連載
» 2003年12月06日 00時00分 公開

にわか管理者奮闘記(1):それはある日突然に…… (2/2)

[根津研介, 園田道夫, 宮本久仁男,@IT]
前のページへ 1|2       

中村君、初めてのセキュリティ対策を行う

 早速、中村君はセキュリティ対策に取り掛かった。といっても、何をしたらいいのか分からないので、まずは情報を集めることからだ。問題の新聞を見たが、「Windows Updateをしましょう」としか書かれていない。試しに、社内にある手近なWindowsコンピュータでWindows Updateを行おうとすると、たくさんの修正プログラムが一覧で出てきてしまう。中村君は「詳細情報」からマイクロソフトのサイトに「セキュリティ問題一覧」が掲載されているページ「絵で見るセキュリティ情報」にたどり着いた。取りあえずこのページをWebブライザの「お気に入り」に登録しておく。

【参考】マイクロソフトのサイト「Security&Privacy


 さて、「重要な更新情報一覧」を見ると、つい最近登録されたもので「緊急」になっているものがいくつかあった。症状と影響、予測される攻撃などを見て、新聞報道に似たものがあったことを思い出した。対象となるWindowsのバージョンはWindows 98、Windows Me、Windows NT、Windows 2000、Windows XP、つまりほとんどすべてのWindowsにパッチを当てなければならないようだ。しかも、さらにインターネットで調べているうちに行き当たったのが、ワーム(自動的に自己複製して拡散してしまうウイルス)の存在である。話には聞いていたが、中村君は幸いにもいままでワームに遭遇したことがなかった。だが、公開されている記事などを読めば読むほど、一刻も早く「緊急」となっているものだけは社内に行き渡らせなければならないらしい。

 中村君はちょっと気が遠くなった。というのも社内にあるパソコンは社員数と同数の150台以上存在し、小野さんから聞いた話ではほとんどがWindowsらしいのだ。そのパソコンすべてでWindows Updateをやらなければならないのだ。一体どのくらい時間がかかるのか……。

 しかし、いずれにしても2.のリスト作りもやらなければならない。中村君は腹を決めてコンピュータ1台1台のOS種別やコンピュータ名、設置場所を記録しながら、1人でパッチを当てて回ることにした。最初はパソコンをちょっとは使いこなせそうな社員を捕まえてお願いしてみたが、実際にやってもらうとちゃんとすべての修正プログラムが導入されていなかったり、抜けやミスが多いので1人でやることに決めたのだ。

 導入する修正プログラムは「緊急」のものだけにした。でなければ何日かかるか分からないからだ。1台に30分かかるとして、まともに1台ずつやっていたら30分×150台=4500分=75時間もかかってしまうわけだ。しかもそれを、持ち主が仕事をしていない時間などを見計らってやらなければならない。

 中村君はとにかく空いているパソコンを見つけると片っ端からWindows Updateをやり始めた。

【参考記事】 修正プログラムに関する情報収集のポイント(@IT Windows Server Insiderフォーラム)


緊急事態! ワーム発生

 しかし、間に合わなかった。ワームが発生してしまったのだ。ある週明けの月曜日、中村君は朝からWindows Update実施作業に追われていた。人事部のパソコンを2〜3台やり終えたとき、技術部の稲本主任から呼び出しが掛かった。

稲本主任 「わたしのパソコンがどうも調子が悪くて使えないんが、何とかしてくれないか?」

 中村君が稲本主任のところへ行くと、主任はほとほと困り果てた様子だった。

稲本主任 「何だか分からないが突然再起動したり、もうどうしようもないんだよ」

 と、中村君が見ている間に、またしても再起動してしまう。これは本当に調子が悪そうだ。

 取りあえず起動してくるのを待ってログインしてみると、何だかやたらと時間がかかる。ハードディスクに頻繁にアクセスする音がして、なかなか使える状態にならないのだ。もしかして……と中村君が思い始めたとき、稲本主任の周りの社員たちも「あ、わたしのもおかしくなった」などと騒ぎ始めた……。

