yuki.shigefuji 2024年6月7日 11時58分 お世話になっております。 本機をネットワークに接続し運用していくにあたって以下のご質問が御座います。 ・ウィルス対策は初期導入時点でどのようなものが為されているか ・開発時にウィルス対策ソフトを導入する場合、どのようなものを入れることを想定されているか ・上記において導入実績・過去のライブラリなどはあるか 以上、ご確認よろしくお願い致します。 コメントを投稿するにはログインまたは登録をしてください コメント at_ohsawa 2024年6月7日 13時31分 ClamAV等のウィルススキャナは任意にインストールすることは可能です。 (コンテナ内であればdebianのaptからインストール可能です) ただし、、内部的なウィルスにしろ(そのウィルスの導入経路となる)外的 な攻撃にしても、脆弱性が問題になるため、アットマークテクノでは 毎月(緊急時には不定期)にArmadillo Base OSのアップデート提供しています。 まずは、これを適用し続けてください。リモートアップデートサービス (Armadillo Twin)も併用し、運夜中もアップデートをする必要があります。 また、セキュアブートを有効にすることで(Armadillo-IoT ゲートウェイ G4 セキュリティガイド参照)起動するバイナリ自体を暗号化と証明書で 制限できるため、そもそもユーザーが意図したものしか起動しない状態となります。 したがって、基本的にアンチウィルスについては、不特定の知識の無い ユーザーが自由にソフトウェアを導入できるクライアントPCのような状況において 事後策として存在しますが、最低限のソフトウェアを意図して導入する IoTシステムの開発には必須というものでもありません。 しかし、debianコンテナを使い、内部でaptで諸々のソフトウェアを導入 する場合、そのソフトウェアはdebianのテストされたaptリポジトリから 導入されるわけで、ウィルススキャンする意義はほぼ皆無です。 一方で、apt以外から意図しないソフトウェアを外部からインストール、 実行されることをを防ぐには、前述のとおり、セキュアブートを有効に した上で、ソフトウェアのインストールと実行をさせないため管理者権限 (ルート権限)を取られるような事態を防ぐ必要があります。 これは前述のとおり脆弱性を塞ぐための定期的なアップデートを実施し 続けることで回避を続ける必要があります。 コメントを投稿するにはログインまたは登録をしてください
at_ohsawa 2024年6月7日 13時31分 ClamAV等のウィルススキャナは任意にインストールすることは可能です。 (コンテナ内であればdebianのaptからインストール可能です) ただし、、内部的なウィルスにしろ(そのウィルスの導入経路となる)外的 な攻撃にしても、脆弱性が問題になるため、アットマークテクノでは 毎月(緊急時には不定期)にArmadillo Base OSのアップデート提供しています。 まずは、これを適用し続けてください。リモートアップデートサービス (Armadillo Twin)も併用し、運夜中もアップデートをする必要があります。 また、セキュアブートを有効にすることで(Armadillo-IoT ゲートウェイ G4 セキュリティガイド参照)起動するバイナリ自体を暗号化と証明書で 制限できるため、そもそもユーザーが意図したものしか起動しない状態となります。 したがって、基本的にアンチウィルスについては、不特定の知識の無い ユーザーが自由にソフトウェアを導入できるクライアントPCのような状況において 事後策として存在しますが、最低限のソフトウェアを意図して導入する IoTシステムの開発には必須というものでもありません。 しかし、debianコンテナを使い、内部でaptで諸々のソフトウェアを導入 する場合、そのソフトウェアはdebianのテストされたaptリポジトリから 導入されるわけで、ウィルススキャンする意義はほぼ皆無です。 一方で、apt以外から意図しないソフトウェアを外部からインストール、 実行されることをを防ぐには、前述のとおり、セキュアブートを有効に した上で、ソフトウェアのインストールと実行をさせないため管理者権限 (ルート権限)を取られるような事態を防ぐ必要があります。 これは前述のとおり脆弱性を塞ぐための定期的なアップデートを実施し 続けることで回避を続ける必要があります。 コメントを投稿するにはログインまたは登録をしてください
at_ohsawa
2024年6月7日 13時31分
ClamAV等のウィルススキャナは任意にインストールすることは可能です。
(コンテナ内であればdebianのaptからインストール可能です)
ただし、、内部的なウィルスにしろ(そのウィルスの導入経路となる)外的
な攻撃にしても、脆弱性が問題になるため、アットマークテクノでは
毎月(緊急時には不定期)にArmadillo Base OSのアップデート提供しています。
まずは、これを適用し続けてください。リモートアップデートサービス
(Armadillo Twin)も併用し、運夜中もアップデートをする必要があります。
また、セキュアブートを有効にすることで(Armadillo-IoT ゲートウェイ G4
セキュリティガイド参照)起動するバイナリ自体を暗号化と証明書で
制限できるため、そもそもユーザーが意図したものしか起動しない状態となります。
したがって、基本的にアンチウィルスについては、不特定の知識の無い
ユーザーが自由にソフトウェアを導入できるクライアントPCのような状況において
事後策として存在しますが、最低限のソフトウェアを意図して導入する
IoTシステムの開発には必須というものでもありません。
しかし、debianコンテナを使い、内部でaptで諸々のソフトウェアを導入
する場合、そのソフトウェアはdebianのテストされたaptリポジトリから
導入されるわけで、ウィルススキャンする意義はほぼ皆無です。
一方で、apt以外から意図しないソフトウェアを外部からインストール、
実行されることをを防ぐには、前述のとおり、セキュアブートを有効に
した上で、ソフトウェアのインストールと実行をさせないため管理者権限
(ルート権限)を取られるような事態を防ぐ必要があります。
これは前述のとおり脆弱性を塞ぐための定期的なアップデートを実施し
続けることで回避を続ける必要があります。