報告、それは脆弱性検査の「序章」:セキュリティ対策の「ある視点」(15)(3/3 ページ)
ペネトレーションテストにおける最後のフェイズ、「報告」。しかしセキュリティの確保という命題において、報告は始まりにすぎないのだ。
健康診断結果があなたに指摘すること
健康診断の結果には
- LDLコレステロール値が高めです
- γ-gtp(ガンマジーティーピー)が高めです
- 気管支ぜんそくの疑いがあります
など、目を疑ってしまうようにショックなものから、「ああ、またこれか」といったおなじみのものまでさまざまだろう。
LDLコレステロール値が高い場合は、無理のない運動を毎日規則的に行うであるとか、脂肪分を摂取しすぎず、食物繊維や、抗酸化作用のあるβ-カロチン、ビタミンC/Eなどを積極的に取るようにする。γ-gtpが高い場合には、仕事帰りに毎度毎度お酒を飲むようなことを避け、量も減らし、週に2日は休肝日を設けるなどさまざまな対策が考えられるだろう。
しかし、肉が好き、野菜が嫌いなどの偏食、運動といっても時間がなかなかとれない、仕事のストレスがたまりすぎていて、飲みにいかずはいられない……といったことはよくあるのではないだろうか。強い意志を持ち正しい対策を取れる方もいらっしゃるかと思うが、分かっちゃいるけどやめられない、ということも往々にしてあるだろう。
システムにおいても、対策を行う必要性は理解しているが、それによる試験などの稼働の発生を考えると、対応ができないこともあるだろう。通年で検査をしていると、前年度発見されている問題が修正されていなかったり、新しく構築されたシステムで教訓が生かされていなかったりということはよく遭遇するものである。
また、前にも挙げた、健康診断で「気管支ぜんそくの疑いがある」ということについて少し触れたい。
筆者は、気管支ぜんそくを持病として抱えている。この原因はさまざまで、一般的な認知よりも複雑性の高い疾患なのだが、ひと言でまとめると「アレルギー反応」である。そして、成人ぜんそくの場合、残念なことに完治(治療がまったく必要ない状態)するとはいい切れず、完治させるものではなく、うまく付き合っていく疾患であるとさえいわれたりもする。
これを、検査の指摘事項に置き換えると、「根本的に修正できる可能性の低いものについて指摘される」「脆弱性ではあるが、その対策をすることができない」といったものになるだろう。
脆弱性と向き合い続けるために
イメージがわきづらいかもしれないので、もう少し踏み込んだ実例に例えてみよう。
アンチウイルスソフトやコンテンツ管理ソフトなど、商用のアプリケーションの管理画面には、Webインターフェイスが用意されている。そこではApacheが使われている。そのApacheでHTTPバナーを露出していることや、Apacheのバージョンが古く、既知の脆弱性の影響を受けることが指摘の対象となる。
この場合、Apacheのバナーの隠ぺい、そして最新版へとアップデートすることが対策となる。しかし、組み込まれたApacheのみのアップデートを行うと、サポートの対象外になる可能性が高い。また、組み込まれたApacheごと製品自体のアップデートを行うということも選択肢としてなくもないのだが、その場合、別途費用がかかる場合が多く、お金の問題なども発生する可能性がある(そもそもだが、製品自体を最新にしても、それに組み込まれているものが最新であるとも限らない)。
このような条件下であると、迅速に最新版へのアップデートを行うことは現実的ではないだろう。しかし、検査結果報告では指摘を行うべき項目だ。
これは、皆さんが1年に1度受けているであろう、健康診断と同じである。いかなる理由があるにせよ、健康状態に問題あると判断できる場合は、その問題個所は指摘事項であるはずだ。
ペネトレーションテストも同様で、いかなる理由があろうとも、そのシステムに内在する脆弱性と呼べるものを、あるがままに指摘、報告している。ここが「運用の不備」を検査スコープとしていないというところである。
検査報告会の際には、このようなスコープについての理解をしていただいた上で報告を行っている。もちろん、どうしても対策できないとお客様が判断された場合には、代替になるような対策案を提示する、またお客様が考える対策について意見を述べる場合もある。
ペネトレーションテストとは、「修正可能なもののみを修正してください」という見方ではなく、純粋に検査したシステムにどのような脆弱性が存在しているのか、そして、その脆弱性と「どのように付き合っていくのか」のお手伝いをするものなのだ。
著者紹介
辻 伸弘(つじ のぶひろ)
セキュリティエンジニアとして、主にペネトレーション検査などに従事している。
民間企業、官公庁問わず多くの検査実績を持つ。
自宅では、趣味としてのハニーポットの運用、IDSによる監視などを行っている。
- Q.E.D.――セキュリティ問題を解決するのは「人」
- たった1つの脆弱性がもたらすシステムの“破れ”
- 報告、それは脆弱性検査の「序章」
- ASV検査、ペネトレテスターの思考を追う
- プレイバックPart.II:シフトした脅威の中で
- プレイバックPart.I:ウイルスのかたち、脅威のかたち
- ハニーポットによるウイルス捕獲から見えてくるもの
- SNMPコミュニティ名、そのデフォルトの価値は
- 人の造りしもの――“パスワード”の破られ方と守り方
- 魂、奪われた後――弱いパスワードの罪と罰
- 魂まで支配されかねない「名前を知られる」という事件
- 己を知り、敵を知る――Nmapで見つめ直す自分の姿
- DNS、管理者として見るか? 攻撃者として見るか?
- メールサーバ防御でも忘れてはならない「アリの一穴」
- 「Forbidden」「サンプル」をセキュリティ的に翻訳せよ
- ディレクトリ非表示の意味をもう一度見つめ直す
- たった2行でできるWebサーバ防御の「心理戦」
Copyright © ITmedia, Inc. All Rights Reserved.