 いうまでもなくそれはワームだった。極めて間が悪いことに人事部が終わったらまさにこの技術部のWindows Updateに取り掛かる予定だったのだ。後になっていろいろ調べると、Windows OSの「緊急」ランクの修正プログラムを導入していれば防げたのだ。しかしタッチの差とはいえ、発生してしまったからには何とかしなければならない。中村君はとにかく技術部のそのシマ(あるネットワークにつながっているグループのこと)のパソコンをすべてネットワークから物理的に引っこ抜いた。でなければワームはものすごい勢いで拡散して、会社全体をまひさせてしまう恐れもあるからだ。

 中村君と会社にとって幸いだったのは、連絡してきた稲本主任が感染源だったことだ。どうやら稲本主任は、週末に自宅でインターネットに接続しながら仕事をして、そのときに感染し、月曜朝の会議が終わった後にイントラネットに接続してばらまきかけたらしかった。人事部と技術部は同じ階にあってすぐ駆けつけられたこともあって、感染は3台にとどまった。

 中村君はウイルス対策ソフトウェアベンダのWebページや、マイクロソフト自身が公開しているWebページなどの情報を確認し、そこに掲載されていた情報に基づいて感染した3台からワームを除去した。手順は簡単だったが、後でよく調べるとワーム除去ツールなども公開されていたようだ。

 しかし、本当に大変だったのはその後だった。今回稲本主任がばらまきかけたワームがまだ世間では大流行しているものだったので、現実的な被害を目の当たりにしてしまった中村君は、まだ50台以上残っていたWindows Updateを行っていないパソコンに、その日のうちにパッチを導入し終えたのだ。文字どおり目を血走らせて徹夜で作業を終えた中村君だったが、マイクロソフトから無償で提供されているSoftware Update Services(SUS)という便利な仕組みがあることを知ったのは、すべての作業を終えた後だった。

【参考記事】 Microsoft Software Update Servicesの実力を探る(@IT Windows Server Insiderフォーラム)


【今回の教訓】

博士アイコン

1. まず現状を把握しよう

中村君が実施したのは、まず自分の管理対象がどのような状態になっているか? という点の把握である。まず、自分が管理しなければならないものとその規模、そして状態が把握できないと、具体的な管理計画を立てようとしても困難を極める。

2. 何らかのセキュリティインシデントが発生してしまった際の対処を明確に

今回中村君は、ワーム発生に伴い、ネットワークの切断を実施した。このアクションは、セキュリティの観点から見ると正しいものだが、別の部署で同じことをやろうものならば「業務が止まった」などというクレームがつかないとも限らない。このようなことを未然に防ぐためにも、何が起こったらどうする、という対処手順と命令系統を明確にしておこう。

3. 未然に防ぐための対策を考えよう。

今回は残念ながら間に合わなかったが、例えばマイクロソフトから無償で提供されているSoftware Update Serviceという仕組みを使うことで、ある程度の(メンテナンスの)手間の軽減ができたであろうことは想像に難くない。

  • (1)システム全体の管理
  • (2)個別端末の管理
  • (3)上記管理の明文化

というのを念頭に、少しでもいまある以上に(環境を)よくしていくことを考え、1つ1つ明確にしていこう。



 次回予告:今回のことで懲りた中村君は、もっとシステマチックにセキュリティ上の事件に対処する仕組みを導入しようとする。そこで、中途半端なままで放り出してあった調査を再開したら、とんでもないことが分かったのであった……。

※ご注意
本記事はフィクションであり、実在の人物・組織などとは一切関係ありません。


基礎解説記事

  • 5分で絶対に分かるシリーズ
  • 管理者のためのセキュリティ推進室
  • 情報セキュリティ運用の基礎知識
  • Security&Trustウォッチ

全記事一覧から各連載にアクセスできます。



前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。