〜安全なWindowsシステム環境の実現〜
|
|
【第2部 パネルディスカッション】
アットマーク・アイティ主催、マイクロソフト協賛の「実践Windowsセキュリティセミナー」第2部としてWindowsセキュリティをトピックとしたパネルディスカッションが行われた。本レポートでは、このパネルディスカッションの内容をお伝えする。
◇ ◇ ◇
不正アクセス手法の傾向やWindowsセキュリティ強化のポイントなどを解説した4つのセッションに引き続き、セミナーの第2部として、Windowsセキュリティのオーソリティ5名をパネリストとするパネルディスカッションが行われた。各パネリストが、OSベンダ、セキュリティベンダ、エンドユーザーとしての視点から、強固なWindowsセキュリティを確立するためにはどうすればよいのかを議論をしようという試みだ。
|
左から、野々下氏、新野氏、奥天氏、小野寺氏、小川氏 |
司会・進行を務めるモデレータは、アットマーク・アイティ 編集局長 新野淳一氏。ディスカッションの開始に先立ち、新野氏は、このセミナーへ参加している方々のプロフィールの紹介を行った。これは、セミナーへ申し込み時に行ったアンケートの結果を集計したものだ。
最初は、利用しているWindowsサーバの種類だ(図1)。およそ25%の方が現在でもWindows NTを利用しており、およそ75%の方がWindows
2000を利用している結果となった。Windows NTを使われている方が予想以上に多いことが興味深い。
|
図1 利用しているWindowsサーバの種類は?(回答 n=489) |
次は、Windowsサーバの管理に欠かせない、アップデート情報をどこから入手しているのかを調べた結果だ(図2)。マイクロソフトのTechNetセキュリティ、メールサービス、アットマーク・アイティのフォーラムを活用している方が多い。速報性の高いメディアに情報を求めていることから、セミナー参加者の多くがプロフェッショナルとしてサーバの管理責任を負っていることがうかがえる。
|
図2 Windowsサーバのアップデート情報の入手先(複数回答 n=602) |
今回のパネルディスカッションは、セミナーの参加希望者から寄せられた意見を元に用意された5つのテーマを中心に進められた。
当日の主なディスカッションテーマ
|
■パッチが頻繁に提供され、対応しきれない |
■大量のマシンに、効率よくパッチを当てるにはどうすればいい? |
■セキュリティパッチを当てたいが、アプリケーションの動作に異常がでないか不安 |
■Windowsベースでセキュアなシステムを構築するコツを教えてほしい |
■セキュリティに精通した人材を育てるには? |
それでは、パネルディスカッションの内容を報告しよう。
|
Hotfix作成の難しさ、Hotfix適用の難しさ
|
|
―――アンケートにお答えいただいた方のうち、60〜70%の方がHotfixに関する悩みをお持ちです。最初は、あまりに多数のHotfixが頻繁に提供されるので対応しきれない、あるいは沢山のマシンにHotfixを適用する効率のよい方法はないかというテーマでディスカッションしましょう。これらの悩みはシマンテックさんから見るといかがでしょう?
