先日、DCインフラ向けのセキュリティアーキテクチャに関する講演を聞いてきた。
自分も以前システムインフラの運用に携わってきたが、サーバのウイルス対策は負荷の観点から結構及び腰になってしまうので、F/W側でのポート制御や、サーバ側から不要なアプリを削除したり、特権管理、ハードニングなどを通じて対応を行ってきた。
ウイルス対策以外は今も有効な手段であると考えられる。
セミナーでは、ウイルス対策について、従来のアンチウイルスソフトを使うのをやめ、ホワイトリスト中心のアプローチ(=ホスト型IDSの利用)を推奨していたのが、少し斬新だった。
ポイントは、クライアントPCと異なり、サーバは一度運用が始まると、基本的にワークロードは変わらないという点。
なので、メモリ保護と組み合わせて、妙な動きをするプロセスを監視できれば、ウイルス対策は不要ということなのだろう。
ウイルス対策(=アンチウイルスソフト)が不要になる一方で、ホスト型IDSが必要になるので、費用対効果の観点で安くなるのか高くなるのかは見極めが必要。
ま、高くなったら、提言の内容がどんなにイけていても、絵に描いた餅になる可能性は高い。
【参考資料】※非公開
DCインフラ向けセキュリティ戦略