[2-K-1-HD1-5] Open Source Softwareとフリーウェアを活用した部門システム向けセキュリティ設計の一提案
【背景】
部門システムを導入する場合、電子カルテシステムのLANと同一セグメントに設置される場合があり、システム間のアクセス制御の対処は弱点と考えられる。今回、Open Source Software(以下、OSS)であるZabbixと、フリーウェアであるソフトイーサ社のパケット警察を利用し、正規部門端末以外からの部門サーバへのアクセスを検知する仕組みを構築した。導入時に、プログラミング知識は必要としない。
【方法】
部門システム毎にZabbixを導入し、正規端末のMACアドレスを登録しておく。部門システムサーバにはパケット警察とZabbixエージェントをインストールする。サーバ上ではパケット警察で常時TCPの通信ログ出力を行い、Zabbixエージェントがログを常時監視し、部門システムで使用するサービスポートにTCPのコネクション要求が発生した際に、Zabbixサーバに該当ログ情報の転送を行う。Zabbixサーバはログ内に格納されている接続元MACアドレスと、登録済みの正規端末のMACアドレスとの突合処理を行い、一致しない場合、トリガーを発生させ、部門システムサーバにZabbixエージェントを介してアラート通知を行う。
【考察】
本システムの特徴は、TCPコネクション確立時に、最初のSYNパケットがサーバに到達した時点で接続元MACアドレスを特定できる点である。このためステルススキャンなどフロー制御を伴わない通信においても確実にログを記録し、SYNフラッド攻撃にも対応が可能である。アラート時にサーバ側でスクリプトの実行が可能であるため、他社の遮断システムとの連携も可能となり拡張性に優れる点もメリットである。また、OSSとフリーウェアの組み合わせで実装しているため、安価に部門システムのセキュリティを高めることが期待できる。
部門システムを導入する場合、電子カルテシステムのLANと同一セグメントに設置される場合があり、システム間のアクセス制御の対処は弱点と考えられる。今回、Open Source Software(以下、OSS)であるZabbixと、フリーウェアであるソフトイーサ社のパケット警察を利用し、正規部門端末以外からの部門サーバへのアクセスを検知する仕組みを構築した。導入時に、プログラミング知識は必要としない。
【方法】
部門システム毎にZabbixを導入し、正規端末のMACアドレスを登録しておく。部門システムサーバにはパケット警察とZabbixエージェントをインストールする。サーバ上ではパケット警察で常時TCPの通信ログ出力を行い、Zabbixエージェントがログを常時監視し、部門システムで使用するサービスポートにTCPのコネクション要求が発生した際に、Zabbixサーバに該当ログ情報の転送を行う。Zabbixサーバはログ内に格納されている接続元MACアドレスと、登録済みの正規端末のMACアドレスとの突合処理を行い、一致しない場合、トリガーを発生させ、部門システムサーバにZabbixエージェントを介してアラート通知を行う。
【考察】
本システムの特徴は、TCPコネクション確立時に、最初のSYNパケットがサーバに到達した時点で接続元MACアドレスを特定できる点である。このためステルススキャンなどフロー制御を伴わない通信においても確実にログを記録し、SYNフラッド攻撃にも対応が可能である。アラート時にサーバ側でスクリプトの実行が可能であるため、他社の遮断システムとの連携も可能となり拡張性に優れる点もメリットである。また、OSSとフリーウェアの組み合わせで実装しているため、安価に部門システムのセキュリティを高めることが期待できる。