その他の環境準備
ゲストOSに以下の設定を行った。
・リモートデスクトップでの接続許可(以後、作業はすべてリモートデスクトップ経由)
・Winshotのインストール(画像キャプチャー用)
・DDNSクライアントDiCEのインストール
・DDNSサービス「mydns.jp」でサブドメインをとった
・ゲストOSで役割の追加でIISを追加
・Hyper-V判定プログラムの設置
とりあえず、公開Webサーバとしての最低限の準備は終わった。
セキュリティスキャナNessus Ver.4準備
公開する前にセキュリティスキャナ「Nessus」によるセキュリティ診断を行う。
昔はNessusと言えばLinuxプラットフォームが定番だが、Ver.4ともなると、FAQなどをみてもWindowsプラットフォームで高速稼働するようにチューニングされているようだ。もう苦労してLinuxで準備しなくても簡単にセキュリティスキャナを利用することができる。
ちなみに、オープンソース版のNessus Ver.2系だが、先日使おうとしたらメモリエラーで使えなかった。
その時に出たエラー。
*** glibc detectes *** free() : invalid next size(normal) : 0x099d01f0 ***
どうも、プラグイン数が32000を超えたことで、整数オーバフローを起してるんじゃないかな。
というわけで、オープンソース版のセキュリティスキャナにこだわるならNessu互換のOpenVASがいいんじゃないかと、じっちゃんが言ってた。
とりあえず、Nessus Ver.4系のWindows版をダウンロードする。
以下の画面から、Windows版を選択。
使用許諾にI Accept。
ダウンロードを行う。環境が32ビットなので32bit版を選択。
以上、ダウンロード終了。
セキュリティスキャナNessus Ver.4のアクティベーション
昨年の夏からNessusのライセンス体系が変わって、非商用の個人利用なら最新プラグインを無償で使えるようになった。まぁ、業務で使わないならこれで十分ですね。
とりあえず、Nessus Pluginのページから、Registerを選択
。
今回は非商用利用なので、右のHome Feedをクリック。
使用許諾に「I Accept」。
つぎの画面でメールアドレスを入れろと言われるので、メールアドレスを入れてregisterボタンを押す。
Nessus Plugin Feedの件名でメールが届くので、中に書いてある。activation codeをコピペ。
Your activation code for the Nessus HomeFeed is XXXX-XXXX-XXXX-XXXX-XXXX
Nessus Server Manegerを起動して、activation codeを貼り付け。registerボタンを押す。
以上で、Nessus使用上の準備がほぼ終了。
製品開発セキュリティ基準
後で読む。
Sonyさん、こういう有用な文書を公開してくれるとは太っ腹。
製品セキュリティ確保に関する基準 (STM-0117 第 4 版 一般用) http://www.sony.co.jp/SonyInfo/procurementinfo/software/qfhh7c00000j1gmy-att/stm_0117j_V4_General_use.pdf