厳しい予算と厳格な規制は、Windowsサーバー管理者にとってしばしば不安の種となります。しかし、企業のサイバーセキュリティ評価によるプレッシャーはさらに大きく、管理者やITマネージャーにとって対応が困難な場合が多くあります。

[[155423]]

この問題の解決策は一般的に2つあります。社内のWindowsセキュリティツールを使用するか、別の会社に依頼するかです。どちらの方法も実行可能であり、どちらが本質的に正しいとか間違っているとかいうことはありませんが、特定の状況においては、独立した第三者に作業を委託する必要がある場合もあります。

10年以上にわたり独立コンサルタントとして活動してきた私は、こうした状況に頻繁に遭遇し、徐々に合理的な解決策を編み出してきました。まず、あらゆる情報セキュリティプロジェクトの最初のステップは、既存の脆弱性をすべて特定することです。市場には、セキュリティ脆弱性の適切な評価を実施し、ユーザーが問題を発見して修正するのに役立つ、優れた無料・オープンソースツールや低価格の商用ツールが数多く存在します。

次の 7 つの Linux および Windows セキュリティ ツールを使用して、サーバーおよび関連するネットワーク システムの脆弱性を特定できます。

1. カリ・リナックス

Kali Linuxは、高度なペネトレーションテスト、デジタルフォレンジック、脆弱性スキャンに使用されるDebianベースのLinuxディストリビューションです。無料のオープンソースツールです。GFI LANGuardやNeXpose Community Editionなどの商用ツールも利用可能です。

2. NetScantools ベーシックエディション

NetScantools Basic Editionは、ネットワークおよびセキュリティ関連の基本的な機能を幅広く提供するツールキットです。NetScantoolsのプロフェッショナル版は、強力な脆弱性スキャン機能を備えており、オープンポートやDNSの脆弱性からメールセキュリティの問題まで、幅広い問題に対応します。

3. タモソフト エッセンシャル ネットツールズ

NetScanTools Pro と同様に、TamoSoft Essential NetTools もネットワーク構成とセキュリティの問題をチェックするためのツールキットであり、無料です。

4. ワイヤーシャーク

Wiresharkは、Windowsサーバーとの間で送受信されるデータパケットをキャプチャできる無料のオープンソースネットワークアナライザーです。CommViewとCommView for WiFiは商用ネットワーク分析ツールでありながら、低コストで有線および無線ネットワークの分析を簡素化します。

5. バーププロキシ

Burp Proxy は、IIS Web サイトおよび Web アプリケーションの脆弱性を評価するための低コストのツールです。

6. Microsoft ベースライン セキュリティ アナライザー (MBSA)

Microsoft Baseline Security Analyzer は、Windows サーバーにインストールされ、弱いパスワード、不足しているパッチ、その他のセキュリティ構成エラーを検出する無料ツールです。

7. メタスプロイトフレームワーク

Metasploit Framework は、Windows システムの特定の脆弱性を活用して、リモート システムのコマンド プロンプトにログインせずにアクセスできるかどうかなど、脆弱性の重大度を判断する無料のオープン ソース セキュリティ ツールです。

ユースケースを作成する

独自のシステムをテストする場合は、米国国立標準技術研究所 (NIST) の特別出版物 800-115、ペイメント カード業界の侵入テスト ガイド、オープン ソース セキュリティ テスト方法論 (OSSTMM) などの業界規制に準拠する必要があります。

これらのガイドラインを活用することで、経営陣、監査担当者、規制当局に対し、信頼性の高い方法を用いて、一般的なWindowsセキュリティツールを使用し、業界をリードするプラクティスを実践していることを示すことができます。セキュリティ評価についてよく知らない場合は、セキュリティ評価に関する様々な書籍を読んだり、専門家に依頼したりすることもできます。

定期的な評価

この作業は予算配分によって制約されるべきではありません。これらのセキュリティ評価は、多くの場合、法律で義務付けられているか、ビジネスパートナーや顧客との契約に含まれています。四半期ごと、半年ごとなど、毎年定期的に実施することが重要です。よくある大きな間違いの一つは、基本的な脆弱性スキャンのみを実施し、深く掘り下げないことです。これは、初期評価で重大な脆弱性を見逃し、環境が安全であると誤って想定してしまうことにつながります。

セキュリティの観点から、管理者は積極的に行動する必要があります。脆弱性を修正するための堅牢な侵入テスト手法を確立するための対策を講じる必要があります。ハッカーは常にスキルを磨いており、Windows管理者も同様の対応を取らなければなりません。さもなければ、データセンターもまた新たな犠牲者となってしまうでしょう。