|
ここの所、某サーバ管理者の方と文通(笑)をしていました。非常に有益な情報交換、意見交換ができました。 で、この文通をネタに、思っていること、などについてつらつらと書いてみようと思います(もちろん、許諾はいただいています)。 話の発端は、私が某MLで「テストしたいから、CodeRedが欲しいなぁ」と発言したところ、某氏に「CodeRedII捕獲したけど、いります?」とおっしゃっていただいたところから、文通が始まりました。 #いまだにテストしてないけど(爆) で、そのやり取りの最中、私がシステム構築などを行う、いわゆる業界系の人間である、と勘違いされていたので、「実は機械設計系で飯食ってます」と答えたあたりから、セキュリティ全般の話に飛躍したのでした。 ちなみに、この某氏、口では「勉強させていただいています」とか言いながら、しっかりとした知識と経験を持ち合わせておられるので、むしろ私が触発されることが多かったです。 その辺にいる、「似非システム管理者」とはえれぇ違いです。もっとも、そんな似非と文通しても私に得はないわけで(相手は得があるかもしれないけれど)。 セキュリティ会社の今後某氏いわく、「セキュリティブームが去ると、倒産するセキュリティ会社が増加するのでは」。難しいところだと思っています。まず、セキュリティの第一歩としてポリシーの策定ってのがあって、これは専門家がきっちり行う、と言うのが必要ですが、その後のメインテナンスは、「問題発見->対処」の繰り返しですから、情報を収集する能力と、対処(パッチやACL修正)の能力が主になります。 情報収集能力は、ネットでいかに情報をあさるか、ですから、一人でやるより、コミュニティに属した方が簡単に入手できるわけです。 また、対処方法にしても、コミュニティから収集できますし、今では比較的短期間にパッチが入手可能な状態ができつつある、と言う現状があります。 とすると、別に専門家でなくとも対処は可能かもしれないわけです。 さらに、海外ではITバブル崩壊で、セキュリティに金をかけたくない、と言う状況でしょうし、国内では、セキュリティの重要性が必ずしも浸透していない、と言う現状があります。 この辺りを考えると、セキュリティ会社の今後はあまり急成長が望めないんじゃないか、とか思ってしまうわけです。 また、現状にしても、それなりの数のセキュリティ会社が存在しているにもかかわらず、大量のCodeRed(II)が繁殖してしまった、と言うのは、セキュリティ会社の啓蒙(もしくは企業活動)が必ずしもうまく行っていない、と言うことを示していると思うのです。 某MLでは、「企業のイントラサーバが感染したらしい」との情報が流れましたし、私自身も別ルートで「サーバが感染して、システムが事実上停止に追いやられた」会社がある、と言う情報を入手しています。しかも、どちらの情報もセキュリティに金をかけられない中小ではなく、れっきとした大企業。一体、どこのセキュリティ会社と契約していたのだろう、と思ってしまいます。 そうは言っても、セキュリティ会社というのは重要な存在なはずです。が、上記のような状況を考えると、多分少数の力のある会社だけが残り、それ以外は淘汰される、と言う可能性が高いと思うのです。 もちろん、口だけのセキュリティ会社などは退場して欲しいのですが、それ以外の技術はあるが金やブランドは持ち合わせていないような小さな会社も厳しくなる可能性があるわけで。 そうすると、セキュリティ問題を解決できる会社が少数となり、とてもじゃないけどこの大量に存在するサーバ群を管理しきれない。 結果、クラックされまくるサイトがまた増える、と言う状況に陥るような気がするのです。 また、倒産激増、とかになれば、間違いなく新規企業も激減しますし、ブーム(と呼べるかどうかは別として)が去り、企業がセキュリティに真摯に向き合うこともなくなり、結果、やっぱり甘いサイトが激増する、という悪循環がネットワークを襲うのではないか、と思うのです。 あぁ、くらい、セキュリティ会社の未来。事実はどうなるんでしょうかねぇ(^^; セキュリティ啓蒙の手段そういった状況を打破するのはどうすればいいのでしょうか。