Last Updated 2003/5/25
OpenTalkで暴言吐きまくって一部(どころか全部)顰蹙を買ってしまいまひた。
曰く「パッチ当て続ける、あるいはリテラシーが低いユーザーにパッチを当てさせる、などなどが苦しいのならば、止めてもいいんじゃないか?」
曰く「パッチって本当に必要なのか?」
曰く「セキュリティはあきらめが肝心」
などなど。
暴言をそのまま、っつーのはこれまたアレげなので(笑)、なぜそういう発言に至ったが含めて、ちょっと考察してみました。
セキュリティを含めてインフラやサーバー、そしてクライアントのPCまで管理されている方々には、ほんとご苦労さまとした言いようがありません。その努力がなかなか報われないのにもかかわらず、いまどき珍しいくらいの責任感から重い作業量に耐えていらっしゃるのにも頭が下がるだけです。
しかし、やはり暴言吐きたくなってしまいます。「パッチ地獄、止めてもいいんじゃないですか?」
基本的にはパッチは必須でしょう。他ならぬわたしもいろんなところの連載でそう書いてますし、発言もしてます。
しかし、パッチを当てつづけるということは、そのパッチを検証しなければならないことですし、パッチ当てたおかげで起きた不具合を何とかしなければならないということですし、そもそもリテラシーが低いユーザーにパッチを当てさせなければならないということですし、それでもパッチを当てないやつの面倒まで見なければならなかったりする、ということですね。そうなると、「パッチはやはり当てなければ」と思うだけ真面目にセキュリティに取り組んでいる方々に対し、あまりといえばあまりの仕打ちといいますか、もはや災難の域に達しているとすら言えますね。
そういう真面目な意識が高い方々が過労死しないうちに、何とかしなければなりません。
パッチにもいろいろあります。Linuxなどの場合はその多くが緊急性の高い致命的な弱点へのパッチだったりするようですが、Windowsの場合はレベルもいろいろだったりしますね。ここで問題にするのは緊急性の高い致命的なパッチということにします。
その緊急性の高いパッチにしても、もちろん即当てるのが望ましいものなのでしょうが、該当するソフトウエアの設定で逃げられるものもあります。
設定で逃げられないものも当然ありますが、他でリスクヘッジする方法も考えられます。例えばファイアウォールで該当するサービスのポートをフィルターしているとか、そもそも社内にあるので大きな問題ではないとか、ウイルス対策ソフトウエアでチェックしているなどでしょうか。
こうなると必須かつ緊急なパッチはかなり限定されてくるのではないでしょうか。
もちろん現場ではそこまでのフィルタリングはすでに実施されているでしょう。
しかし、それでもまだ必要なパッチは多く、作業は一向に減らないかも知れません。
では、クライアントPC、つまりエンドユーザーは切り捨ててはいかがでしょうか(これは暴言ではありません)。つまり、緊急にパッチを当てるのはサーバーのみ、と思い切るわけです。いくらIEに緊急パッチが出ようが、Slammer対応でSQL止めなければならなかろうが(しかしVisioでSQLServerが入ることがあるというのには驚きです)、クライアントは捨てちゃいます(笑)。
クライアントを捨てると問題なのはワームとウイルス対策でしょう。IEであやしい攻撃に遭う可能性が無いとは言えませんが、ワームやウイルスよりずっとリスクは低いですしね。であればそちらはウイルス対策ソフトウエアに任せるわけです。
しかし、あまりにリテラシーが低いと、パターンファイルの更新すらやってないとか、そもそも起動時重いので外しているとかいう例があることでしょう。こういう事例笑えないのがなんとも恐ろしいところですね。
リテラシーが低くなかったとしても、今のワームはセキュリティホール公表後即時に出てきたりします。あるいは感染力が以前とは比較にならないほど強力になってきています。そうなると、ウイルス対策ソフトウエアのパターン作成が追いつかないこともままあります。
であればもう、ワームが出てくるのは仕方が無い。インシデント対応ちゃんとしましょー、とするしかないのではないでしょうか。
ワームが発生したときは、SARSと同じで隔離がポイントです。ルーターを停止しても良いですし、スイッチから線引っこ抜いても良いですが、とにかくできる限り早く隔離したいです。
そのためには、ワームの発生をいち早く察知し、どのセグメントで起きているのか特定できなければなりません。また、隔離しやすいようなネット構成にしておかなければなりません。
各セグメントにIDSを配置し、ワームの発生を察知するようにするのも良いでしょう。IDSの扱いが厄介であるならば、各セグメントの分割点にファイアウォールなどのログ採取用の仕組みを置き、そこでトラフィック感知を行えば、ワームによる異常なトラフィック増をチェックできるでしょう。
もちろんこういう仕組みを入れて、それで終わりというわけにはいきません。理想的にはその仕組みをずーーーーっと見てる人が必要です(笑)。もちろんそれはムリなので(笑)、少なくともフィルタリングしておいて1次災害の延焼を最小限にとどめ、その時間稼ぎの間に異常を察知すれば御の字というところですね。ちょっと工夫してトラフィック感知用スクリプトを装備し、あぶねーぞメールを飛ばすようにしておく、とすれば、少しは面倒な手間が省けるでしょうか。
というようなインシデント対応をちゃんとやっとけば、これまでのようにパッチで苦しまずに済むかもしれませんね。(別な苦労があるじゃん、というツッコミもありますが(笑))
Copyright © 2002-2003 Sonoda Michio
●Security INDEXへ