OS環境をセキュアに扱う方法
2.1 OS環境の要塞化
システムにおいて、OS上で動作するソフトウェアが堅牢に作られていても、OS環境がセキュアに構成されていない場合、システム全体として見た場合の堅牢性は担保されていないということになる。そのため、システムのセキュリティを考えるうえでは、OS環境をセキュアに構成することが必要となる。OS環境をセキュアに構成することを、一般的に「OS環境の要塞化(ハーデニング)」と呼ぶ。
OS環境の要塞化は、その環境にインストールされているソフトウェアの数が少ない方が容易である。
そのため、要塞化には、インストールするソフトウェアの数を必要最小限にすることや、ネットワーク経由での待ち受け数を最小限にすることなどが有効である。
Linuxにおいて、プロセスを最小限にした例を図表2に、ネットワーク環境の待ち受け数を最小限にした例を図表3に示す。これらの状態でも、コンソールからのコマンド入力などの実施は可能である。
本稿では、Linuxの最小構成について述べたが、Windowsの場合はWindows Server2008以降でServer Coreインストールオプション(注4)を提供しており、OSインストール直後は最小限の機能しか提供しないようになっている。
注4:Server Core インストール(日本マイクロソフト)
図表2:最小構成時のプロセスリスト
図表3:最小構成時のネットワーク待受状態