一つは、「そうなるとやはり国になんとか規制してもらわないとですね。」(某氏)。 が、しかし、「だけど、セキュリティ対策できる組織が限られた状態で規制をすると日本でインターネットを利用したビジネスは不発って言う道筋ができそうでそれも困りますよね。」(某氏)「そこんところは規制緩和の方に流れがいっている現状では無理でしょうねぇ。」(私)、と言う事になりますから、やはり国に期待はできないでしょう。 もう一つとして私(も含めたセキュリティにかかわる人たち)が選んだ道が、今回のWorld PC Expoで行う、セキュリティスタジアム2001のような啓蒙イベント。 ただ、これも、 「一般の人はネットセキュリティに対して敏感に反応しない。 kiddieは敏感に反応する。 --> さらにクラックされるサイトが続出。 なんてことにならなければ良いのですが。」(某氏) と言う側面があります。 個人的には「過渡期ならではの現象としてあきらめるしかないのかな、と。 つか、私自身もそうなのですが、みんなやられてみないとわからないんですよね。」(私)、という感覚で見ていくしかないのかな、と考えています。 残念なことに、ネットセキュリティって、目に見えない(場合が多い)ので、実感できないですから、一般的なユーザが理解するのはつらいんですよね。 実感できたときは、「やられたとき」ですから。 個人的にも、初めて実感できたときは、自分自身に攻撃を仕掛けてうまくいった瞬間。そりゃショックを受けますよ、ほんと。これを他人にやられていたら、とか思いましたし、考え出したら夜眠れなかったですから(苦笑)。 自分自身へのシステムクラックと言うわけで、私が声を大にして言いたいのは、「やっぱセキュリティを固めたい、と思う人は、厨房でいいからクラックしてみて欲しいなぁ」(私)と言うこと。 某氏も 「私もroot exploitを初めて見た時はかなりのショックを受けました。 というかそうとうのワクワク感がありました。」 とおっしゃっている通り、相当ショックです。その中になぜか「ワクワク感」が存在するのですが(笑)、実際に目の当たりにしないと、そうそう理解できるもんじゃないです。 「ネットセキュリティの現状を知らないひとは単純な方針じたいが書けないって現実もあると思うのですが。」(某氏)。 「確かに、「何をされたら困るのか」という命題の「何」が分かっていないと、どう困るかもわからず、結果、どう対処すべきかが明確にならない。」(私)。 これらの言葉が語るとおり、「ネットセキュリティにおいて、何をせねばならないか」、と言うことは、「現状を知る人」でないとわからない、と言うのが現実です。 ですから、「やっぱりネットセキュリティはハッカーでないと勤まらない」(某氏)ではないか、と思うわけです。 とは言え、システム管理しているような人間が、他人様のサイトをクラックしてちゃいかんです。ここは一発、「自分自身へのシステムクラック」を実践して欲しい、と思う今日この頃。 情報流通と入手ただ、そうは言っても、最初の情報をどの様に入手するか、と言うところは重要だと思います。システムクラック初めの一歩、をどうするか。某氏も、「(情報収集を)結局継続して頑張っている人は強いですね。と最近実感。」と書かれているとおり、情報収集をはじめ、そして継続する、と言う作業は想像以上に大変です。 私個人は、セキュリティ関連のMLからくるメールが約50〜100通/1日、定点観測ページは15〜20サイトですから、大体一日1〜2時間はこれでつぶれます。 #でも文通は続けてしまうというのは内緒だ。(笑) 上記情報源のうち、約7割程度は海外からのものですから、読解するのにも一苦労。ひどいとき(CRII大はやりの時期とか)は、一つのMLだけで数十通のメールが飛び交う場合もありますから、ホント、洒落になりません。人間にDoS攻撃されているようなものです。 しかも、ネットセキュリティに首を突っ込むようになってから、電話代はうなぎのぼり(苦笑) これだけの情報を入手していても、「ネットセキュリティの全容」を理解できない、と言うくらい、奥の深いものだったりします。 