もはやウイルス付きメールは多くのユーザーにとって日常的な存在となった。もちろんこれは大変に不幸なことである。しかしその代わり、「知らない差出人からのメールやサブジェクトがないメール、サブジェクトが文字化けしているメールを見たら、やみくもに開かずにウイルス・メールではないかと疑う」「メールにスクリプトや実行ファイルが添付されていても絶対に実行しない」という教訓をこれらは与えてくれた。愉快犯的なものから、情報漏えいなどを狙った悪質なものまで、ウイルス・メールはこれからもあとを絶たないに違いない。しかし多くのユーザーがこうした教訓を生かせるようになれば、ウイルス・メールを受け取ったからといっても、深刻な問題には発展しなくなるだろう。 代わって今度はサーバの話。昨年、インターネットを震撼させたコンピュータ・ワームのCodeRedやNimdaであるが、さすがに対策が進んだと見えて、活動はだいぶ下火になった(しかし、相変わらずワーム・パケットを撒き散らしているサーバは存在している)。これでひと安心かと思っていたら、ここ最近、メール・サーバがスパム・メール発信の踏み台にされたとか、Webサーバがクラッキングの踏み台にされたといった被害をごく近しいところから立て続けに聞いた。幸い、いずれも大した被害にはならなかったようだが、クラッキングの魔の手は、自分のすぐ近くに及んでいるのだと改めて実感させられた。 これらの例がそうであったように、現状のクラッキング被害は、脇の甘いサイトを狙った愉快犯的なレベルのものが多く、実際に情報が盗み出されたり、システムやデータが破壊されたりといった深刻なものは全体的に見れば少数ではないかと思う。ただし、バックドアなどを仕掛けるのは常套手段なので、ほうっておくと、将来的には何が起こるか分からない。財産がこっそり盗まれるとか、個人の社会的信用が失墜させられるといった、動機の明確な犯罪に利用される日はもうそこまできている。 ウイルス・メールがそうであるように、こうした攻撃から身を守るための第一歩は、「自分のサイトがクラッキングなどされるはずがない」という平和な時代の思い込みをいったんリセットし、「自分のサイトは常にクラッキング対象として狙われている」という意識に切り替えることだ。実際、先の2つのクラッキング被害も、原因はインターネット・サーバとしての基本的な防御が十分でなかったり、パスワード管理がずさんだったりしたことにあったようだ。 Hotfixマネジメントの必要性こうしたセキュリティ関連の話題で、Windowsネットワーク管理者にとって頭の痛い問題としてHotfixマネジメントがある。Hotfix(ホットフィックス)は、ソフトウェアに潜むセキュリティ・ホールや、バグを修正するためのファイルなどをまとめたもので、これをコンピュータに組み込めば、システム・ファイルの一部が置き換えられ、あるいはシステム設定が一部変更されて、セキュリティ・ホールやバグが修正されるというものだ。Hotfixは、修正プログラムとか、セキュリティ・パッチとか呼ばれることもある。 前出のCodeRedやNimdaによって傷ついた信用を取り返し、サーバ分野でも安心して製品を使ってもらうために、マイクロソフトは、自社製品の安全性を向上させるための全社的な取り組みを開始した(この取り組みに関する詳細は「Insider's Eye:『信頼できるコンピューティング』への長い道のり」を参照)。これにより、自社製品のセキュリティ・ホールを警告する情報や、これを修正するためのHotfixが続々と公開されるようになった。 何の情報もなく、直す手立てもないことに比べれば、非常にありがたいことではある。しかしいかんせん、あまりにも数が多い。そもそも、最初からセキュリティ・ホールやバグなどないコードを開発すればよいわけだし、実際にマイクロソフトから発表される情報を見ていると、明らかにテストが十分でなかったと思われる恥ずかしいバグもある。 マイクロソフトに文句をいいたい気持ちはよく分かる。「Trustworthy Computing」というビル・ゲイツ氏の大号令によって、彼らが本当に安全なソフトウェアを開発する努力を続け、結果を出すかどうか、私たちは厳しい目を向ける必要があるだろう。 しかし人のせいにばかりしていても、安心して使える環境は手に入らない。これにはユーザー側からも能動的に取り組む必要がある。この際には、次のようなポイントを押さえる必要があるだろう。
つまりソフトウェアは、一度インストールしたら不都合がないかぎりバージョンアップしなくてよいといった「壊れていなければ直さない」という従来の認識ではなく、常に欠陥の発見とその修正のサイクルが必要な生き物だという認識を持つことだ。 マイクロソフトは、インターネットからHotfixなどを自動的にダウンロードしてWindows環境に組み込み可能とするWindows Updateのサービスを行っている。このWindows Updateで最新のHotfixなどをインストールしておけば、取りあえず深刻なセキュリティ・ホールへの対応はできる(ただしWindows Updateでは、十分な信頼性テストなどを実施するため、単体のHotfixよりも提供時期が遅れる)。 しかし企業のクライアントPCでは、このWindows Updateが禁止されていることが多いようだ。たとえ不都合を修正するといっても、ユーザー各人が勝手に環境を変更しては管理できなくなるためだろう。Windows Updateの利用が禁止されており、かといってHotfixの適用もほったらかしになっているような環境は最も危険である。しかし現実には、そのような環境も少なくないと予想される(これに対しマイクロソフトは、企業の管理者が自社内のクライアントにWindows Updateをプッシュ型で適用するツールを開発中である。詳細は前出の記事を参照)。 とある統計調査によれば、日本ではかなりの大企業であっても、情報セキュリティに対する意識は意外なほど低く、証券・銀行など一部の業種を除くと、情報セキュリティに関する専門の部門や担当者は準備されておらず、情報セキュリティに対する専用の予算も確保されていないという。現状は、情報システム管理者が、片手間で情報セキュリティに関する作業も担わされている状況である。これでは、タイムリーなHotfixマネジメントなど望むべくもない。 Hotfixが発表されたら片っ端から適用すればよいと思う向きがあるかもしれないが、必ずしもそうとはいえない。システム・ファイルを入れ替える以上、Hotfixの適用によって、それまで問題なく使えていたデバイスやアプリケーションなどが使えなくなるという副作用が発生しないとも限らない。従ってHotfixマネジメントでは、それを適用しなかった場合のリスクと、適用によって副作用が発生するリスクを天秤にかけて、適用するかどうかを判断しなければならない。データが失われるような深刻な事態に陥る可能性は少ないと思うが、重要なシステムにHotfixを適用する場合には、データの事前バックアップなども考慮した方がよいだろう。 クラッキングの被害にあわないために、組織的にも予算的にも情報セキュリティの準備を進めること。そして「ソフトは常に更新が必要な生き物」という認識に立ち、情報セキュリティ活動の一環として、Hotfixマネジメントに取り組む必要があるだろう。 小川 誉久(おがわ よしひさ)
|
|||||
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
 |
|
|
|
|
注目のテーマ
Windows Server Insider 記事ランキング
転職/派遣情報を探す
