ニュース
» 2019年12月18日 10時00分 公開

ラズパイのセキュリテイ対策(後編):「ラズパイの穴」を埋めるために、不要サービスの確認とOS自動更新を実装する (2/2)

[トレンドマイクロ株式会社,MONOist]
前のページへ 1|2       

OSやソフトウェアの自動アップデート

 次にOSやOSS(オープンソースソフトウェア)の脆弱性対策について説明します。Raspbianには、Windowsのように自動アップデート機能(Windows Update)が無いため、「いつの間にかOSやOSSが古いバージョンとなっていた」ということが起こりがちです。 よって、システムに含まれる脆弱性を放置してしまうことになり、運用する上でのリスクが日々高まっていきます。

 具体的には以下の対策が必要になってきます。

  1. OSに最新のアップデートを適用する
  2. アップデートがすぐに適用できない場合は暫定的に脆弱性を防ぐ手法を実装する

1. OSに最新のアップデートを適用する(コマンドとアップデート自動化の設定)

 Raspbianのアップデート方法とスケジュールに基づく自動アップデート設定について説明します。OSを最新にアップデートするコマンドは以下の4つです。順に実行します。

sudo apt-get update
システムのパッケージリストを更新
sudo apt-get -y dist-upgrade
保留パッケージも含めたインストール済み全パッケージを最新にアップグレード
sudo apt-get -y autoremove
アップグレード後に不要となったパッケージを削除
sudo apt-get autoclean
不要なパッケージのアーカイブファイルを削除

 aptによる自動アップデートはいくつかの方法がありますが、今回は最も簡単なcronを用いた自動化を行います。

 スケジュール機能であるcronの編集画面を開きます。

sudo crontab -e
crontabでcronの設定を変更する。このとき、誤って「-r」オプションを実行しないように注意(設定を全て消去するため)

 下記を追加します。この設定では毎日0時0分にアップデートが実行されます。

0 0 * * * sudo apt-get update && sudo apt-get -y dist-upgrade && sudo apt-get -y autoremove && sudo apt-get autoclean
crontab内のエディタで上記を追記する

 以上で自動アップデートのスケジュール設定が完了しました。

2. アップデートがすぐに適用できない場合は暫定的に脆弱性を防ぐ手法を実装する

 Raspbianやソフトウェアの自動アップデートの方法について紹介しましたが、運用上の懸念からアップデートをすぐに適用することが難しい場合があるかもしれません。例えば、下記のような場合です。

  • アップデートで仕様が変更され、アプリケーションの動作に影響を及ぼす懸念がある
  • OSのバージョンアップにより、アプリケーションがサポート対象外になる懸念がある

 その場合は代替手段で脆弱性対策を検討する必要があります。例えば、当社が提供する「Trend Micro IoT Security」は、OSのアップデートを行わなくてもRaspbianのOSやOSSの脆弱性を保護する「脆弱性対策」(通称:仮想パッチ)という機能があります。

 「Trend Micro IoT Security」の脆弱性対策は、OSやOSSの脆弱性情報をスキャンし、スキャンした情報をトレンドマイクロのクラウドへアップロードします。クラウド上で最新の脆弱性情報と照らし合わせ、対象のデバイスへ必要と判断された仮想パッチのみ遠隔で配信、適用します。アップデートに懸念がある環境でも仮想パッチを適用することで、一定のセキュリティレベルを保つことができるようになります。

最後に

 Raspberry Piは安価に購入でき、PoCや実験的な用途にとどまらず業務や商用での利用も増えてきつつあります。しかし、セキュリティ管理が行き届いていない企業、ユーザーも多いのではないでしょうか。

 Raspberry Piはれっきとしたコンピュータであり、一般的な組み込み機器のようにメーカーに依存してセキュリティを担保することはできません。利用者自らが対策をする必要のある機器です。実験的な利用であれば業務ネットワークと切り離すことを検討すべきですし、業務利用であれば他のLinux機器と同等のセキュリティレベルを維持しなければなりません。

 トレンドマイクロのWebサイトではRaspbianに「Trend Micro IoT Security」の体験版を公開しています。便利な機器であるからこそ、正しくセキュリティ対策を施して利用することによって、より安全で有効な運用ができます。この機会に手元の「ラズパイの穴」を点検しましょう。

 本記事が少しでも皆さんのRaspberry Piの安心安全な利用の参考になれば幸いです。

(連載完)

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.