テックブログ

2021.5.19

コラムニュースレターバックナンバー

MSP サーバサーバーサーバ保守サーバ構築サーバ監視サーバ管理サーバ運用ニュースレターネットアシスト

【ネットアシストニュースレター | Vol.1 】

皆さん、こんにちは。
サーバー保守・運用管理から監視からサーバリプレイス（移行/引っ越し）、サーバ構築までお任せ！
【株式会社ネットアシスト】です。

この度、ニュースレターを定期発行することにいたしました。主にメールにて、ネットアシストのニュースやIT関連トピックスをお届けします。今回が記念すべき第1回目の配信です。

感想などの反響は、メールでも担当営業にお伝えいただくのでも大歓迎です。自社の新サービス紹介や、取り上げて欲しい題材などあればご連絡ください。

【目次】

　CentOS8代替OS最新情報
　不正アクセス事例
　事例のような不正アクセスを防ぐために
　今月の脆弱性

CentOS8のサポート終了。代替OSの最新ニュース！

CentOS8の代替OSについて

去る2020年12月9日(日本時間)、CentOS公式からの発表によりIT業界に衝撃が走りました。
CentOS8のサポート期限が「2029年6月30日」から「2021年12月30日」に7年半も短縮するという発表です。

CentOS8ユーザーは有償OSであるRHEL、テスト用OSであるCentOS stream、または他ディストリビューションのOSへのリプレイスが必要でした。
それから半年、有志の手により代替OSであるAlma Linux、Rocky Linuxが発表されました。

代替OSについて

前提としてCentOS8はRHEL8のソースコードを元に組まれた無償OSです。
RHEL8自体は有償ですがそのソフトウェアのソースコードはオープンソースライセンスに基づき無償で公開されております。CentOS8はこれをもとに商標や商用パッケージ等を除去したものです。

代替OSのAlma Linux、Rocky LinuxはCent OS8と同じく、公開されているソースコードを元に組まれたOS となります。

Alma Linuxについて

2021年3月30日にCloud Linux社より公開されたOSです。 2029年までの長期サポートとCent OS8と同じ使用感を備えた無償のOSです。 CentOS8の環境に最も近い運用が可能です。

一部のクラウドベンダーでもリリースが予定されており、現在CentOS8を利用しているお客様は、このOSのリリースを待つのが良さそうです。

Rocky Linuxについて

5月にリリース予定のOSです。CentOSプロジェクトの創設者であるグレゴリー・クルツァー氏が率いて開発しています。
サポート期間は2029年5月のため、リリース後には商用可能な無償OSとして利用が検討されています。

不正アクセス事例

慶応義塾大学湘南藤沢キャンパス（SFC）

2021年5月7日、慶応義塾大学は、SFCの会議室予約への不正アクセスを検知し、個人情報6507件の漏洩の可能性を発表しました。

今回漏洩したデータは、会議室を利用した学生・教職員などの氏名・電話番号・メールアドレスとみられます。

トップページの表示が乱れていることを確認したことから詳細を調査した結果、サイバー攻撃を受けていたことが判明しました。

　同大学は今回被害を受けたシステム以外にも、情報ネットワークシステムや授業支援システムなどの複数のシステムを保有しており、昨年から断続的なサイバー攻撃を確認していました。2020年11月にもSFCキャンパスのサーバーへの不正アクセスによって、30,000件の学生の個人情報が漏洩した可能性から、CSIRT（情報セキュリティーインシデント対策チーム）を発足したばかりでした。

事例のような不正アクセスを防ぐために

上記のような不正アクセス、個人情報漏洩を防ぐには・・・

・Webアプリケーションやシステムの脆弱性診断の実施

・Webアプリケーションファイアウォール（WAF）の導入

がおすすめ！

脆弱性を含んだままのコードを利用していると、その脆弱性を突かれて不正アクセスは発生します。また、長く稼働しているシステムには、開発時には発見されていなかった脆弱性が含まれている場合もあり、安定的に利用できているシステムでも、Webシステム自体の脆弱性を定期的に診断し、セキュリティリスクをつぶしておくことが必要です。
また、未知の攻撃や脆弱性などは日々発見されていますが、そのたびに診断＋改修を行うことはまず不可能です。そのため、速やかに新たな脆弱性やゼロデイ攻撃に対応するためにはWebアプリケーションレベルでの攻撃を防御してくれる「WAF」の導入も必須となります。