Blasterワーム騒動も収まらぬ8月後半、企業の現場のシステム管理者たちが集まる、とある勉強会にお邪魔させてもらった。議題はズバリ、修正プログラムをいかにして企業のサーバやクライアントに適用していくか、である。 Blasterワームは、コンピュータ・セキュリティの新たな課題を浮き彫りにした。それまでの修正プログラム管理といえば、どちらかというとサーバ向けが中心だったが、クライアントPCも対象に加えなければならないことが裏付けられたからだ。これまでもコンピュータ・ワームなどの深刻な被害はいくつかあったが、それらはいずれもサーバ向けソフトウェアの脆弱性を攻撃するものだった。例えばCode RedやNimdaはWebサーバであるIISの脆弱性を攻撃するものだったし、SQL Slammerはデータベース・システムであるSQL Serverの脆弱性を攻撃するものだった。 通常、クライアントPCはサーバに比べると台数が圧倒的に多く、管理に手間がかかる。そのうえ障害が発生した場合でも、サーバに比較すれば業務に与える影響が小さい。このためBlaster以前は、クライアントPC向けの修正プログラム適用は後回しにされがちで、ファイアウォールを設置したり、ウイルス対策プログラムを組み込んだりすることで、何とか安全を確保しようとするところが多かった。 しかし今回のBlasterワームが攻撃に利用したRPC(Remote Procedure Call)のセキュリティ・ホールは、サーバだけでなく、クライアントでも影響を受けるものだったため、圧倒的に台数の多いクライアントPCにも感染が広がってしまった(実際には、企業内のPCだけでなく、家庭で広く使われているPCにも広く感染している)。クライアントPCに対しても、鋭意修正プログラムを適用して、セキュリティ・ホールの根を排除しなければならないことが立証された形である。 行くも地獄、行かぬも地獄Blasterワームが攻撃したセキュリティ・ホールの情報(MS03-026)が公開され、修正プログラムが提供されたのは7月17日、Blasterワームが猛威を振るったのは8月12日ごろからだから、修正プログラムを素早く適用していれば被害に遭うことはなかったはずである。こういうと、何だか管理者の怠慢が原因のように聞こえてしまうかもしれないが、それは違う。 くだんの勉強会に参加した管理者諸兄に伺うと、修正プログラム管理を軽視している人などいなかった。それどころか誰もが、修正プログラムは早期適用すべき、という意見を持っていた。 それならば速やかに適用すればよいではないか、と思うかもしれないが、残念ながらそう簡単な話ではない。 まず、多数のクライアントに対し、修正プログラムを適用する手間は大変なもので、それでなくとも忙しい管理者は体がいくつあっても足りない。必要性は分かってはいながらも、作業工数を考えると二の足を踏んでしまう。幸いこの問題は、SUS(Software Update Services)や市販の修正プログラム管理ツールを利用することで、作業を多少は軽減できるだろう(詳細は別稿「運用:HotFix管理を始めよう」)。 最大の問題は、修正プログラムを適用することで、予想外の副作用が発生することだ。 例えば勉強会で聞いたケースでは、Windows 2000にService Pack 4を適用したところ、フォント関連の処理が変更されたのか、プリンタの印字がこれまでとわずかにずれるようになってしまったという。その程度ならあまり問題ではないだろうと思いきや、その会社では、あらかじめ印刷された請求書のフォームに対し、プリンタでデータを印字していたため、このずれによって、本来印刷されるべき場所に文字が印刷されず、請求書の体をなさないようになってしまったそうである。請求業務が完全にストップしてしまったわけだから事態は深刻である。結局、Service Packをアンインストールし、プリンタ・ドライバを再構成して、何とか元の状態に戻したという。 修正プログラムの適用による同じような副作用を経験した管理者は非常に多かった。これでは、修正プログラムが公開されたからといって、おいそれと適用するわけにもいかない。修正プログラムの適用を先延ばしにすれば攻撃のリスクを排除できず、かといって適用を決意すれば副作用のリスクを背負うことになる。まさに「行くも地獄、行かぬも地獄」である。 安全はタダでは手に入らない管理者はサボっているどころか、日夜睡眠時間を削ってセキュリティ・ホールと格闘している。Blasterの騒ぎでは、夏休み返上で会社に泊まり込み、サービス残業をしてまでクライアントへのBlaster対策を実行したという涙ぐましい話も聞いた。むしろ現在のネットワークは、こうした管理者の奉仕精神によって支えられているのだ。 聞くところによれば、某社の役員がBlasterに感染した。それまでその会社は、クライアントPC向けの修正プログラム管理はユーザー任せにしており、強制力を持った中央での管理は行っていなかった。しかしこの役員のつるの一声により、修正プログラムに対する社内の体制を大幅に見直すことになったそうである。もちろん、緊急の予算を付けて。 予算があれば、人員を拡充できるかもしれないし、何らかの支援ツールを購入できるかもしれない。現場の管理者が睡眠時間を削って何とかするというような根性論ではなく、抜本的な対策の強化が必要である。 ネットワーク・セキュリティの問題は、もはや現場の管理者の奉仕精神におんぶに抱っこして何とかなっていたレベルを超越している。企業のマネージメント層は、このことを理解し、適切な予算をセキュリティ管理に投下すべきだろう。 同時に、副作用問題については、圧倒的に情報が不足している。この点については、基本的にマイクロソフトからはほとんど情報は提供されない。メディアに身を置く立場として、この状況をどうすれば打破できるのか、何かお役に立てることはないかと常々思案しているところである。 小川 誉久(おがわ よしひさ)
|
|||||
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
 |
|
|
|
|
注目のテーマ
Windows Server Insider 記事ランキング
転職/派遣情報を探す
