« 2008年11月 | メイン | 2009年03月 »

2008年12月25日

札幌市セキュリティワークショップハンズオンセミナーに参加しました。

12月4日、札幌市高度情報通信人材育成・活用事業セキュリティワークショップ主催のハンズオンセミナー「Webサービスプラットフォームセキュリティ」に参加しました。

ハンズオン形式ということで、前半はひとり1つずつ与えられたCentOS5.2環境(VMwareによる仮想サーバ)にて、Webサービスプラットフォームとしての要求仕様を受講者自身で解釈し、セキュリティを考慮したサーバ、ミドルウェアの設定を行いました。
具体的には、CentOS5.2, Apache2.2, PHP5.2, MySQL5.0, DNSサーバ, メールサーバ, NTP, SSHなど、典型的なWebアプリケーションサーバとしての設定を行いました。

短い時間でひととおりのサーバ設定を行うので、なかなか大変でした。
ひとりで構築するには、セキュリティ、OS、ミドルウェアに関する知識が試されますし、このようなサーバの要求仕様は社内の勉強会やスキルチェックなどにも使えるので、とてもよい課題になると思いました。
仮想サーバを使えば、個別のOSも簡単に用意できますし。

後半は、講師からセキュアな設定に関するポイントについて説明があり、それに対して自分が構築したサーバのセキュリティを自己評価しました。


  • DNSサーバはソースポートをランダムにすべき。また、TTLを短くするとキャッシュ汚染の確率が高くなる
  • メールサーバではVRFYコマンドを無効にすべき
  • SSHのパスフレーズ認証では総当たり攻撃がたくさんやってきて危険なので、クライアント認証を使うべき

などなど、いろいろ参考になる話を聞けました。

10時から17時までの長めのセミナーでしたが、とても勉強になりました。
関係者、講師の皆様、ありがとうございました。
ハンズオンは面白いですね。
自分のスキルチェックにもなりますし、最新の「常識」を知ることができるので、定期的にセミナーやカンファレンスに参加したいと思います。