インターネット公開サーバーのセキュリティは日々不安
JR西日本の一部サイトが改ざんされたニュースがでていましたが、脆弱性はどうしてもでてくるものです。今日の時点では非の打ち所がなかったとしても、明日にはもう大問題のサイトになっている可能性もあります。それがインターネットというものですが、何とか対策をしたいものです。
Googleは無料で検査をやってくれる
何か問題がおきていないかを調べるのは、プロフェッショナルがプログラムまで読み込みながら検査する方法から、簡単な無料ツールでチェックするところまですごい幅があります。0円~数千万という幅の広さです。無料のツールはとても不安ですよね。
Googleでサーバーを動かすと、この脆弱性検査を無料でやってくれるツールを提供してくれます。「Cloud Web Security Scanner」という名前です。
設定で詰まったところ
ダッシュボード上の左上メニューから「Cloud Web Security Scanner」を選択して設定します。あまり詰まるところはないのですが、一つだけ注意事項があります。
静的IPアドレスにしていないと検査できない
IPアドレス設定を静的IPアドレスに設定していない場合、下記のアラートがでてきます。何もしないでサーバーを作ったときのIPアドレスは「エフェメラル」になっており、これは一時的といった意味のようです。
「いずれかの開始 URL が、このプロジェクトの静的 IP アドレスとして予約されていない IP アドレスにマップされています。」
静的IPアドレスへの昇格方法
IPアドレスを再度取り直しになる!?と頭を抱えかけ始めましたが、今使っている一時的なIPアドレスを静的なIPアドレスに昇格する方法があるようです。しかも断時間はほぼない模様。
できることはわかったのですが、この「外部IPアドレス」がこんどは見つかりません。あちこち探して検索しまくっていたら「VPCネットワーク」の中にあることが判明。ここですね。
現在使用している一時的なIPアドレスが表示されていますので、静的なIPアドレスに変更するよう設定します。
「新しい静的アドレスの予約」というポップアップ画面がでてきますので、適当な名称をつけて保存します。なぜか英数字小文字のみの受付なので注意してください。
SCAN結果
スキャンにかかった時間は2時間51分。見つかった脆弱性は11個(全て同一要因)でした。古いライブラリ使っているよという警告だったので、直し方は別途検討。