Mac OS X Server Night! #09 イベントレポート

本日のアジェンダの説明に続き、今回のイベントのテーマであるMac OS X Server運用に欠かせない「Mac OS X Serverでのセキュリティ対策」についてご説明をいただきました。MacOS X Serverの製品自体は、もちろん高度にセキュリティに対する配慮がなされており、間違えた運用をしなければ安全に利用できるそうです。

ただし大前提として、「アカウントのパスワードが正しく運用されていること」（不正を働こうとしている人に知られていない或いは、不正をしようとしている人がパスワードなしに接続できるようにはなっていない）「管理者やrootのパスワードが推測可能になってはいないこと」「ゲストアクセスで書き込み可能なファイルサーバを設定していないこと」などが上げられました。

沢山あるサーバサービスのうちでセキュリティ対策が重要な「メール」「Web」「リモートログイン」から実例をあげて、細かい設定をご紹介していただきました。

「メールサーバ」サーバパフォーマンスの低下や、組織の信用低下を招いてしまうことになる、第三者が勝手にメール送信用サーバとして使うオープンリレーサーバになっていないことが重要です。 現行のMac OS X Serverの場合、メールサービスを起動してもデフォルトの設定ではオープンリレーはできません。

「Webサーバ」WebDAVのhttp経由での書き込み可能機能を悪用したサイトの乗っとりがあげられました。実際のハックされた画面の表示での説明です。 Mac OS X Serverでは、WebDAVは既定値ではオフになっていることと、Webサービス(Apache2)の設定は、限定された動作のみであること。これもアカウントの管理が正しく設定されていれば問題はないそうです。

「リモートログイン(ssh)」アタックされたログファイルを表示してのご説明でした。rootやAdministratorというアカウントでリモートログイン(ssh)、不正アクセスされた形跡があります。それがMac OS X Server管理者のアカウントなら、何をされるか分からないです。 Mac OS X ServerではSACLを設定し、リモートログイン可能なユーザを制限できるので必ず設定をしましょう。

大前提として上げられたパスワードの重要さ、そしてパスワードの管理の需要さが再認識されました。このことからSSLの使用が推奨されるそうです。

管理者が正しい設定をしているという前提の上では 、「Mac OS X Serverは、セキュリティ的に問題はない」ということですが、未知の脅威が存在することや、設定の気がつかないミスに対するためにもさらなるサーバ運用時の安心セキュリティを高めることは損失を少なくするためにも必要です。 続いてアクト・ツー様で取扱う「ウイルスバリア」のサーバ対応製品についてご紹介いただきました。

仮想化ソフト「VMware Fusion ２（ヴイエムウェア フュージョン 2）」、圧縮解凍ソフト「StuffIt（スタッフイット）」、ウイルス対策ソフト「VirusBarrier（ウイルスバリア）」などの取扱いを行っている、株式会社 アクト・ツー様に、今回はMac OS X Sever用ウイルス対策ソフト「VirusBarrieServer3（ウイルスバリア サーバ 3）」をご紹介いただきました。「VirusBarrieServer 3」は、Mac OS X Sever用で唯一、完全なアンチウイルスおよびマルウェア対策に加え、双方向ファイアウォール、侵入対策、ネットワーク保護、などの機能を併せ持つプログラムです。

Macのセキュリティ対策として、少ないながらもMacを狙うマルウェアの存在もあります。そしてOSに関係なく危険なフィッシング詐欺の対策です。自分の環境だけではなく他の環境への加害者にならないためにもセキュリティ対策を施しておく必要性があります。「VirusBarrieServer 3」はGUI上で簡単に設定が可能です。『完全スキャン』ボタンを押すだけで検出が始まります。一回目は時間がかかるが二回目以降は検出時間も短縮されます。そして「VirusBarrieServer 3」は数多くのセキュリティ対策を実装しています。「ウイルス対策 」「スパイウェア対策 」「ファイアーウォール 」「フィッシング対策 」「ハッキング対策（アンチバンダル）」 「送信データの制御 」「アプリケーションのネットワーク制御 」「スキャンのスケジュール設定 」etc ..... その中から「ファイアーウォール 」「ハッキング対策（アンチバンダル）」の設定を詳しく教えていただきました。これらの設定もGUI上で簡単に設定ができます。

「VirusBarrieServerAdmin」を使用してのクライアント管理についても教えていただきました。クライアントに「RMCClient」をインストールしておけばクライアントの管理が簡単になるということです。 「クライアントの環境を遠隔操作」でき、「複数クライアントの統一設定が可能」、「外に繋がっていない環境でもアップデータを入手できる」ということでした。

Q&Aのコーナーでは、「Q：製品の価格やライセンス体系は？」のご質問をいただき御回答をいただきました。

詳しくはこちらをご参照ください。
「VirusBarrieServer 3」：http://www.act2.com/products/vb-server3.html

株式会社アクト・ツー：http://www.act2.com/

『エコ**2（エコロジー&エコノミー）に向けて、FAXをペーパーレスにしよう』です。ペーパーレスのためにMacでFAXの送受信をすることにすると、FAX受信の為に常時通電にする必要があります。それだけで常時通電はエコではないので、 Serverとしても活用しましょう。

