はじめに
2023 年 10 月 10 日に製品サポート期間が終了する Windows Server 2012 および 2012 R2 に関して、サーバー移行を検討している組織が一定数以上あると想定している。最新の OS バージョンである Windows Server 2022 へのアップグレードが推奨される事項であることは変わりない。あるいは、サーバーとして提供していた機能を PaaS や SaaS でカバーすること(例:ファイルサーバーの機能を Office 365 の Onedrive や SharePoint の機能でカバーするなど )を選択肢とすることを検討する組織も増えている。
一方で、既存のアプリケーションやセキュリティ運用の影響を鑑みて、それなりの移行期間を見越しておく必要があることも事実だ。本記事について、Windows Server 2012/2012 R2 の移行期間においてどのようなサーバーセキュリティ対策を検討に含めるか、アンチウィルス以外に活用できる OS セキュリティ機能は何か、移行設計を準備する上での参考情報として欲しい。セキュリティ運用においては忘れられがち、あるいは後回しにしがちなポイントについても触れていく。
Windows Server 2012/2012 R2 の移行期間におけるサーバーセキュリティ 3 選
- 最新のセキュリティ更新プログラムの適用
- サーバーに対するハーデニング(防御&検知・分析)
- 管理者によるセキュリティ運用の徹底
また、 Windows Server 2012/2012 R2 の移行期間中に訪れる脅威の代表格といえばランサムウェアではないだろうか。本記事で取り上げるサーバー OS のセキュリティ管理策と合わせて、下記の記事についても参照し、ランサムウェア対策のチェックリストとして使ってみて欲しい。
最新のセキュリティ更新プログラムの適用
第一に、Windows Server 2012 および Windows Server 2012 R2 向けに提供されている最新のセキュリティ更新プログラムを適用することを検討すると良い。既知の脆弱性に関する対応は、ランサムウェアなどの脅威にさらされるリスクを低減するための第一歩と言えるだろう。
セキュリティ更新プログラムは月次で提供されており、組織内のセキュリティ更新プログラムの適用プロセスに沿って適用を進めて欲しい。
(FAQ) Windows Server 2012 から Windows Server 2012 R2 へアップグレードが可能か
Windows Server 2012 から Windows Server 2012 R2 へのアップグレードが可能か聞かれることがあるが、購入済みのサーバーライセンスがあれば技術的に可能である。インプレースアップグレードを行う場合は、サービス提供状態(.Net framework、ドライバー関連、OS 設定など)が確認可能なドキュメントの有無、チェックリストの作成を移行期間へ盛り込みながら検討を進めると良い。
サーバーに対するハーデニング(防御&検知・分析)
ランサムウェアの被害にあわないためには事前の防御が重要である。サーバーエンドポイントに対する防御は OS の設定として構成することが可能であるのでぜひ試して欲しい。マイクロソフトが公開しているセキュリティベースラインのテンプレートを利用して、設計に取り入れるとスムーズだろう。例えば、下記のような脆弱な OS 設定のチェックを行えるため、防御の観点から改善につなげることが可能だ。
- ローカル管理者アカウントが放置されていないか
- サーバーとの通信に危殆化されたプロトコル (SMBv1 など)が使われていないか
- 内部不正につながりやすい OS 機能は制限されているか(最後にログオンしたユーザー名をログオン画面で非表示する設定など)
- 許可されたアプリケーション、ソフトウェアのみが動作する環境か
- 脅威検知のために監査ログが適切に設定されているか
さらに、推奨された防御設定を入れておくことで、脅威の検知の精度向上につなげることが出来る。例えば、認証に失敗した時の監査ログが取得できている場合、そのパターン分析を行うことで不正の初期段階での検知が可能となる。分析によって検知したいリスクとして下記のような例を挙げておく。
- 脅威情報として識別されている IP アドレス、ドメインからのアクセス
- アカウント、アクセス許可権限、ログ証跡に対する不正な変更
- アプリや OS 機能に対する制限をバイパス
- セキュリティ機能の無効化(Windows Firewall など)
- レジストリの不正な変更
- ランサムウェア、ブルートフォース攻撃の検知
管理者によるセキュリティ運用の徹底
ランサムウェアなどの脅威に対抗するためには、管理者による運用におけるセキュリティ管理策を徹底するべきだ。典型的な運用手法として、管理アクセス時の踏み台サーバーの利用と定期的なバックアップの取得を挙げておく。このセキュリティ運用を徹底することが求められる。
例えば、踏み台サーバーの利用を運用ルールとして設けるだけでなく、特定の端末からのみリモートデスクトッププロトコル (RDP) 接続が許可されるようにアクセス制御を行っておくと良い。攻撃者は RDP を経由したブルートフォース攻撃を行っていたことが観測されているためだ。
また、ランサムウェアの被害拡大例として、バックアップ先のシステムがロックされた、あるいはバックアップ ファイルが不正に暗号化されたと報告されている。バックアップの侵害は、データ復元がより困難となるため攻撃者にとっての有効打であることは間違いない。データ復元と引き換えに金銭を支払うことにならないようにバックアップの保全対策が求められる。
まとめ
本記事では、アンチウィルス以外の有効な Windows Server 2012/2012 R2 の移行期間におけるサーバーセキュリティ 3 選を解説した。
- 最新のセキュリティ更新プログラムの適用
- サーバーに対するハーデニング(防御&検知・分析)
- 管理者によるセキュリティ運用の徹底
上記で解説したセキュリティは OS の機能を活用して実装できるものを選定している。ただし、数百台のサーバーを個別に管理することは容易ではないため、統合的な管理の面ではマイクロソフトのクラウドネイティブなソリューションを利用することを運用を最適化する上で検討すると良い。
最新のセキュリティ更新プログラムの適用のために、現行の運用において手動でのパッチ適用を行っている場合は(経験上、サーバーに対してこの手法を選択している企業は意外と多い)、Azure Update Management を活用してパッチ適用のための作業の自動化を検討しても良いだろう。
サーバーに対するハーデニングのために、脅威検出と対応のための機能 (XDR: Extended Detection and Response) として提供している Microsoft Defender for Cloud をお薦めしたい。 Defender for Servers と呼ばれるサーバーに対する保護機能を使えば、ウィルス対策、セキュリティベースライン適用、セキュリティベンチマークを一括管理することが可能だ。さらに、サーバーに対する脅威検知とセキュリティアラートの発報を自動化することが出来る。Azure 上のサーバーワークロードだけでなく、オンプレミスやその他のクラウドで稼働しているサーバーをサポートしているため、マルチクラウド対応が可能だ。
また、管理者によるセキュリティ運用の徹底で挙げた、管理アクセス時の踏み台サーバーの利用は Azure Bastion をお薦めする。Azure Bastion は PaaS サービスであり、安全な RDP 接続および SSH 接続を提供する。踏み台サーバーを管理する必要がなく、仮想マシン上の RDP や SSH ポートを外部へ公開しなくてよい点がメリットだ。また、定期的なバックアップとその保全のためには、Azure Backup を活用できるだろう。アクセス時に多要素認証を要求することで、管理者ユーザーのなりすましからデータを保護することが可能だ。