先日、北海道教育大学札幌校に設置されているウェブサーバーにフィッシングサイトが構築されていたことが発覚した。 原因は書かれていないが、基本的にはネットワーク管理者の怠慢により放置されたセキュリティホールを突かれたのではないかと思われる。 実は、ウェブサイトの改竄情報などを検索していると大学のサーバーが数多く出てくるのだ。
何故なのだろうか?
それは学内に有象無象に蔓延っているサーバーを管理しきれなくなっているという実態があるのではないかと思われる。 実際、学部毎・学科毎に公開サーバーが設置されている大学を発見するのは容易なことだ。 大企業のサイトなんかは情報システム部門がしっかりしている為なのか、有象無象の公開サーバーという事例を見つけることが難しい。 公開すべきサーバーと、そうでないサーバーをしっかり管理していれば、そして公開すべきサーバーのセキュリティレベルを高めておけば、基本的に不正アクセスに遭遇することなど希である。 大学の場合は私立大学であっても、そういった「民間企業的思考」になっていないために、むやみやたらと公開エリアにサーバーが設置され放置されているのではないだろうか。
あと、比較的多く改竄情報で引っかかるのは中小企業のサーバーである。 これは、少人数で会社の運営をしているために情報システム部門に人を割くことができず、一度設置したら放置されているのが実態だからではないだろうか。 しかも、専門的知識を持った人材がいないために、事後の対応を適切にとることができず、何度も改竄されるのも特徴的である。
改竄などを受けた場合には、基本的には「迅速にネットワークからサーバーを切り離す」事が重要であるのだが、それを行わずに改竄されたページの修復のみを行う中小企業が数多く見られる。 これでは「真っ裸で街を歩く」様なものであり、「どうぞ攻撃して下さい」と言っているようなものだ。 だから、何度も何度もやられるし、本質的な問題になかなか気が付かないのである。
公開サーバーのセキュリティレベルを高レベルに保つのは非常に費用もかかるし、専門的知識を持った人材を確保するのも大変なことである。 たぶん、年商100億未満の中小企業では、対応するのは困難ではないかと思うのである。 前の会社でも「不正侵入検知システム(IDS)」を設置していたが、これの情報を分析するのは非常に難しいものだった。
ただ、簡単にセキュリティレベルを(多少ではあるが)高めることができる方法がある。 それは公開エリア(いわゆる非武装地帯(DMZ))をファイアウォールで保護することと、各サーバーに不要なサービスを起動しないことである。 詳しい話を書くと長くなるので省くが、「裸で街を歩かない」ことが重要なのだと言うことである。 例え透けて見えそうな服(重要な部分は見えてはいけない)であっても丸裸とは違い猥褻物陳列罪に該当しないのと同様の考え方である。 攻撃者が「攻撃しよう」という気が起きないようにしておけば良いだけなのだ。
こんな簡単なことなのだが、それすら行っていないから「容易に攻撃を受け」て「容易に改竄される」のである。 もちろん、日頃からサーバー(OS含む)やネットワーク機器のセキュリティ情報に目を光らせるのは必要なことであるが、「いつ襲ってくるかも判らない攻撃者」に目を光らせるよりは容易であり、対応も簡単なことである。
最後に最も重要なことを書いておくと、先に「改竄などを受けた場合には、基本的には『迅速にネットワークからサーバーを切り離す』事が重要」と書いたが、お客さんに対して公開しているサーバーを長時間ネットワークから切り離すのは心が痛いであろう。 公開サーバーについては予備機を用意しておくのが望ましい。 もちろん、予備機の方は常に最新のセキュリティ対応をしておく等の対策をしていることが重要であるし、コンテンツの同期もとっておく必要があるが、心を痛めることなく攻撃を受けたサーバーを切り離すことができる。 そして、もし警察に届け出るのならば攻撃を受けたサーバーは、そのまま捜査資料として提供すべきであるということだ。
これが本当の最後になるが、専門的知識を持った人材を正社員として確保しておくことが難しいのならば、インディペンデントコントラクターを利用するという手もある。 だいたい、毎日出勤する必要がないのだから、週に一日でも出勤してもらって、サーバーなどの状態の確認をしてもらえれば最低限の安全は確保できるだろう。 実際に安全レベルを高めるには夜間などにサーバーを停止してセキュリティ対応をする必要があるのだが、それは別途予算を組んでサーバーを設置した業者さんに御願いするなどすれば良い話である。 日常の運用には常勤で対応する必要はないのである。
セキュリティというのは大変重要である。 特に情報セキュリティは一層の専門的知識が必要なため、世の中にも人材は不足しているし、対策費用の方も鰻登りである。 そんな状態であっても、中小企業だからといって何もしなくて許されるものではない世の中になっている。 最低限のセキュリティを確保するということは企業としては必須事項になっているのである以上、事業規模に応じた対応を考える必要があるのではないだろうか。

Follow me!