実際の構成図を用い機材の関係と流れが分かりやすいご説明でした。 用意するものは、「FAXサーバ（ファイルサーバ）」「モデムは一般的なFAX機能付きUSBモデム（各社から出ている、USB 14.4K FAXモデム）」残念ながらApple USB モデムはなくなったそうです。 そして、電話と共有しない、「FAX専用番号」も一般的に必要になります。マシンは電源投入、起動完了後からFAX受信に対応します。サーバ上のモデムの送信共有の方法はいまのところ不明だそうです。クライアントのモデムなら送信共有可能とのことでした。

保存場所にファイルサーバを指定しておけば、受信したFAXデータはPDFで自動保存されます。 あとはそれをLAN上の各マシンからファイル共有で閲覧するだけです。 アドレスブックにFAX番号を登録しておくと送信も簡単です。 ペーパーレスを考えると家庭だけでなくオフィスでの活用も検討され得るFAXサーバのご説明でした。

「iPhone構成ユーティリティ」が「 iPhone 構成ユーティリティ 3.0」となり、新たに追加された項目をご紹介です。 システム条件はMac OS X 10.6になります。 「一般設定」「パスコード設定」「制限の設定」「Wi-Fi設定」「VPN設定」「メール設定」「Exchange設定」「LDAP(LDAPサーバに接続）設定」「SCES(セキュリティの認証）設定」「CardDAV(アドレスブックの管理）設定」などがありましたが、iOS4.0の発表の時に触れられていた、Mobile Device Management API（モバイルデバイスマネージメント/MDM）が新たに提供されました。 モバイルデバイスの管理をする為のもので、iPhoneなら、大勢のユーザーを対象とした導入と管理もこれまでになく簡単です。Mobile Device Management APIをサードパーティ製ソリューションと統合すれば、iPhoneの構成、設定のアップデート、企業ポリシー準拠の監視、管理下にあるiPhoneのデータ消去とロックなど、すべてをワイヤレスで行えます。Mobile Device Management APIが、他社製ソリューションとの統合が可能になっており、企業向け機能を強化されたようです。

この機能を使用するには「モバイルデバイス管理サーバ」が必要になります。
「モバイルデバイス管理サーバ」-「iPhone」
か、
「モバイルデバイス管理サーバ」-「（非同期にメッセージを送信できる）Push Notification サーバ」-「iPhone」
の組み合わせになるそうです。

設定後のiPhoneへの配付は以前と同じく、XMLで書かれたテキストファイルの構成ファイル作成し「USB」「Mail」「Webサーバに配置してダウンロード」いずれかの方法で配置します。

詳しくはこちらをご参照ください。

http://www.apple.com/jp/iphone/business/integration/
http://www.apple.com/jp/iphone/business/

「エンタープライズ配備ガイド」現在は「iPhone構成ユーティリティ2.2」対応です。
http://www.apple.com/jp/support/iphone/enterprise/

iPhone 構成ユーティリティ 3.0 (Mac)
http://support.apple.com/kb/DL851?viewlocale=ja_JP/

ワールドワイドに展開され、Macの管理スキルを客観的に証明することのできるアップル認定資格についての紹介です。 資格には「サポートプロフェッショナル」「テクニカルコーディネータ」「システムアドミニストレータ」の３種類があり、それぞれ認定試験に合格することで取得することができます。 試験は５科目ありどの資格を取得したいかで受験する試験が異なってきます。現在は日本語v10.5対応ですが、v10.6アップデート試験予定されているそうです。

資格を取得するには試験に合格すればよいだけなので独学も可能ですが、効率よく試験対策をおこなう方法としてアップル認定トレーニングについての紹介もありました。 認定トレーニングとは 高い技術力と経験を持った認定トレーナーが認定テキストと実機を用いた体系的な授業を行うそうです。 アップル認定トレーニングは現在Mac OS Xの管理者向けの「Support Essentials v10.5(3日間)」と、Mac OS X Serverの管理者向けの「Mac OS X Server Essentials v10.5 (4日間)」が開催されています。 トレーニングでは実機をひとり2台使ってMac OS XやMac OS X Serverの管理方法を効率よく習得することができます。 またアップル公認トレーニングセンターのダイワボウ情報システムではSnow Leopard Serverに対応したオリジナルコースも提供しています。

詳しい内容は受付サイトのこちら

https://training.exid.jp/

ここで最近恒例になってきているお楽しみの『Sample Test／サンプル問題』今回は以下の問題が出されました。

Q: 環境設定が管理されたユーザが、環境設定が管理されたMac OS X v10.6が動作するコンピュータにログインしました。 ユーザセッション中に環境設定のデータが保存されるコンピュータ上の場所は次のどれでしょうか？

A. システムキーチェーン
B. ローカルNetInfoデータベース
C.「/システム/ライブラリ/Preferences」
D.「/ライブラリ/Managed Preferences」

出典：http://training.apple.com/pdf/server-essentials-sample-test-10.6.pdf