サーバ防御
サーバとは、サービスや機能を提供する側のコンピュータの総称です。現在のサーバは仮想化されていることも多く、管理が複雑になっています。また、最近ではサーバがクラウド環境に配置されているということも珍しくありません。
Point① サーバを安全に管理する
自社の建物内にサーバがある場合には、サーバ本体だけでなく、設置場所のサーバルームやサーバを設置するラックなどにも配慮することが求められます。
サーバの設置場所としては、外部の人間や権限のない社員、職員が容易にサーバに近づけないような情報セキュリティ上の問題がない場所であるかどうかを検討します。特にサーバルーム(またはサーバラック)は、防犯カメラの設置や生体認証の導入など、他の執務エリアよりもセキュリティ対策を強化することも重要です。また入退室(または開閉)の記録をとり、管理することもセキュリティを高めるためには重要となります。入退室や利用のルールを定め文書化していくことがセキュリティ担当としては求められます。
Point② サーバ構成の特性を理解し管理する
最近では、自社の建物内にサーバを置かず、IaaS(Infrastructure as a Service)を利用しサーバを構築するケースも増えています。設置する環境や利用するクラウドサービスの特性を理解し、提供ベンダーとの責任分界点を明確にしてセキュリティ対策にあたることが求められます。
オンプレミス型の場合にはハードウェアから管理をする必要があります。IaaSの場合、クラウドとはいえOS管理やミドルウェアの管理が必要です。クラウド事業者の対応範囲を明確にし、保守業者としっかり会話をしセキュリティ対策を進めることが重要になります。また、近年ではクラウドの設定ミスにより情報が公開されてしまうという事件も多くなっています。データを格納しているフォルダの公開設定の間違いや、データの保存先の間違いなどはユーザー責任となりますので、注意しましょう。また、SaaS型の場合でもデータやユーザー情報はユーザー側で管理します。そして、事業者の管理が多い場合、事業者の作業ミスなどの影響を受ける可能性がありますので、リスクとして認識し、業者選定などは慎重に行う必要があります。