シマンテック 野々下:そうですね、これはマイクロソフトさんに限った悩みではありません。われわれもソフトウェア製品のバグ修正用Hotfixを提供しておりますので、同様の問題を抱えています。マイクロソフトさんに関しては、CodeRed以前には適用すべきHotfixが分かりにくかったのが、CodeRed以後はとても分かりやすくなりました。マイクロソフトさんはかなりの努力をされているのではないでしょうか。
―――小川さん、フォーラムの読者からもこのような悩みが寄せられているのではないですか。
デジタルアドバンテージ 小川:読者からはもちろん、私自身も困っています。第1部のセッションでマイクロソフトの山崎さんがご紹介くださったSoftware
Update Service(SUS)は、Windows Updateと同等の環境を組織内に構築するものですよね。ということは、Windows
Updateが対応していないSQL ServerにはHotfixを適用できないということでしょうか。
|
マイクロソフト アジアリミテッド グローバルテクニカルサポートセンター
セキュリティレスポンスチーム 山崎 雅樹氏 |
マイクロソフト 山崎:はい。SUSではSQL ServerのHotfixを適用することはできません。SQL
Slammerワームへの対策として、HotfixのMS02-061にインストーラを付けて適用しやすくしたものを用意しておりますので、こちらをお使いいただくことになります。
小川:なるほど。すると、サーバを管理する場合、Windows UpdateとSUSだけではセキュリティ対策が十分ではないということですね。
―――サーバに適用するHotfixと、数の多いクライアントPCに適用するHotfixでは問題となる点も異なると思うのですが、奥天さん、いかがお考えですか。
マイクロソフト 奥天:サーバに適用するHotfixに関しては、最も恐ろしいのが副作用です。そのため、マイクロソフトではさまざまな環境で1カ月近くテストを行ってから配布しています。しかし、お客さまの環境はわれわれのテスト環境よりも多種多様です。そのため、変更による影響が少なくなるよう、必要最低限の修正を行うというガイドラインの下に修正プログラムを作成しています。サーバ管理者の方の多くは、Windows
Updateで修正プログラムを自動で適用するというのは耐えられないと思うんです。ドキュメントをしっかり読んで、不明な点はマイクロソフトにご質問いただいたうえで、手動で適用する。サーバに関してはそのように確実な対応が必要だと思います。
●マイクロソフト セキュリティレスポンスチームとは
マイクロソフト セキュリティレスポンスチームは、日本、アメリカ、ヨーロッパ、アジアに拠点を置く、マイクロソフト製品のセキュリティ問題を調査・修正・解決するために作られたセキュリティに関するサポートチーム。
日本におけるセキュリティレスポンスチームは、さまざまなインシデントに関して海外の情報をそのまま適用するのではなく、日本独自の情報の提供を積極的に行っている。主にWebへのセキュリティ情報(「セキュリティ修正プログラム」「累積的セキュリティ修正プログラム」「セキュリティロールアップパッケージ」「サービスパック」)の公開や、ユーザーからの脆弱性情報などのインシデント報告を調査・分析する作業を365日24時間体制で行っている。
またアメリカに先駆け、無償での電話サポートを日本独自に試行中(マイクロソフト セキュリティ情報センター:全マイクロソフト製品、ただしセキュリティに関する問い合わせのみ。問い合わせ先
0120-69-0196)。 |
|
|
情報収集の重要性
|
|
―――シマンテックさんにはHotfixの適用に関する問い合わせが寄せられてはいませんか。
野々下:Hotfixを適用する際には、そのHotfixが必要なのかそうでないのか、どのマシンにどのHotfixが適用されているのかといった情報を管理することも大事です。ワームなどの脅威に関する情報を集め、自分の管理するサーバにどのような脆弱性があり、それに対してどのような対応策があるのか、常日頃から状況を把握していることが1番重要です。それをサポートする製品がシマンテックを含めたセキュリティベンダから発売されていますので、そういうものを利用するのもよいと思います。
―――すべてのHotfixを適用する必要があるわけではないんですね。次々と発表されるHotfixへの対応に追われがちですが、必要なものを選ぶことも大切です。
奥天:そうですね、SQL SlammerやCodeRed、Nimdaのように、ワンアクションで致命的なダメージを被る緊急度の高いもの以外は何かしらの回避策があるはずです。われわれもできるだけ情報をお出ししていきますので、Hotfixによる修正内容をご覧になって内容を評価していただくことが必要だと思います。
―――必要/不必要を見分けるための情報収集のコツはありますか?
|
マイクロソフト アジアリミテッド グローバルテクニカルサポートセンター
セキュリティレスポンスチーム テクニカルリード 小野寺 匠氏 |
マイクロソフト 小野寺:われわれの公開している「セキュリティ情報」では、最大深刻度を表記しています。最大深刻度が「至急」、「重要」のものは回避策のないものが多いので、すぐにでも適用していただく方がよいのですが、回避策があるものについては、その対策を行うのか、それともHotfixを適用するかどうかを検討していただければと思います。Hotfixを適用するリスクと適用しないリスクを比較していただくということになります。
野々下:例えば、SQL Slammerはインターネットを介して感染を広げていますが、UDPのポート番号1434に外部から来るデータグラムをフィルタするという回避策があります。SQL
Slammerに関してもう1つ問題になるのは、SQL Server 2000 Desktop Engine(MSDE 2000)です。SQL
Serverに関しては皆さんも十分に気を付けていらっしゃいますけれども、さまざまなアプリケーションにバンドルされているMSDE 2000にも同様の脆弱性があります。どのアプリケーションがMSDE
2000を使っているのかを把握するのは難しい。情報を集めていないとHotfixを適用する必要性にさえ気付かないわけです。
―――情報収集が重要だということですね。さて、一方で多数のクライアントPCにHotfixやソフトウェアを配布したいというニーズもあります。小川さんはWindows
Insiderフォーラムの記事を書くにあたっていろいろな製品をテストしていると思いますが、このような用途でズバリお勧めというものはありますか?
