セキュリティ業務の基礎と実践

～ポートスキャンからIDSまで、Linuxにおける守りの第一歩～

---

📌 概要

サーバーやネットワークのセキュリティを確保するには、脆弱性の把握と対策の即応性が重要です。
本記事では、以下の3つの観点からセキュリティ業務を体系的に解説します：

1. セキュリティ警告の収集
2. ポートスキャンと診断
3. 侵入検知とパッチ適用

---

① セキュリティ警告の収集

🔍 情報源と監視先

組織名	概要・主な役割
Bugtraq	セキュリティ脆弱性のメーリングリスト（SecurityFocusが運営）
CERT/CC（Carnegie Mellon）	サイバーセキュリティの脅威と対応策の発信機関
CIAC（US DOE）	米国エネルギー省のセキュリティアドバイザリ（現CSIRT）
JVN（Japan Vulnerability Notes）	日本の脆弱性情報データベース

🔔 定期チェックの方法

• RSSフィードを活用（JVN, CERT）
• apt update や yum check-update によるパッケージ更新情報
• OSベンダーの公式セキュリティアドバイザリメール購読

---

② ポート診断とアクセス制御

🧰 主なツール

ツール	用途
netcat (nc, ncat)	ポートの接続確認やデータ転送
nmap	高度なポートスキャン、OS検出
iptables	IPフィルタリングとパケット制御（旧式）
firewalld	zoneベースの動的ファイアウォール（推奨）

---

✅ 例：ポートスキャンの実行

# 自ホストの80番ポートに接続確認
nc -v localhost 80

# 指定IPに対して全ポートスキャン
nmap -p- 192.168.1.1

✅ firewalldでのアクセス制御

# HTTPポートを許可
sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --reload

# 設定確認
sudo firewall-cmd --list-all

---

③ 侵入検知システム（IDS）と対策

🔒 IDSツール

ツール名	用途
fail2ban	ログを監視し、攻撃元IPを一時的にBAN
snort	ネットワーク型IDS。パケットの署名検査で不審通信を検出
OpenVAS	脆弱性スキャンツール（Greenbone）
OpenSCAP	セキュリティコンプライアンスの検証ツール（政府系基準準拠）

---

✅ fail2banの導入と設定

# インストール
sudo apt install fail2ban

# jail設定の編集例（/etc/fail2ban/jail.local）

enabled = true port = ssh filter = sshd logpath = /var/log/auth.log maxretry = 3

---

✅ snortの基本動作（導入はやや中・上級者向け）

# 例：eth0インターフェースでパケットを監視
sudo snort -A console -i eth0 -c /etc/snort/snort.conf

---

🔧 パッチ適用とアップデート

セキュリティパッチの適用は、早期対応が命

Debian/Ubuntu系：

sudo apt update
sudo apt upgrade

RHEL/CentOS系：

sudo yum check-update
sudo yum update

自動化例：

• unattended-upgrades（Ubuntu）
• dnf-automatic（RHEL系）

---

🧠 実務＆試験対策まとめ

項目	説明
セキュリティ情報源	Bugtraq, CERT, CIAC, JVN
ポート診断	nmap, nc（ncat）
IDS対策	fail2ban（SSH防御）, snort（パケット検査）
ファイアウォール制御	iptables（旧）, firewalld（新）
脆弱性スキャン	OpenVAS（ネットワーク）, OpenSCAP（基準準拠）
パッチ管理	パッケージマネージャと自動化設定

---

✅ まとめ

セキュリティ業務は「情報収集→診断→対策→継続監視」のサイクルで成り立っています。
単発的な対応ではなく、継続的かつ体系的に守る姿勢が重要です。

セキュリティ対策を定着させるためには、以下の取り組みもおすすめです：

• IDSログの可視化（ログ解析）
• 月1回のnmapスキャンで定期点検
• セキュリティパッチの自動適用設定