連載
» 2019年12月11日 09時00分 公開

ラズパイのセキュリテイ対策(中編):ラズパイ入手したらまずやること、デフォルトユーザーとSSHログイン認証を変更する (1/3)

今回は、Raspberry Piユーザーが採るべきセキュリティ対策について、より具体的に解説していきます。まず、Raspberry PiのシャドーITを防ぐ方法を紹介したうえで、Raspberry Pi端末に対するセキュリティ対策を説明します。

[トレンドマイクロ株式会社,MONOist]

 (編集注)本連載の前編記事(あなたのラズパイは穴だらけ? ユーザーが検討すべき脅威への対策)では、Raspberry Piが抱える具体的なセキュリティリスクを紹介しています。併せてお読みください。


 今回は、Raspberry Piユーザーが採るべきセキュリティ対策について、より具体的に解説していきます。まず、Raspberry PiのシャドーITを防ぐ方法を紹介したうえで、Raspberry Pi端末に対するセキュリティ対策を説明します。

Raspberry PiのシャドーITを防ぐために

 Raspberry Piへ十分なセキュリティ対策を施すことは重要です。しかし、2019年6月に発覚したNASAに対する攻撃事例のように、Raspberry Piを組織ネットワークへ無許可で接続されてしまうと、知らぬ間にRaspberry Piがセキュリティリスクになってしまうことが考えられます。

 このような無許可接続を防ぐために、組織のネットワークに新たな機器を接続する場合、PCやスマートフォン、そしてRaspberry Piであっても許可や申告等の手続きを必要とするようなルールを設けましょう。

 Raspberry Piを組織ネットワークに接続する場合には、セキュリティ対策の実施を確認してから許可することも重要です。さらに、ルールを設けたとしても機器が無許可で接続されるリスクは残ります。許可していないデバイスのネットワークへの接続を防止するネットワーク検疫や、勝手に接続された機器が外部と通信できないようにMACアドレスフィルタリングなどを行い、許可された機器以外は通信できないようにしておくことも効果的です。

 一方、Raspberry Pi特有の懸念として、ストレージが容易に交換できるmicroSDメモリカードを採用していることが挙げられます。せっかくOSに対してセキュリティを向上させる各種設定を施しても、Raspberry Piに挿入されているmicroSDメモリカードが交換されてしまうと、セキュリティが低いOSが動作することになりかねません。

 この場合、Raspberry Piの本体自体は同一のため、MACアドレスも不変なので前述のMACアドレスフィルタリングをすり抜けてしまいます。このような状況を作らないために、Raspberry PiのmicroSDメモリカードが安易に交換できないケースに本体を収める等の対策も必要に応じて検討しましょう。

初期設定ユーザー(pi)とrootパスワードの変更

 Raspberry Pi(Raspbian)に対するセキュリティ対策として、まずユーザー管理についてご紹介します。

 Raspberry Piの初期状態では、Raspbian上に「pi」ユーザーが作成されています。この「pi」ユーザーは初期パスワードが公開されていますので、Raspberry Piを少しでも知っている人であれば誰でもログインし、Raspberry Piの操作ができる状態となります。そこで、以下の対策を行いましょう。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.