次にセキュリティに関する設計です。
昨今はサイバー犯罪が多い
ので、財産を守るという意味でも非常に重要です。
ので、財産を守るという意味でも非常に重要です。ぜひキッチリ作り込んでおきたいと思います。
【要件】
a) アカウント(本番兼検証環境)
【要件】
a) アカウント(本番兼検証環境)
・標準アカウント無効化&作業アカウント必須
・監査ログ:ログイン・ログアウトのみ
・個別ドメイン:無し
・ログイン:セキュリティ確保
b) セキュリティソフト導入
・ウイルス対策
・脆弱性対策
・変更監視
・その他ソフトウェアの導入は必要最低限かつ極力排除
以前に決めた要件は下記の通りです。
実際には具体的に運用する段階で、もっと細かく修正していく必要があると思いますが、ひとまずは下記のように設計します。
【設計】
A) アカウント/ログインの設計
・標準アカウントは全てロックアウトor無効化
・管理者アカウントと作業用アカウントを別に1つずつ作成する。(名称非公開)
「UAC」や「別ユーザーでの実行」を使用して、必要最低限の権限で操作する。
・監査ログはOS標準のセキュリティログにて収集する。
B) セキュリティソフト導入
・今回の要件を全て満たせるのは 「Trend Micro Deep Security as a Service (DSaaS)」 の一択と思います。
以前に決めた要件は下記の通りです。
実際には具体的に運用する段階で、もっと細かく修正していく必要があると思いますが、ひとまずは下記のように設計します。
【設計】
A) アカウント/ログインの設計
・標準アカウントは全てロックアウトor無効化
・管理者アカウントと作業用アカウントを別に1つずつ作成する。(名称非公開)
「UAC」や「別ユーザーでの実行」を使用して、必要最低限の権限で操作する。
・監査ログはOS標準のセキュリティログにて収集する。
B) セキュリティソフト導入
・今回の要件を全て満たせるのは 「Trend Micro Deep Security as a Service (DSaaS)」 の一択と思います。
ウイルス対策/HIPS/Firewall/ログ監視/変更監視を1つのエージェントで満たせるのはこのソフトウェアくらいだと思います。
企業向けのソフトウェアですが、サーバ5台まで無料で使用可能
ですから便乗しましょう。
企業向けのソフトウェアですが、サーバ5台まで無料で使用可能
ですから便乗しましょう。 ※そんでもって使い勝手が良かったら、本業でも使う。。。と。
・DSaaSでは可能な限り全機能使ってみます。そのため、Windows Firewall や Windows Defender は無効化します。
・ウイルスやら様々な検索処理は毎週土曜日の午前7時から順に実行したいと思います。
当然ですが、為替が動いているタイミングで行うのはナンセンスだからです。
・Windows Update も毎週日曜日の午前7時に週次で実行します。
ただし、緊急性を要するパッチが出た場合にはこの限りではありません。
・WEBブラウザはIEのみ最低限残す。メーラーなど他のソフトウェアは導入しない。
C) その他
・AWS側のVPCやFWを適切に設定しておきます。
メールやWebを使わず、FWを使うのであれば、外部から侵入される経路はほぼ無いに等しいです。
・AWSで割り当てられたFQDNへリモートデスクトップでログインする。
証明書管理、接続設定も最低限かつ適切に行うこと。
・当面、接続元は開発用PCのみ可能とする。
・唯一 MT4 の脆弱性を突くような攻撃があった場合は、さすがに防ぎようが無い気がします。
これについてはMT5への移行や何らか対策を考えていきます。
こんなものでしょうか。
本業でもセキュリティに関して考えることが多いので、結構作り込んでしまいましたが、実際に構築してみると大した内容ではないはずです。
あと少しで設計も終わりですが、頑張ってやりきりたいと思います。
・DSaaSでは可能な限り全機能使ってみます。そのため、Windows Firewall や Windows Defender は無効化します。
・ウイルスやら様々な検索処理は毎週土曜日の午前7時から順に実行したいと思います。
当然ですが、為替が動いているタイミングで行うのはナンセンスだからです。
・Windows Update も毎週日曜日の午前7時に週次で実行します。
ただし、緊急性を要するパッチが出た場合にはこの限りではありません。
・WEBブラウザはIEのみ最低限残す。メーラーなど他のソフトウェアは導入しない。
C) その他
・AWS側のVPCやFWを適切に設定しておきます。
メールやWebを使わず、FWを使うのであれば、外部から侵入される経路はほぼ無いに等しいです。
・AWSで割り当てられたFQDNへリモートデスクトップでログインする。
証明書管理、接続設定も最低限かつ適切に行うこと。
・当面、接続元は開発用PCのみ可能とする。
・唯一 MT4 の脆弱性を突くような攻撃があった場合は、さすがに防ぎようが無い気がします。
これについてはMT5への移行や何らか対策を考えていきます。
こんなものでしょうか。
本業でもセキュリティに関して考えることが多いので、結構作り込んでしまいましたが、実際に構築してみると大した内容ではないはずです。
あと少しで設計も終わりですが、頑張ってやりきりたいと思います。