こうなると、やはり専門家による情報提供が不可欠なのかなぁ、とは思っています。 ただ、個人的に思っているのは、パソ通時代によく言われていた、「情報は情報を発信する所に集中して流れ込む」、と言う言葉は真実だ、と言うことです。 私自身、知っていることは(余力があれば)MLに流すわけですが、その結果、MLの情報量が多くなるので、参加者も増え、より情報が増えていく、という正のスパイラルが生じます。 また、そういうところで情報を提供する人には、さらに情報が提供される場合が多いです。いい例がこじまさんでしょう。 そういった、「情報の集積場」に身を置き続けたいと思っています。 セキュリティポリシーの構築話を元に戻します。先にも書いたとおり、「何をされたら困るのか」が理解できるかどうかが、セキュリティの第一歩ですが、次にくるのは、私はセキュリティポリシーだと思っています。 「ポリシーがある程度(方向性だけでも)決まっていないと、システムは便利な方へ必ず行きます。そうすると、いくらメンテナンスでがんばってもとてもじゃないけど守りきれないと思っています。」(私) 人間はコンピュータを「便利な機械」として発明し、利用してきたわけですが、便利にする、と言うことは相対的に「セキュリティが弱くなる」側面を持っています。 ところが、元々便利になるように作ったものですから、普通は便利なようにシステムを構築します。それは自明です。 だけど、それではシステムを守ることが難しくなっていくのが現実です。さらに、 「そうなのですが、実際はf/wありきから始まっているのが現状? ものが物理的にあるのでわかりやすいらしいです。」(某氏) と言われるとおり、目に見える形でしか、「守っている」と言う意識が実感できないのも事実。 その結果、「ファイアウォールいれたからOKOK」などと言った、「大きな間違い」がはびこってしまいます。いくらファイアウォールいれたって、その内側が便利(=弱い)システムだったら、いくらでも攻略可能です。 じゃぁ、便利じゃないようにシステム構築すればいい、という意見もあります。しかし、その不便さのまま、使い続けることができますか?絶対誰かが「便利なように」システムを修正するでしょう。 これは、たいていの組織で、「何をして良くて、何をしてはいけないのか」がクリアになっていないからに外なりません。仮にシステムが、UNIXのように、普通のユーザに買えることができないよう、設計されているとしても、普通のユーザがシステム管理者に要望を出し、システム管理者が「OKOK」といって設定変更してしまうでしょう。 これを防ぐためには、「何をして良くて、何をしてはいけないのか」がクリアになっていればいいわけです。これがセキュリティポリシーです。 例えば、UNIXには、「r系コマンド」と呼ばれる便利な機能があります。設定してあれば、パスワードを打たなくても、他のコンピュータにログインできる機能です。普通、こんな便利な機能、使わなきゃ損、と考えがちです。 ところが、これ、パスワードで認証しないので、簡単にセキュリティ上の問題を引き起こします。 これを防ぐためには、「r系コマンドの禁止」をうたうしかないわけです。禁止していれば、わざわざ使う人もいないでしょう。なんせ、ちょっと設定するだけで使用可能となるので、みな使いたくなるわけですから。 逆にいえば、「禁止」とうたうだけではだめなわけです。違反してもOKじゃ意味がない。鞭が必要となります。「罰則規定」ですね。 これらの、「何をして良くて、何をしてはいけないのか」をきっちり策定してあれば、策定した環境でのセキュリティ上の問題は最低限になります。言い換えれば、「何をどう守るのか」というマニュアルを策定する、ともいえるでしょう。 つまり、セキュリティポリシーは「セキュリティ方針のオートパイロットモードなのかもしれません。知らない人でもこれを守っていけば重要な資産は守れる可能性が高いぞ的な。」(某氏)、というものに他ならないと思います。 だからこそ、「僕自身はポリシーが先にありきだと思っています。」(私)。 システム管理者ハッカー化のすすめただし、ポリシー策定、などというのは簡単ですが、実際はそんなに簡単なものではないわけです。