小川:ズバリお勧めというものは現時点ではまだありません。しかし、ニーズは非常に高いので、今後近いうちにいいものが現れると考えています。
―――第1部のセッションで解説があったように、いろいろなツールを組み合わせて使うというのが現時点での解だということですね。
|
セキュリティHotfixによる互換性の維持
|
|
―――では、次の話題に行きましょう。セキュリティHotfixを適用した場合に、アプリケーションの動作に影響が及ばないか心配だというご意見をいただいています。セキュリティ用のHotfixを作成するにあたっての作成ポリシーやテスト期間、内容について教えていただけますか。
小野寺:Hotfixの作成にあたっては、それ以外の方法がない場合を除いて、プログラムの仕様を変更しないというのが大原則となります。ただし、過去に仕様変更がなかったわけではありません。例えばInternet
Explorerのダウンロード時に開くダイアログで、[開く]ボタンを[保存]ボタンに変更した例もあります。このように仕様の変更を行った際には変更点を明記いたします。
―――テストに関してはいかがでしょうか?
小野寺:負荷テスト、互換性テストを行っています。マイクロソフト社内において、APIの仕様は守られているか、OSとしての機能は正しく動作しているかを検証し、主要なソフトウェアベンダさんの製品についても動作テストを行っています。ただ、セキュリティ用のHotfixは、その性格上、サービスパックほど長期間にわたってテストしてから提供するわけにはいきません。また、お客さまの環境はわれわれのテスト環境よりも多種多様ですので、完全なテストが行えているとはいえません。万一問題が生じたときは、マイクロソフトにフィードバックしていただければ対策を講じます。
小川:Hotfixはスピード重視、サービスパックは安定性重視ということですね。では、ときどき配布されるロールアップパッケージはどのような位置付けなのですか?
小野寺:サービスパックは社内で実際に稼働しているサーバに適用して数カ月運用したり、外部のベータテスタに配布して数多くの検証を行ったりしています。セキュリティロールアップパッケージに関しては、サービスパックほどではないものの、社内のサーバに適用したり、社内でのベータテストを実施したりしています。Hotfixとはテストレベルが違います。
―――テストレベルの違いも踏まえたうえで、管理者がHotfixを適用するのか、それともサービスパックまで待つのかを判断することが大事なのですね。小川さん、付け足すことはありますか?
小川:付け足しというわけではありませんが、ソフトウェアベンダのテストには当然限界があります。例えば、自社開発のソフトウェアを利用している企業では、そのテストを社内で行う必要があります。このように、ユーザーもテスト環境や代替環境を用意して独自の検証を行う必要があるでしょう。
野々下:バグフィックスによるアプリケーション動作への影響もあり得ます。以前はバグの副次的な作用でたまたま動いていたアプリケーションが、バグが修正されたことによって動かなくなるというような場合です。
―――ドキュメントで変更点をしっかり確認することが重要ですね。
奥天:セキュリティ情報本体よりも、FAQのページの方が分かりやすく修正内容をご説明していますので、ぜひご利用ください。
|
セキュアなWindowsシステムの構築
|
|
―――アンケートの結果で3番目に多かった質問は、Windowsベースでセキュアなシステムを作るコツを教えてほしいというものでした。Windowsだけを使ってセキュリティを強化するお話は、第1部のセッションでしていただきましたので、ここではサードパーティの製品を使うなどの方法でセキュアなシステムを作るというお話をお願いします。奥天さん、何かございませんか?
