昨年末、組織のサーバー管理を任されている友人から、「ネットワークセキュリティーって何をどうすればいいの?」って質問が入りました。
質問はひとことだけですけど、答えるのはとっても難しい質問です。
TV番組やアクション映画では、登場人物が簡単にビルや街の監視カメラや企業・役所のサーバーにアクセスして必要な情報を参照するシーンが登場します。ニュース番組では、行方不明者捜しにスマートフォンのGPS位置情報を使用してどのあたりにいるのかを突き止めたという報道があって権限があれば個人所有のデバイス内情報を勝手に読み出せるかのような報道。一方現実では、銃乱射テロリストが所有していたiPhoneのデータを読み出すために、FBIがAppleに協力を求めて拒否されたという報道も。現物があっても中身を見ることができないの?
パソコン関係の雑誌やメールマガジンなどでは、ウィルス、侵入、踏み台、データ盗難・データロックなどの文字が溢れていて、セキュリティ対策製品を売り込みたいSI企業の製品名がかっこよく紹介されています。
- コンピューターの中の情報って、TVや映画のように簡単にアクセスできるものなの?
- アンチウィルスソフトやインターネットセキュリティーソフトを入れておけば大丈夫のはず。だよね?
- では、アンチウィルスソフトが存在しないサーバーは大丈夫?どうやって守るの?
って感じてしまうことでしょう。
自分のPCに関しては、アンチウィルスソフトとインターネットセキュリティーソフトを入れているから心配ないけど、職場で上司から「サーバー管理もやってくれ」って言われちゃったよ。でも何すればいいの?って思っている人も多いのではないかと思います。こまかい話は聞いていませんが、私の友人も出身が情報ネットワークなので、文系組織に属している場合、ボスの目には 彼が一番近い! って映るんでしょうね。
専任のサーバー担当、セキュリティー担当者として動けるなら業務としてセキュリティーを勉強できますが、本業は従来の職務であり、サーバーセキュリティーは評価につながるかどうかもわからないわけですよ。そのくせ現代のセキュリティー事情では責任重大。
その彼から「サーバーのセキュリティはどうやって守るのか?」と尋ねられました。私はセキュリティー屋ではありませんが、過去、コンピューターボードを作ったり、使ったり、アセンブラでプログラムを書いたり、コンパイル言語で書かれたプログラムの中身をチェックしたりと、いろいろプログラムの動作を直接見ていた経験から、侵入手口に関して書かれた文章を読めばどんな事が起きたかだいたい分かるので、尋ねられればアドバイスは出来ます。以前にも自宅コンピュータへの侵入に関しての考察をこのブログに書きました。
個人的に回答を書けばいいのですが、ついでにこのサイトのコンテンツにしてしまおうということで、こういう形で記述することにしました。
サーバーのセキュリティ と言っても、OSやネットワークの勉強だけを行っても仕方ありません。
防御したいサーバーの特徴によって、そのサーバーに興味がある人は様々です。
例えば、ネットワークの知識を高めるための入門書を読むと、様々なリモートアクセスコマンドが載っています。telnet, ssh, ftp, smtp, pop など。これらは対話型で使用できますが、試してみようにも試すことが出来るサーバーが手元にない場合が殆どでしょう。(プロバイダーのサーバーを使って pop3 は試せるかも知れません。smtp も試せますが、昨今の事情では、侵入者と間違えられるかもしれません。)こういう勉強熱心だが環境に恵まれない人が、ちょっと試してみようとする疑似ハッキング。別にサーバーを攻撃する意図はないものの、目の前に試せるコマンドがあるから試してみたいという背景です。
ログを見て背景がわかるなら、こんな攻撃を気にしても仕方ありません。
何かの掲示板情報に、自分のIPアドレスを隠して掲示板に書き込みする方法が書いてあれば、自分の身元を隠して脅迫文を投稿することを、試してみたくなる人もいるでしょう。この場合は踏み台となるサーバーを見つけたくなります。別にサーバーに侵入したいわけじゃなく、ちょっと経由したいだけ。
情報被害は無いけど、知らない間に加害者にされてしまいますから、対策が必要。
もし、何が何でも知りたい情報がサーバーに保管されているとします。好きな芸能人、アイドルのプライベート携帯電話番号やプライベートメールアドレス、入試問題、公開前の映画 などのようなにお金を払っても知ることが出来ない情報です。こういう情報は、通常 人の目に触れるような場所には置かれていませんが、もし身近に置かれているサーバーにこの手の情報が保管されているとしらどうでしょう。例えば次の試験問題。この類の価値がある情報が、地元のビルの一室に施錠はされているとしても、警備もなく置かれているとします。
ネットワーク経由のハッキングをしなくても、HDDだけ取り外したり、サーバーごと盗み出すことを考える人がいても不思議ではありません。情報の重要性に応じて物理的な設置場所のセキュリティーも同様に重要だということです。
そして防御が難しい内部犯行。情報に対して正式にアクセスできる権限を持った人や、サーバー構築社自身がデータを持ち出すのは大変簡単です。劣悪な労働環境で、安い給料で働かせている会社の管理職が、管理者に理不尽な仕事を押しつけたりしていると、サーバー上のデータがいつの間にか流出していても全く不思議ではありません。この場合は侵入の足跡まで消せますから、セキュリティー対策なんて意味をなさないかも知れません。後で誰の仕業かわかったとしても、流出してしまった情報は取り消せません。
そういえば、ベネッセ事件もありました。
情報を盗み出すために、お金も時間も十分にあるとすれば、情報を扱う会社に雇用されたり、雇用されている人と親密になることが近道となります。欲しい情報にアクセスする権限があるユーザーになってしまえば、どんなセキュリティ対策も無駄になります。
ここで私が書きたかったことは、一口にセキュリティと言っても、初心者の戯れから、産業スパイの対象になるレベルまであり、全部に対応できる知識やテクニックを身につけるなんて、兼任セキュリティー担当者の守備範囲を超えています。
職務に応じて、守れる範囲だけしっかり防御して、守備範囲を超える部分の防御は上位の管理者に任せればいいでしょう。例えば、システム管理者として誰を雇うのかは、人事担当者や部門長あたりの守備範囲でしょ!片手間でセキュリティーを担当している人に責任を押しつけないで欲しいわ。ってなものです。
ということで、次のメモで、Webサーバー、メールサーバーとしてグローバルインターネットに公開しているサーバーをどう管理して行くかを記述したいと思います。