Q.E.D.――セキュリティ問題を解決するのは「人」：セキュリティ対策の「ある視点」（17）（3/3 ページ）

[辻 伸弘（ソフトバンク・テクノロジー株式会社），＠IT]

指摘事項報告の作法

　さて、1．〜5．までの流れで、指摘事項に当たる問題点を列挙するとともに、その指摘事項を前回で解説した5段階の危険度にマッピングしてみよう。

1. HTTPサーバのバナー情報の取得が可能：危険度2
2. インターネットからphpMyAdminの管理画面へのアクセスが可能：危険度3
   （ログインができたという指摘ではなく、ログインを試みることが可能である状態を不特定多数に公開しているという指摘である）
3. MS09-020の脆弱性が存在し、認証を回避して情報の取得が可能：危険度4

　これらをまとめると

• 外部からHTTPサーバの種別、バージョンを知ることができ、データベースの管理画面へのログインを試みることが可能である状態である
• さらに、稼働しているWebDAVに脆弱性が存在し、認証によって守られているファイルを取得することが可能であった

ということになる。ここに何か疑問を感じないだろうか。

　WebDAVの認証回避によって盗み出したファイルから、データベースへの管理画面へのユーザーIDとパスワードを見つけ出し、その結果、データベース内の情報を盗み出すことに成功したというものが含まれていない。

　この問題は、前述した各危険度を合わせることで実現した事象である。逆にいえば、1つ欠けることで実現できない可能性が出てくるのである。

　検査での指摘は、基本的に1つ1つの事象を挙げるものであって、それを合わせて実現した事象に対しては、挙げることは少ない。

　前述した指摘項目の中には大きな不確定要素が含まれている。それは、WebDAV脆弱性を利用して取得することが可能であったデータの中身である。

　検査ではシステムが安全であるかどうかを示すために指摘項目を挙げるが、その中でシステムの中に存在する情報の価値を評価し、加味した結果を報告するようなことはほとんどしない。

　今回紹介した例では、WebDAVの脆弱性を利用し認証を回避できたところにログインID、パスワードを含むような重要なバックアップデータが存在しても、テスト用の中身が空のテキストファイルのみしか存在していなくても指摘項目の危険度は同じ「4」である。

　少し飛躍したいい方となるが、ペネトレーション検査も患者の体のどこに問題があるのか、どのような疾患を抱えているのか、そしてどのように改善していくべきなのかということを提案するのであって、その患者の命の価値を測り、それによって報告するレベルを変えるということをするものではない――といえばご理解いただけるだろうか。

本当のペネトレーションテスト――人だからこそできること

　ではこのようなものは報告しないのか、という疑問がわくだろう。これこそ、筆者が繰り返し述べてきた「手動の価値」「人だからこそできること」の1つの形であるため、もちろん、報告を行うべきものである。

　少なくとも、筆者は、危険な状態である検査対象は、評価や指摘事項の危険度以外に、それらを利用してどのようなことが可能であったかというような、いわば想定される被害の実証を行うべきであると考えている。

　もちろん、ツールのみの脆弱性スキャンよりも、手作業でのフォールスポジティブ、フォールスネガティブの排除の方が手間はかかる。しかしそれによって、検査とその報告を受けた方々が、自分たちのシステムの置かれている状況を把握できるのだ。安全なのか危険なのか、危険であればどのような影響を受ける可能性があるのかといったことをありのまま伝え、対策を講じる重要性を訴求することが大切であると筆者は考えており、それこそが本当のペネトレーションテストであると考えている。

　どのようなシステムでも、作るのも、利用するのも、すべてにおいて「人」が介在している。すなわち、生かすも殺すも「人」である。

　私事で恐縮だが、筆者は、ペネトレーションテストを行うようになって今年で7年目を迎えた。ペネトレーションテストだけではなく、インシデントレスポンスや趣味でのIDSによる監視、ハニーポットの運用などを行ってきたが、分析、判断、対応というプロセスがあり何事にも最終的には「人」であるという考えは、消えるどころか、強くなっている。

　当たり前のことかもしれないが、自然発生的なものを除く、世の中のすべての事象はよきにせよ、あしきにせよ「人」が介在している。

　現在、世の中は未曾有の不況のまっただ中である。これから、失業率の上昇、犯罪件数の増加が予想されている中、毎日のように理解に苦しむような残酷で理不尽な事件がメディアで報道されている。これらの影響が現実の延長線上ともいえるネットワークに現れ始めているのではないだろうか。

　リアルな世の中で起きている事象、ネットワークで起きている事象。これらはすべて他人事ではなく、われわれ「人」が解決していかなければならないものである。いや、われわれ、「人」でなければ解決できない問題なのではないだろうか。

ペネトレーションテストはあなたとともにある

　長い間、この仕事に取り組んできたが、セキュリティの世界はいまだに底が見えないといった状況だ。それほどまでに、「ペネトレーションテスト」は広く深いものだと思っている。

　これは決して「あきらめ」ではない。この連載を始めた当初から「ペネトレーションテスト」というものについて、第15回の冒頭にも述べたとおり、すべてを書き切ることはできないだろうと思っていた。思ったとおり、「書き切った」といった感想は持っていない。しかし、後悔をしているわけでもない。

　はじめに書き切ることはできないだろうと思っていたからこそ、できる限り、読者の皆さんに伝えようともがいてきたからかもしれない。それによって、ほんの少しでも見えなかったものが見え、知らなかったものを知り、興味を持っていただけたなら、私は幸せだ。

　最後に、私の記事を一度でも読んでくださった読者の方々に、感謝の言葉を述べたい。メディア上だけでなく、ペネトレーションテストというフィールドだけでもなく、皆さんとオフラインで一緒にセキュリティを考える日が来ることを楽しみにしている。

著者紹介

NTTデータ・セキュリティ株式会社

辻　伸弘（つじ　のぶひろ）

セキュリティエンジニアとして、主にペネトレーション検査などに従事している。

民間企業、官公庁問わず多くの検査実績を持つ。

自宅では、趣味としてのハニーポットの運用、IDSによる監視などを行っている。

「セキュリティ対策の「ある視点」」バックナンバー

• Q.E.D.――セキュリティ問題を解決するのは「人」
• たった1つの脆弱性がもたらすシステムの“破れ”
• 報告、それは脆弱性検査の「序章」
• ASV検査、ペネトレテスターの思考を追う
• プレイバックPart.II：シフトした脅威の中で
• プレイバックPart.I：ウイルスのかたち、脅威のかたち
• ハニーポットによるウイルス捕獲から見えてくるもの
• SNMPコミュニティ名、そのデフォルトの価値は
• 人の造りしもの――“パスワード”の破られ方と守り方
• 魂、奪われた後――弱いパスワードの罪と罰
• 魂まで支配されかねない「名前を知られる」という事件
• 己を知り、敵を知る――Nmapで見つめ直す自分の姿
• DNS、管理者として見るか？ 攻撃者として見るか？
• メールサーバ防御でも忘れてはならない「アリの一穴」
• 「Forbidden」「サンプル」をセキュリティ的に翻訳せよ
• ディレクトリ非表示の意味をもう一度見つめ直す
• たった2行でできるWebサーバ防御の「心理戦」