奥天:われわれは、OS単体としての機能はできる限り高めていきますが、OSに付属するツールなどは最小限の機能に絞ったものを提供するようにしています。それを補完していくのがパートナーの皆さまだと思うんです。われわれがそれをすべて盛り込んでしまうと、どう叩かれるか分からない……(笑)。これができて当たり前という機能は備えているけれど、一歩進んで楽をしたい、さらに高機能なツールがほしいという場合は、その目的に特化して開発されたサードパーティ製品を検討していただければと思います。
―――いまのご発言は、シマンテックの野々下さんを意識したものですね(笑)。
|
シマンテック システムエンジニアリング本部 本部長 野々下 幸治氏 |
野々下:OSはだれにでも使えるように、万人向けの設定で出荷されています。Windows
NTなどは、ACL(アクセスコントロールリスト)やファイルへのアクセス権限の設定など、システムを安全に運用するためのさまざまなセキュリティ機能を備えています。しかし、これらをあまり厳しく設定した状態で出荷すると、使えないお客さんが出てきてしまう。必要なセキュリティ設定は、個々の企業やユーザーによって違うはずですから、そのベースラインを決めることが大切だと思います。例えば、このサービスは必要ないから止めようとか、そういうことです。セキュリティのベースラインをチェックするツールは弊社でも販売しておりますが、まずは自社の、あるいは個々のサーバごとにしっかりしたベースラインを決めることが最も重要だと思います。
―――小川さん、いかがでしょう。
小川:Hotfixによる修正内容の評価、ベースラインの策定などを行うためには、学習して知識を身に付けることが大事だと思いました。企業で管理を行っている方には、本業が別にある方も多く、Windowsセキュリティの勉強ばかりしているわけにはいかないというのが実情です。このセミナーに先立って、わずか数社ですが、小さな会社から大きな会社まで、どのような管理・運用をしているのかインタビューしてみました。たまたまかもしれませんが、会社の規模に関係なく、ほとんどの会社がアバウトな管理体制しかとっていなかった。ここで、今日お越しの皆さんにお聞きしたいことがあります。参加している方の中で、Windowsネットワークの管理を専任で担当している方は挙手をお願いします。
(挙手は数名)
小川:うーん、やはり数えるほどですね。アメリカではどうなのかと思い、120人規模のソフトウェア開発会社に聞いてみました。このような業種ですから、会社の人間のほとんどがWindowsやネットワークに詳しい会社ですね。各個人がある程度勝手に管理をしているのかと予想したんですが、専任の管理者が2名いて、この人たちが集中的にしっかりと管理をしているそうです。これからは、日本でもそのような体制できちんとしたシステム管理、ネットワーク管理を行っていかなければならないのだと思います。
|
セキュリティと人の問題
|
|
―――では、次のテーマです。セキュリティに精通した人間を社内で育てる、あるいはセキュリティの重要性を社内の人間に理解させるためにはどうすればよいのでしょう。実際に、どのように勉強していらっしゃるのか、どのような教育をしていらっしゃるのかお聞かせいただけますか。セキュリティベンダであるシマンテックの野々下さんからお願いします。
野々下:私はセキュリティが特別なものだとは思わないんです。セキュリティというと、クラッキングの手法がどうとか、ワームがどうとかという話になりがちなんですが、ネットワークやOSといったベースの技術をしっかり学ぶことが大事です。セキュリティがことさら注目を集めている現状は、まだそれが定着していないということなのではないでしょうか。
―――なるほど。マイクロソフトのセキュリティレスポンスチームの方々はスキルを向上させるためにどういうことをしていますか?
|
マイクロソフト アジアリミテッド グローバルテクニカルサポートセンター
セキュリティレスポンスチーム マネージャー 奥天 陽司氏 |
奥天:社内のトレーニングとして、アメリカから人を呼んで話を聞いたりしています。セキュリティ関連技術に関しては、ソフトウェア開発の経験があると理解しやすくなります。ソフトウェアがどのような仕組みで動いているのかを理解しているということです。われわれの提供するドキュメントは、第一線の開発者が書いていますので、開発経験があるとササッと読めるようになるのです。あとは、英語力ですね(笑)。いまのところ、日本語で書かれた情報が最初に出てくることはまだ少ないです。
――小野寺さん、私はこうして勉強してきたということはありますか。
小野寺:私は以前に開発をやっていたんですが、やはりコンピュータの仕組みを知っていて損はないと思います。アセンブラでプロクラムを書けるほどの知識は必要ありませんが、CPUって何?
