「ラズパイの穴」を埋めるために、不要サービスの確認とOS自動更新を実装する:ラズパイのセキュリテイ対策(後編)(2/2 ページ)
連載最終回となる今回は、見落としがちなセキュリティリスクである不要サービスの確認と、OSやソフトウェアの自動アップデートを実装していきます。
OSやソフトウェアの自動アップデート
次にOSやOSS(オープンソースソフトウェア)の脆弱性対策について説明します。Raspbianには、Windowsのように自動アップデート機能(Windows Update)が無いため、「いつの間にかOSやOSSが古いバージョンとなっていた」ということが起こりがちです。 よって、システムに含まれる脆弱性を放置してしまうことになり、運用する上でのリスクが日々高まっていきます。
具体的には以下の対策が必要になってきます。
- OSに最新のアップデートを適用する
- アップデートがすぐに適用できない場合は暫定的に脆弱性を防ぐ手法を実装する
1. OSに最新のアップデートを適用する(コマンドとアップデート自動化の設定)
Raspbianのアップデート方法とスケジュールに基づく自動アップデート設定について説明します。OSを最新にアップデートするコマンドは以下の4つです。順に実行します。
sudo apt-get update
sudo apt-get -y dist-upgrade
sudo apt-get -y autoremove
sudo apt-get autoclean
aptによる自動アップデートはいくつかの方法がありますが、今回は最も簡単なcronを用いた自動化を行います。
スケジュール機能であるcronの編集画面を開きます。
sudo crontab -e
下記を追加します。この設定では毎日0時0分にアップデートが実行されます。
0 0 * * * sudo apt-get update && sudo apt-get -y dist-upgrade && sudo apt-get -y autoremove && sudo apt-get autoclean
以上で自動アップデートのスケジュール設定が完了しました。
2. アップデートがすぐに適用できない場合は暫定的に脆弱性を防ぐ手法を実装する
Raspbianやソフトウェアの自動アップデートの方法について紹介しましたが、運用上の懸念からアップデートをすぐに適用することが難しい場合があるかもしれません。例えば、下記のような場合です。
- アップデートで仕様が変更され、アプリケーションの動作に影響を及ぼす懸念がある
- OSのバージョンアップにより、アプリケーションがサポート対象外になる懸念がある
その場合は代替手段で脆弱性対策を検討する必要があります。例えば、当社が提供する「Trend Micro IoT Security」は、OSのアップデートを行わなくてもRaspbianのOSやOSSの脆弱性を保護する「脆弱性対策」(通称:仮想パッチ)という機能があります。
「Trend Micro IoT Security」の脆弱性対策は、OSやOSSの脆弱性情報をスキャンし、スキャンした情報をトレンドマイクロのクラウドへアップロードします。クラウド上で最新の脆弱性情報と照らし合わせ、対象のデバイスへ必要と判断された仮想パッチのみ遠隔で配信、適用します。アップデートに懸念がある環境でも仮想パッチを適用することで、一定のセキュリティレベルを保つことができるようになります。
最後に
Raspberry Piは安価に購入でき、PoCや実験的な用途にとどまらず業務や商用での利用も増えてきつつあります。しかし、セキュリティ管理が行き届いていない企業、ユーザーも多いのではないでしょうか。
Raspberry Piはれっきとしたコンピュータであり、一般的な組み込み機器のようにメーカーに依存してセキュリティを担保することはできません。利用者自らが対策をする必要のある機器です。実験的な利用であれば業務ネットワークと切り離すことを検討すべきですし、業務利用であれば他のLinux機器と同等のセキュリティレベルを維持しなければなりません。
トレンドマイクロのWebサイトではRaspbianに「Trend Micro IoT Security」の体験版を公開しています。便利な機器であるからこそ、正しくセキュリティ対策を施して利用することによって、より安全で有効な運用ができます。この機会に手元の「ラズパイの穴」を点検しましょう。
本記事が少しでも皆さんのRaspberry Piの安心安全な利用の参考になれば幸いです。
(連載完)
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- ≫連載「ラズパイのセキュリテイ対策」バックナンバー
ラズパイ入手したらまずやること、デフォルトユーザーとSSHログイン認証を変更する
今回は、Raspberry Piユーザーが採るべきセキュリティ対策について、より具体的に解説していきます。まず、Raspberry PiのシャドーITを防ぐ方法を紹介したうえで、Raspberry Pi端末に対するセキュリティ対策を説明します。
あなたのラズパイは穴だらけ? ユーザーが検討すべき脅威への対策
インターネットに接続されている世界のRaspberry Piは、どれほどセキュリティリスクにさらされているのか。また、Raspberry Piをサイバー攻撃の呼び水にしないためにどのような対策を施せば良いのか、トレンドマイクロでセキュリティエバンジェリストを務める岡本勝之氏の分析概要を聞いた。
Ubuntu 19.10がリリース、ラズパイ4やMicroK8sサポートでエッジ領域を強化
Linuxディストリビューション「Ubuntu」の開発を支援するCanonicalは2019年10月18日、Ubuntu 19.10(コードネーム:Eoan Ermine)の正式リリースを発表した。
ラズパイで高品質なメロンを栽培、越谷市と富士通が共同研究
埼玉県越谷市と富士通は2019年7月30日、IoT(モノのインターネット)を活用したメロンの水耕栽培に関する共同研究を開始したと発表した。高収益な農産物であるメロンを安定かつ大量に栽培する方法を確立し、地域農業の振興を図る狙いだ。
ラズパイとコンテナを使ったOTAが容易に、GitHubがCI/CD機能を提供
ギットハブ・ジャパンは、米国本社のGitHubが2019年8月8日にβ版を発表した新機能「GitHub Actions」について説明。最大の特徴は、CI/CD機能の搭載で、Linux、macOS、Windowsなど任意のプラットフォーム上での開発からテスト、デプロイまでのプロセスを容易に自動化できるとしている。