7.ファイアウォールの設定を見直す
ネットワークの境界とネットワーク上の各マシンではファイアウォールを使うべきだが、それだけでは十分ではない。ファイアウォールの例外ポートリストを見直して、必要最低限のポートだけを開くようにすること。
通常、Windowsで使われるポートが重視されることが多いが、ポート番号1433と1434が開いているファイアウォールのルールにも注意を払うべきだ。これらのポートはSQLサーバの監視とリモート接続に使われるもので、ハッカーのお気に入りの標的だ。
8.サービスを分離する
可能な場合、各サーバは1つのタスクだけを実行するように設定すべきだ。こうしておけば、1つのサーバを乗っ取られても、ハッカーは特定のサービス群だけにしかアクセスできないからだ。確かに、経済的な制約から、1つのサーバに複数の役割を持たさざるを得ない場合はある。そういった状況では、仮想化技術を用いることで、コストを増やすことなくセキュリティを向上させられるかもしれない。一定の仮想化環境では、Windows Server 2008 R2を動かす複数の仮想マシンを、1つのサーバライセンスで運用できる場合もある。
9.なるべく早くパッチを適用する
実際にサービスを提供しているサーバにパッチを適用する前には、必ずテストをすべきだ。しかし、一部の組織はこのテスト手順に手間をかけすぎる。サーバの安定を確保することの重要性は否定しないが、適切なテストの必要性と適切なセキュリティの必要性のバランスを取る必要がある。
Microsoftがセキュリティパッチを公開する際には、そのパッチで修正される脆弱性に詳しい説明が付される。つまり、ハッカーはその脆弱性についての知識を手に入れ、その脆弱性を修正するパッチが適用されていないシステムを探してまわるだろうことを意味している。
10.セキュリティの構成ウィザードを利用する
セキュリティの構成ウィザードでは、サーバに適用するXMLベースのセキュリティポリシーを作成することができる。これらのポリシーを使えば、サービスの有効化、設定の変更、ファイアウォールのルールの設定を行うことができる。セキュリティ設定ウィザードを使って作成されたポリシーは、(.INFファイルを使った)セキュリティテンプレートとは異なることに注意すること。また、セキュリティ設定ウィザードのポリシーを適用するのに、グループポリシーを使うことはできない。
Keep up with ZDNet Japan
ZDNet JapanはFacebookページ、Twitter、RSS、Newsletter(メールマガジン)でも情報を配信しています。また、現在閲覧中の記事は、画面下部の「Meebo Bar」を通じてソーシャルメディアで共有できます。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