とか、メモリって何? とか、どんな仕組みでプログラムは動いているのかを簡単にでも知っているといいですね。
――そうですね。例えば、「バッファオーバーフローが原因で」といわれたときに、バッファって何だろうという状態ではなかなかイメージしにくいですね。
奥天:当然ながら、技術力があれば、技術面からセキュリティ問題をとらえるのは簡単になります。ただし、全く別の次元の勉強も必要です。情報セキュリティポリシーの設計などもそうですし、最近では法務的なことも学ばなければならない。そのあたりはまだ勉強中です。
――企業内でセキュリティを守るためには、技術的なこと以外にも人を動かさなければならないことも多いでしょう。野々下さん、いかがでしょう。
野々下:セキュリティで一番危ないのは、ソーシャルエンジニアリングですね。情報漏えいもそうなんですが、多くの場合、設定やクラッキングによる脅威よりも、管理ポリシーやベースラインが決まっていないことによる脅威の方が大きいんです。
――例えば、ウイルス対策ソフトウェアを社内のすべてのマシン導入すると、1台でも入れないマシンがあったらアウトですよね。導入を徹底するにはどうすればいいのかとか、セキュリティにかかわる予算を獲得するために上司を説得するにはどうするかとか、いい知恵をお持ちではないですか?
野々下:われわれにとっても難しい問題です。業務系のシステムというのは、ROI.(Return
On Investment:投資利益率)が明確なのですが、セキュリティ関連プロダクトというのはROIが明確ではありません。セキュリティプロダクトというのは、被害に遭わないための保険のようなものが多いので、ファイアウォールやウイルス対策ソフトウェアは必須なんだというしかないでしょうね。
――地道に説得するしかないということですね。小川さん、いろいろな事例をご覧になってきて、うまくいった例、うまくいかなかった例があると思うんですが……。
|
デジタルアドバンテージ 代表取締役 小川 誉久氏(@IT Windows
Insiderフォーラム エディタ) |
小川:うまくいってないケースばかり見てきました(笑)。私の立場では、担当するフォーラムで勉強していただけるよう、記事を展開しなければならないのですが、すべてをWebでというのも難しい話です。セキュリティエンジニア、ネットワークエンジニアといってもよいと思いますが、そういう人が勉強する材料として、マイクロソフトさんの資格認定試験、Microsoft
Certified Professional(MCP)は非常に良いと思います。参考書もしっかりしてますし、試験ですから自分のスキルをチェックすることもできます。また、上司を説得する際にも「いまはこのような資格試験は常識ですよ」と言いやすいという利点もあります。
――セキュリティというのは範囲が広いですから、ポイントを絞って勉強したり、目的を持って勉強したりするのはよいことですね。どうもありがとうございました。
(以上敬称略)
◇
ビジネスの現場で運用されるサーバに必要なのは信頼性と安定性だ。これらを実現し、維持するために、サーバ管理者は常に完璧に仕事をこなさなければならない。サーバ管理者に求められるもの、それは正しい分析、判断をするために不可欠な技術力や情報収集能力だ。しかし、これだけでは十分とはいえない。社内の人間にセキュリティ確保の重要性を教育し、必要な予算を獲得するために上司を納得させ、ときには組織を動かす能力もまた必要なのである。
本セミナー第1部のセッションでは、Windowsセキュリティを高める技術的な情報を中心に解説がなされた。そして第2部のパネルディスカッションでは、セキュリティポリシーの策定と運用の重要性やセキュリティHotfixの適用のコツなどが、OSベンダ、セキュリティベンダ、エンドユーザーそれぞれの立場から語られた。今回のセミナーに参加した皆さんは、それぞれ別の立場にある3者が、実は同じ1つの目標に向かってそれぞれ奮闘していることを実感したに違いない。今後は、セキュリティ情報を提供する側とそれらを適用する側、相互の信頼関係がますます重要になるということを実感したセミナーであった。
マイクロソフト
プロダクト セキュリティ 警告サービス [登録無料]
|
|
|
|