System Clinic 　－　悩めるシステム運用に関するサイト　－

セキュリティとその脆弱性について

１．脆弱性とは何か。

不具合である。「不具合は、機械が作り出すものではない。人が作り出すものだ。」と言う先輩がいた。
設計者とプログラマ、設計者と管理者、開発者と運用者のようにシステムには、人の役割と目的が異なる人間関係にあり、
両者の誤認により、不具合は発生する。
たとえば、Apacheの脆弱性が発覚すると、管理コンソールをWEBで提供しているすべての機器に波及する。
Apacheは、管理コンソールを目的に作られたものではない。
まさしく、役割と目的の異なる人間関係であり、現在、最も多くの人が利用しているソフトウェアといえる。

誤認の種類
a. まさかそんな便利機能があったなんて。
b. その機能を使うつもりはないんだけど。
c. えっ、途中で断念したものも、組み込まれているの。

そして、ソースコードは公開されているのである。もちろん、提供製品において何を使って作られているかは非公開である。

２．セキュリティ対策とは

誤認の中、埋もれている機能を利用しようとする悪意あるユーザからシステムを守る事である。
守り方は
a. オリジナルソースコードで作成する。（公開されたソースコードのOS,ミドルウェア、ソフトウェアは利用しない）
b. アプリレベルでガードする。アプリケーションに一枚かぶせて、利用する引数のみを宣言する。元のアプリは直接起動できないようにする。
c. 踏み台を利用した閉じた世界を作成する。利用できる端末（PC）を限定し、特定ユーザのみが端末にログインできる。
d. 利用サービスと利用者を限定するFeirewall機能を利用し、悪意あるユーザからの直接アクセスを防ぐ。
e. 被害のあった人から、ポイントを聞いて、バージョンアップやパッチを適用する。（セキュリティソフトウェアの利用）

顧客の予算と守るべき要求、守れないリスクを共有し、対策を講じる事がシステム提供者には求められる。
ちなみに、方法「a.」はjavaやapache、unixを使わず、オリジナルを作るという事なので、どれだけ高額なるかは想像できるだろう。

３．セキュリティ対策対象

インターネットに接続しているすべての機器が対象となる。
現在はサービスへの直接攻撃から、事務所PCを介したサービスの管理機能への攻撃が主流になっている。
管理担当者や運用担当者による攻撃も、行われている昨今である為、セキュリティ製品、機能による防御には限界が来ているかもしれない。
究極の管理方法の一つとして、電子化しないという対策を講じている業種もある。

データの暗号化や、ネットワークケーブルの物理的なON,OFFスイッチを提供している製品もあるが、人が扱う以上、完ぺきとは言えないだろう。

４．セキュリティ対策の検討タイミング

システム提供時は当然である。対策内容によっては高額になる為、要件段階から確認する必要がある。
システム引き継ぎ時は要注意である。セキュリティ問題は、いつやってくるかわからないし、問題が発生してから、どうなっているかを
求められる為、引き継ぎ時に顧客とどのように合意されているかを把握する事は必要である。
保守しているのであれば、定期的に提案する事で、合意化していくことができる。合意文書がどこにもないシステムは多い。

５．セキュリティ対策とはどのようなものか。

a. セキュリティソフトウェア。
あるユーザが、悪意のあるサイトにアクセスし、自身のPCに感染したと報告を受けると、対象アドレスを製品に提供し、アクセスさせないようにする機能である。
これは、メールも同様で本文に対象アドレスが記載されていると、削除するものである。
公開サイトからダウンロードしたソフトウェアに外部からの利用可能なプログラムが存在していた場合、スキャン機能でプログラムを探し、削除する機能も提供されている。
これらは世界のどこかで被害者がでないと防ぐ事ができない。

b. 暗号化
特定のPC,サーバ,ユーザ毎にデータに対し暗号化、複合化を行う機能である。
暗号には鍵が必要である。これは鍵を紛失すると2度と複合化できない事であり、鍵を盗まれると複合化されてしまう事である。
システムとして機能は提供できるが、鍵を管理している担当者の不正は防ぐ事はできない。

他にもあるが、脆弱性の性質上（皆が利用したい便利機能を低コストで利用する事を目的として広く普及している機能）、
多くの人が利用している製品を使用し、多くの人が利用しているセキュリティ製品を利用して守る行為には疑問が残る。
マイナーな機能を使用し、対策するべきではないかと思うが、マイナーな機能には不安定かつ、技術者不足というコスト上の問題はある。

以上。

この訓練は2時間としている。
下記、項目に関して整理し、突然の顧客からの質問の答えられるようにしましょう。

質問１：最近のセキュリティ対策はどうなっているの？　（社内イントラサービスの場合と社外インターネットサービスの場合）
質問２：PCへの感染はいいとしても、個人情報漏えいさせない方法はないですか。
質問３：セキュリティ対策すると運用はどうなるの？

回答１：PCソフトウェアからサーバ型のソフトウェアなど、多岐にわたる。0dayアタックに対応したものもアプライアンス製品として、
提供されている。インターネット向けはFWによる通信制限からUNIX向けのソフトウェアも提供されているが、提供しているjavaやPHPへの攻撃が主流であり、この部分への製品はない。FWの通信制限もインターネット通信のみから社内PCからの通信制限にも利用してきている。

回答２：漏えいしづらい環境は構築できるが、社内の特定PC、特定ユーザからアクセス可能にする以上、完全な提供はできない。
漏えいしづらくすればするほど、管理が面倒になっていく。容易な方法としては無人ルームに共有ディスクを配置し、必要に応じて、
ネットワークケーブルを結線、抜線するのがわかりやすいが、どのように運用したいかの要件が必要である。

回答３：ユーザパスワード管理、鍵管理、ユーザ追加、削除、利用可能時間の制御、接続許可の払い出しと返却など、提供機能分の運用業務が増える。今の業務に対し、どのように追加し、月次、年次点検で何を確認するか、また、そのような業務がそもそも存在するかで運用コストが
変わってくる。担当者の退職で運用できなくなるというのは少なくない。