Fujitsu Cloud Direct ブログ

初心者エンジニア向け技術ブログ

【レポート】サーバー管理者のためのセキュリティ超入門

こんにちは。 ニフクラエンジニアミートアップ事務局の鮫島です。

2023年11月29日(水)に第66回ニフクラエンジニアミートアップを開催しました。

fujitsufjct.connpass.com

今回は、特に「サーバー管理」の初心者が最低限理解したほうがいいセキュリティの知識(SSH、VPNなど基礎技術的なもの)がテーマでした。

過去のアンケートで「セキュリティ」という要望は多かったのですが、少々漠然としていますので、特にニフクラエンジニアミートアップの参加者層である「インフラエンジニア」「何らかのサーバーを業務で触る人・管理する人」を対象とした内容にしてみました。

SSH超入門

まずは、日本仮想化技術の宮原徹氏による「SSH超入門」です。
下記の2点を中心に解説をしてくださいました。

・Linuxの管理者権限
・公開鍵認証を使ったSSH接続

当たり前すぎる話こそ今さら聞けないのです。

本当に、サーバー管理の基礎の基礎的なお話です。
新しいサービスを使い始めたばかりの時に、惰性で慣れ親しんだサービスと同じ操作をしたところ「あれ?何でこうなるの?」という事態になることがあります。

まさか?と思われるような単純な設定ミスで、サーバーの管理者権限を奪取されるなど重大インシデントが起きる可能性があるので、仕組みを理解した上でサービスを利用することは重要と思います。

詳しくはこちらをご覧ください。 youtu.be

IPsecVPNとSSL-VPNの違い

続いて、富士通の統合ネットワーク製品「IPCOM」の担当者姉﨑氏の推薦で初登壇の金高一氏によるLT「IPsecVPNとSSL-VPNの違い」です。 以前、開催した 「ネットワークセキュリティ再入門」に登壇していただいた姉﨑氏からのご推薦です。

IPsecVPNとSSL-VPNの違いは、初心者なら迷いそうなテーマです。私も実際に、迷ったことがあります。

IPsecVPN

リモート接続用のトランスポートモードは、エンドツーエンドでの通信でVPNを確立し、暗号化を行いますが、サイト間接続のトンネルモードでは、IPsec対応のルーター間でVPNを確立し異なるネットワーク間の通信暗号化を行います。

IPsecといえばトンネルモードを思い出す人も多いかも

SSL-VPN

SSL-VPNは、一般的には専用ソフトをインストールしなくともWebブラウザーだけで簡単に利用できるメリットがあると言われていますが、Webブラウザーに対応しているアプリケーションしか対応できないなどの制限もあるため、制限を回避する必要に応じて3種類の接続方式を選択することになります。

三種類もあったなんて・・・

詳しくは、こちらの動画をご覧ください。 youtu.be

SNMPのセキュリティ超入門

今回、初参加のはるきちさんによる「SNMP」に関するLTです。 SNMPとはSimple Network Management Protocolの略で、おもにネットワークの監視・管理を行うためのプロトコルですが、Webサーバーやルーターやスイッチを監視対象とするものです。

SNMPは、まず監視対象のリソースにエージェントをインストールして、SNMPマネージャーからの要求に対してエージェントが応答を返すという監視方式になります。

どんな情報を取得するかというと、下記のようなものになります。

詳しくはニフクラのユーザーガイドも読んでね!

このあたり、SNMPプロトコルで監視サービスを提供しているニフクラの「基本監視」のユーザーガイドを読むと概要が判るとのことでした。

SNMPの監視を行うにあたって注意すべきセキュリティの話ですが、SNMPv3というプロトコルが出る前は、認証の仕組みが提供されていなかったり、監視データが暗号化されていない平文で送られていなかったり…といった問題があったそうです。

推奨設定は、下記のようになります。

推奨設定

詳しくは、こちらの動画をご覧ください。 youtu.be

SSH応用利用

続いて、富士通クラウドダイレクトブログで「推しは富士通」という攻めた記事を連載中のプライム・ストラテジー社の渡部直樹氏(icebreakerさん)による「SSH応用利用 サーバー接続だけでないSSHの利用方法」というLTです。

最初のSSH活用は・・・

・自分のIPアドレスを知られたくない
・固定IPアドレス契約じゃないISPから開発環境に接続したい

という、ニフクラエンジニアミートアップでもあるあるのニーズにSSHの活用で応えようという内容でした。

固定IPアドレスが使えるISPを選択しなくともSSHで解決する方法がある、しかもレンタルサーバーとかでも使える方法だ!ということです。

社長なのにこのギークさ(賛辞)

もう一つのSSH活用は、リモートデスクトップへの応用です。 裏技とはおっしゃっていましたが、何とかして外からメンテナンスを行いたい!という切実なニーズがある場合に試してみてはいかがでしょうか。

仕事では絶対やれないですが、個人的に試してみてもいいかな…

なお、ブラウザーの接続元IPアドレス置換、リモートデスクトップ接続、いずれもクラウドでやるとネットワーク転送料がかなり危険領域に達するはずです。

FJcloud-Vはネットワーク転送料が10TBまで無料!

ということで宣伝してくださいました。ありがとうございます。

プライム・ストラテジー様は、WordPressに強い企業というイメージは私も持っていましたが、最近は「OpenAIじゃないガチのAI」も開発しているそうです。 こういった、かなり身近なビジネスの現場で使えそうなAIについては、別の機会にお話しを伺ってみたいですね!

www.prime-strategy.co.jp

詳しくは、こちらの動画をご覧ください。 youtu.be

QAセッション

QAセッション、登壇者が多かったこともあり、沢山の質問とコメントが入り乱れていつもに増して熱い展開になっていました。

初心者じゃなさそうな人の質問に、初心者じゃなさそうな人が勝手にコメントしてくれるいつもの展開でしたが、それでも質問が次々に投下されますが、登壇者のはるきちさんやicebreakerさんが豊富な業務知識に基づく適切なコメントを返してくださったので、何とか時間内に質問を消化することができました。

詳しくは、こちらの動画をご覧ください。 youtu.be

まとめ

最近のニフクラエンジニアミートアップでは、サーバー管理者・インフラエンジニアは、特にLinuxサーバーを扱う上で重要なネットワークに関する基礎知識をもっと身に着けるといいぞ!という主張をしている感じがしますが、今回のセッション・LTを拝見して、その印象がさらに強くなりました。

一言でセキュリティといっても、職種・業種によっても必要とされる知識が異なりますし、サーバー管理者が最低限必要なセキュリティの知識ってなんだ?と考えると、ネットワークの仕組みを基礎から理解することがまずはスタートラインかな?と感じました。

いつでも読めるように購入しました!高かったです!

それではまた次回もお楽しみに。

最後に宣伝です。 今なら、最大半年無料でサーバー主になれるチャンスです。
ぜひ、FJCloud-Vをお試しください。
こちらをクリック↓↓↓↓↓↓↓