クラウド上のシステムの脆弱性対応を考える

今週、LUKSと呼ばれるLinuxの暗号化の仕組みに脆弱性が発見されました。今回の問題は暗号化そのものに脆弱性があったわけではなく起動時のスクリプトに管理者権限を取得できる脆弱性があったようです。

このような脆弱性の報告はシステムの専門外の方とって、自社のシステムでの影響度をどのように判断すればよいのかは大変難しいことだと思います。しかし、システムが脆弱性にさらされているのであれば、一刻も速く対応をしなければなりません。

最近のOSにはほとんどシステムの自動更新機能がありますので、可能な限り活用したいところなのですが、自動更新は危険も伴います。更新のあとにいままでと違う動きをしてしまう場合があるからです。昔に比べるとそのような危険は少なくなりましたし、クラウドシステムの場合、定期的なスナップショットを取ることで更新前の状態に戻すことも簡単になりましたので、自動更新をする場合はそのような機能と組み合わせる必要もあるでしょう。

また、安定性を求められるシステムのほとんどは複数台サーバでシステムが構成されます。これはセキュリティ的な観点からすると一つのサーバに多くの機能を詰め込むより、多くのサーバに機能を分散させたほうが、一つのサーバの機能も少なくでき、サービス停止のリスクも少なくできます。

脆弱性の対応も一台しかないと再起動が必要なときにサービスを止めなくてはなりませんが、複数台で冗長構成が取られていればサービスを止めることなく脆弱性の対応が可能になります。また、自動更新もサーバ単位で隔日などで設定できるので、何か遭った時の対応が可能になります。

クラウドによってバックアップやスナップショットそして複数台構成も安価に簡単にできるようになりました。これらを上手に活用して脆弱性対策をしていただければと思います。