ネットセキュリティが、一種雲をつかむようなしろものであるが故になおさら。先にも書いたとおり、わかっていないと単純な方針すら明記できない訳ですから、専門家がいないとどうしようもない、という状況になりがちです。しかも、 「ネットセキュリティの専門家がはいて捨てるほど居ない現状では、やはりポリシーは絶対必要ということですかね。 ただ専門家がいてもポリシーが無いと偉い人系の人たちは利便性を追求していくでしょうし。 それを考えると専門家+ポリシーは必須ということになりますね。 ポリシーの見直しも専門家がいないとできないですしね。 そう考えると現在の日本はネットセキュリティの専門家が不足しすぎているのでしょうね。」(某氏) の通り、ポリシーと専門家はいわば鶏卵問題ですから、どちらが欠けてもうまく機能しません。 そうすると、どちらを先に産み落とすか、と言う問題になります。もちろん、専門家を雇ってポリシーを策定してもらう、と言う手段もあるでしょう。 しかし、未来永劫、専門家と契約し続けないといけないわけです。 そこで、(しつこいですが)システム管理者自身がハッカーとなり、システムにどの様な問題があるかを把握し、それと自組織の運用形態を考慮したポリシーを(専門家と共同でもいいから)策定すべきだと思います。 そうすれば、ポリシーの見直しも、元々の策定の経緯を理解できているため、よりスムーズに実行できると思います。 ポリシーって難しいとまぁ、ポリシー策定をすすめているわけですが、問題はそうそう簡単に作れるものじゃない、と言うこと。単純に「セキュリティを守る」、と書くことからポリシーの策定は始まる訳ですが、一番重要なのは、「どの様に守るか」、と言うこと。 逆にいえば、「どの様にすると守れないか」を定義すること。「どの様にすると守れないか」がわかっていないと何も進まない、と言うことになります。 単純に「不正ログインさせない」と言うだけじゃ、意味がないわけです。「どの様にされたら問題だから、このようなことはしてはいけない」、と言うことがきちんと定義できなければならないわけですが、難しいのは、非常に小さな問題でも、それが積み重なると、不正アクセスなどに繋がってしまう、と言うことです。 例えば、「とあるサイトは、昔、サイトのファイルリストが簡単に取得できた」(某氏の情報)と言うパターン。単純に考えると、「ファイルのリストくらい、いいじゃないか」と思われるかもしれませんが、「そういうところからセキュリティという名のダムは決壊する」(私)のです。 ファイルリストから、どの様なOSを使って、どの様なソフトを使って、そして、どの様なコンテンツがあるか、わかってしまう可能性があるわけです。そして、その様な情報を入手できると、「どの様に攻撃可能か」推測できてしまう場合もあるわけです。 また、サイトのシステムをきちんと設定することをポリシーとして明記しても、その上で動く、例えばCGIコンテンツがセキュリティ上の問題を抱えていてはしょうがないわけです。例としては、CGIがシステムの環境変数を表示してしまう、とか言う問題(某氏の情報)。 環境変数が外に漏れる、と言うことは、文字の通り、システムがどの様な環境で稼働しているかが外に漏れること。環境が確認できれば、攻撃手法も絞られてくるので、なおさら攻撃成功の可能性が高くなる、と言うことです。 これらの、考えられる限りの問題に対して、ポリシーを策定しなければならないわけです。 まとめ現在、まだ文通状態が終了したわけではないのですが、本当にいろいろな観点について意見交換ができたように思います。実はこれ以外にも、情報セキュリティアドミニストレータ試験についてとか、netcatは便利だ、とか、いろいろなネタや、「オフレコで願います」ネタなどもしっかり交換させていただきました。 #もちろん、ちゃちゃも(^^; 身分を明かすことができないのが非常に残念です。ホント。 おつきあいいただき、ありがとうございました。>某氏 そして、最後まで読んでいただいた読者の皆さん、ありがとうございました。 この文章に関する文責は、私にあります。異論、反論については、しかPまで。 |