Business | 2025年2月11日 < 1 min to read

Windowsの防御策について

Takaaki Kumazawa Takaaki Kumazawa

こんにちは、ヴィーム・ソフトウェアの熊澤です。

今回のブログは私が受け持ち、Veeam Backup & Replication(VBR)サーバーのセキュリティ対策について書こうと思います。VBRサーバーは基本的にはWindowsサーバーで構成され、適正にパッチ適用や、企業/組織内のセキュリティ対策で守られる必要がありますが、今回はゼロトラストの原則と絡めてお話をしようと思います。これは、取り組んで設定いただくと、VBRサーバーへの不正アクセスが格段に難しくなり、大きな成果を上げることができます。

 全体の流れ

  1. ゼロトラストとは何か
  2. Windowsサーバーに実施することは何か

 ゼロトラストとは何か

セキュリティのセミナーを聴講したり、関連する動画を視聴すると、必ずといっていいほどゼロトラストというキーワードが出てくるかと思います。これはゼロのトラスト(信頼・信用が無い)という文字通りの意味で、暗黙の信頼はせず、不正アクセスによる情報窃取や破壊活動がある想定でセキュリティを組むということになります。アクセスがある都度、適切なユーザーが適切なデバイスを使って適切なアプリケーション、情報、ITインフラへ接続しているかを認証するということになりますし、業務に必要な最低限の権限でリソースにアクセスできているか、またアクセスされる側のリソースも、ゼロのトラスト(信頼・信用が無い)ですから、万が一情報の不正読み取りや破壊に遭う場合を想定し被害範囲を最小限に抑えるような分割をしておくことが望ましいというものになります。

このゼロトラストを、VBRサーバー、バックアップサーバーに適用すると、いわゆるランサムウェア対策と呼ばれる機能があるかどうか、バックアップの基本的な3-2-1ルールが守られているかという話になるのですが、今回は簡単にWindowsサーバーに当てはまるセキュリティ対策をご紹介したいと思います。特にWindowsサーバーでAll in Oneと呼ばれる構成の場合には是非対策していただきたい設定になります。

 Windowsサーバーに実施することは何か

  1. Veeamユーザーを作成する
    • Administratorという特権ユーザーで構築を済ませていませんかという確認になります。ゼロのトラスト(信頼・信用が無い)ですから、もし乗っ取られてしまった場合に自由に管理者権限が使われてしまうとデータを盗まれたり、設定変更されてしまうということが容易に起こります。ですので、バックアップサーバーのAdministratorはパスワードも一部の人間しか知らない、普段の認証基盤からも分離されている、インストールが終わってしまえば基本使われることがないユーザーにしたいのです。VeeamのバックアップサービスはOS上でどう動くかというと、Veeam用のバックアップ用のユーザーを作成し、そのユーザーがバックアップ業務だけを実施できるレベルの権限で動作するということが重要になります。
  2. リモートアクセスを遮断する
    • Administratorはインストール後は利用しないように構築します。リモートアクセスを許可する必要はございません。場合によっては特にAll in Oneの場合は、Veeamユーザーでさえもリモートでメンテナンスさせずにメンテナンスはサーバールームでという運用が安全かと思います。またAll in OneであってもVeeamサーバーはコンソールツールでアクセスをしますので、コンソールをDMZにあるクライアント端末で運用するという構成がベターです。リモートデスクトップサービスやVPN接続など、ネットワーク越しの操作アクセスを遮断する運用を行います。ゼロトラストの観点では拒否が正解ということになりますし、しっかりとしたセキュリティ運用支援(ID管理やMFA多要素認証)がある場合に限定して運用するほうがよいでしょう。
  3. その他の対策
    • ユーザーアカウントの管理がしっかりできた場合、本当にサーバールームに入り物理的にモニターを使わないと操作ができない場合、このサーバーを侵害するには、ユーザー情報を奪う以上のかなり高度な脆弱性をついた攻撃が成立しない限りサーバーの読み取りや破壊を行うことは困難になります。Windowsサーバーを運用するにあたり以下のことも注意しましょう。
      • Windows OSのセキュリティ対策
        • 最新のパッチ適用、ウィルス対策ソフト等が入っている場合はそちらも最新に
      • IPS、EDRなどの異常検知、振る舞い検知などの導入
        • 大切なバックアップを守っているサーバーですので、何らかのセキュリティ対策ソフトを導入するべきかと存じます。
      • 不要なサービス、不要なポートを閉じる
        • 不要な役割は停止し、バックアップサーバーとしての役割に注力させて、不要な通信も行えないようにポートを遮断します。

まとめ

いかがでしたでしょうか。今回はここまでにしたいと思いますが、Veeamのランサムウェア対策機能を設定することも大切ですが、足元のOSを守ることも重要だということがご理解いただけたかなと思います。Windowsサーバーは全世界いたるところで動作しており、ミッションクリティカルな業務からPOS端末まで、セキュアに運用されています。リモートデスクトップからの侵入やパスワードのスプーフィングのようなところから侵害があるので、まずはここに対して対策をしていくのが第一歩であり効果を発揮する防御かと思います。

最後まで読んでくださりありがとうございました。

Takaaki Kumazawa
Takaaki Kumazawa
More about author
Previous post Next post
Table of Contents
Stay up to date on the latest tips and news
By subscribing, you are agreeing to have your personal information managed in accordance with the terms of Veeam’s Privacy Policy
You're all set!
Watch your inbox for our weekly blog updates.
OK