹介したOSSを用いることで、上記の一覧表にも記載したXSS(クロスサイトスクリプティング)やSQLインジェクションといった攻撃からサイトを守ることが可能となります。
また、セキュリティ対策上実施すべきサーバ設定を併用することにより、RFI(リモートファイルインクルード)やRCE(リモートコードエグゼキューション)、クリックジャッキングといった脅威に対する対策も可能となります。その他、以下の記事にある設定内容などもご参考にしていただければと思います。
▼参考記事
- OSSインストール時に変更すべき、7つのセキュリティ設定項目 – マイナビニュース
http://news.mynavi.jp/articles/2014/07/23/osssecurity/
以上、広くWebアプリケーションを外部の脅威から守るための参考にしていただければと思います。それでは、また!
LIGはWebサイト制作を支援しています。ご興味のある方は事業ぺージをぜひご覧ください。