TrueNAS のセキュリティ対策はどうするか

TrueNASを運用するにあたって、
Windowsパソコンのように、ウイルス対策ソフトなどのインストールの必要はないのでしょうか?
あるいは、ウイルス対策ソフトがないから危険なのでしょうか?


まずセキュリティ対策に
「大丈夫」
ということはない、ということを理解してから進めるべきでしょう。

それに、
Windowsパソコンであっても、ウイルス対策ソフトをインストールしているだけで「大丈夫」というわけではありません。

ウイルス対策ソフトはOSの上で動作するアプリケーションなのに、OSの開発元ではないところがOSの動作を監視して、場合によってはファイルやプロセスに割り込む、という振る舞いがそもそもどうなのか、という面がまずあります。サードパーティーのウイルス対策ソフトが必ず必要、というのも本来何か変なのです。

そのシステムの弱点(脆弱性)と、それへの対処方法の現実性を踏まえて対策をしていくべきです。
もちろん、その上で納得がいかなければ使わなければいいのです。

TrueNASはFreeBSDをベースにしたNASアプライアンスです。
FreeBSD用のウイルス対策ソフトというものがそもそもほとんどありません。
ので、最初からほとんど方法がない、というのが実情です。
(ざっと調べてみたところ、いちいちインストールするのも面倒ですし、オンデマンドスキャンをする訳ではなさそうです)

コミュニティベースのプラグインに ClamAV というのがあるようですが、プラグインとして追加した Jail 環境(一種の仮想マシン)から、定期的に指定したフォルダのスキャンをする、っていう感じみたいです。

また、
TrueNASのシステムドライブは通常書き込み不可となっているので、
再起動すると元に戻りますし、書き込み不可属性をわざわざ解除して変更していても、バージョンアップをすると、TrueNAS上の設定以外は消えてしまいます。

次に、多種多様なプラグインを使う以前のNAS本体としてのTrueNASの動作としては、
TrueNAS自身の通信はアップデートの確認用の通信や、管理者が設定した通信しかしないはずです。
この通信先から感染するようなことがなければ、感染ルートは本来あり得ないはずです。
自ら様々なところにアクセスして、プログラムを実行するWindowsパソコンのようなデスクトップパソコンに比べて、共有フォルダを提供していて、そこにファイルを置かれても通常は実行したりしないし、アップデートのためのアクセス先が決まっているTrueNASはリスクに晒される頻度は相当に低いと考えられます。

つまり、
TrueNAS自体よりも、
TrueNASにアクセスする環境のセキュリティ対策をきっちりすることができていれば、
TrueNAS自体を過剰に警戒する必要はないのではないでしょうか。

そうすれば、セキュリティ対策がきちんとされているパソコンからアクセスした際に
そのパソコンによってウイルスの検査もされる、ということになります。
なんなら、そのパソコンにTrueNASが提供する共有フォルダをマウントしてフルスキャンしてもいいでしょう。

また、共有フォルダにウイルスに感染したファイルが置かれたとして、
通常の運用ではTrueNASはそれを実行しません。
(利用者がいろいろな実行ファイルを実行できるデスクトップ環境とは異なります。まあ、共有フォルダを共同利用する他のパソコンに感染を拡大する手伝いをしてしまう可能性がないとは言えませんが、それはそもそも共有フォルダにファイルを置いたパソコンが感染しているのが問題なのであって、しかもそこにアクセスしてくるパソコンも防御できていない、というのが問題で、TrueNASがどうにかする以前の話なのです)

ということで、
現実的に取れる対策としては

・TrueNASの設定はきちんとする
(不要なサービスやプラグインは無闇に作動させない)
・TrueNASのアップデートが出たらすみやかに適用する
(アップデートによる不具合とのトレードオフなので、どのぐらい様子を見るかは運用しながら判断)
・TrueNASへアクセスするパソコンのセキュリティ対策をきちんとする
(結局TrueNASにウイルス等を持ち込んだり、ここから感染したりするのはこれらのパソコンである、ということです)

ということになると思います。

また、
TrueNASが稼働しているだけで影響を受けるような脆弱性が発見されたら
IPAなどからも情報が出ることと思います。

「FreeNAS」におけるセキュリティ上の弱点(脆弱性)の注意喚起
(こちらは、2009年の脆弱性情報で、「FreeNAS 0.69.2 およびそれ以前」が影響をうけ、「開発者が提供する情報をもとに最新版へアップデートしてください。本脆弱性への対策版として、FreeNAS 0.7RC1 が出されています」ということで対策されています)

アップデートの情報の中の「CVE」文字列などに注目しておくのもいいと思います。


JVNなどで定期的に検索したりしてもいいかもしれません。

TrueNASの公式サイトにも
https://security.truenas.com/
というページがありました。

そして対処方法は、
「脆弱性の解消したバージョンにアップデートする」
が基本となるかと思います。


なんにせよ、ウイルス対策ソフトをインストールすれば大丈夫という訳ではないですし、
ウイルス対策ソフトを入れられないからダメ、ということでもないと思います。

そして最後に、世の中に相当数のTrueNAS(FreeNAS)ユーザーがいます。
私も常時稼働している環境も含め複数のTrueNAS/FreeNASを6年以上運用しています。


特定のセキュリティ対策ソフトを信頼してて、どうしてもそれが動作している環境でないと、と思われる方は、そのセキュリティ対策ソフトの動作環境で探したらいいのではないかと思います。

コメントは無効になっていますので、何かありましたらフォームかTwitter(X)で。

About

2021年07月23日 18:40に投稿されたエントリーのページです。

ひとつ前の投稿は「TrueNAS 12.0-U4.1 がリリースされました」です。

次の投稿は「TrueNAS 12.0-U5 がリリースされました」です。

他にも多くのエントリーがあります。メインページアーカイブページも見てください。

Powered by
Movable Type 3.35