| エンタープライズ:ニュース | 2003/05/17 00:18:00 更新 |
セキュリティ対策のポイントは自社なりの深刻性評価とパッチ適用前のテスト
セキュリティを最優先事項として開発されたというWindows Server 2003。しかしそれ以上に鍵を握るのは、適切なセキュリティ対策と運用だ。
セキュリティ対策に王道はない――それが、Microsoft Conference+expo 2003で「Windows環境におけるセキュリティ対策/運用の実践」というタイトルでセッションを行ったマイクロソフトの小野寺匠氏(グローバルテクニカルサポートセンター セキュリティレスポンスチーム テクニカルリード)の話から受けた率直な感想だ。
マイクロソフトはこの1年余り、機会あるごとに「Trustworthy Computing」を掲げ、セキュリティを重視するという姿勢をアピールしてきた。
具体的には「Secure by Design」「Secure by Default」「Secure in Deployment」という形で、はじめからなるべく安全な側に倒すという設計思想が基盤になる。さらに、セキュリティ情報や設定ガイドをユーザーに提供する「Communication」を組み合わせ、継続的なセキュリティ対策を支援する、という具合だ。Windows Server 2003の開発に当たっては、こうした「SD3+Communications」の骨組みに沿って、セキュリティが最優先事項とされた。このあたりは、同社代表取締役社長の阿多親市氏が、昨日の基調講演の中でたびたび強調したとおりだ。
セキュリティがこれほど声高に強調されるようになったのは、Windows Server 2003が初めてのことだ。ということは、逆に言えば、従来のシステムではそれほど重視されなかった――少なくとも最優先事項ではなかった――と受け取ることもできる。そう、確かに同社の製品は、これまではセキュリティよりも利便性を重視していたように思える。Internet Information Service(IIS)がいい例だ。
「過去、IISはデフォルトで有効となっていた。ある意味では便利だったのだが、これは同時に、悪意あるユーザーにとっても便利であるということだった」(小野寺氏)。
事実、これがCode RedやNimdaといった感染力の強いワームの蔓延を招く一因となった。その経験から得られた教訓が、SD3+Communicationsであり、「IIS Lockdown Tool」や「MBSA(Microsoft Baseline Security Analyzer)」「HFNetChk」といったツール群であり、アーキテクチャやデフォルト設定、ポリシーやアクセスコントロールリスト(ACL)の面でセキュリティを考慮したWindows Server 2003というわけだ。これが十分な水準かどうかという議論はさておき、ひとまずその進歩は歓迎したい。
ただ、このようにセキュリティを重視して開発されたというWindows Server 2003であっても、完全なセキュリティを保証するものではない。Windows以外のプラットフォームでも同じことだが、ポリシーの策定と基本的なセキュリティ対策、運用という一連のサイクルこそが重要になる。
基本に忠実に
小野寺氏がセッションの中で挙げた基本的なセキュリティ対策は、これまでもたびたび、各所で指摘されているものだ。すなわち、「不要なサービスの停止」「ユーザー権限の見直しと適切なアクセス権の設定」、それに「最新のサービスパックの適用」の3本柱である。そしてWindows Server 2003には、これらの対策を支援する機能が盛り込まれているという。
例えば、Windows 2000とは異なり、Windows Server 2003では各種のサービスはデフォルトでは無効になっている。ユーザーが明示的に指定してからはじめて有効になる仕組みだ。またアクセス権限については、「Everyone」の権限が見直されたほか、その他のユーザーについても十分考慮したうえで設計されているという。
次なる課題は、セキュリティを維持するための運用だ。「ひとたび安全にシステムを構築したからといって、それで今後もずっと安全だとは限らない。セキュリティ運用が重要になる。ただ、はじめにきちんと対策をしておくことで、運用コストやリスクを最小化することができる」(小野寺氏)。
新しい脆弱性情報に代表されるセキュリティ情報の入手とその評価、パッチのテストと適用といったプロセスからなる「運用」は、同社が今、最も心を砕いている分野に見える。情報の入手については、マイクロソフトのみならず、さまざまなセキュリティベンダーやユーザーグループ、コミュニティから情報を得られるようになってきており、むしろ課題は、適切な情報の取捨選択のほうになるだろう。もう1つの問題はパッチの適用だ。
過去に大きな被害を与えたワームの中には、既にマイクロソフトによって情報およびパッチが公開済みだった脆弱性を悪用しているものも多かった。なぜ、せっかくパッチが提供されているのに適用しない/できないのだろうか? 「自社システムに深刻な影響のある脆弱性であると判断したならば、修正プログラムを適用することになる。しかしその結果、アプリケーションに若干の不具合が出ることもある」(同氏)。
自社にとっての深刻性を評価
この運用プロセスを適切に進めるため、同氏が強調したポイントが2つある。1つは、収集したセキュリティ情報を把握し、自社にとっての深刻度を評価すること。もう1つは、脆弱性の内容やシステムの重要性にもよるのだが、パッチ適用前にテストを行うことだ。
例えば、マイクロソフトが提供する脆弱性情報には、同社の評価に基づく深刻度が併記されている。しかし「マイクロソフトが言う深刻度がそのまま、皆さんのシステムにおける深刻度とはならない」(小野寺氏)。当たり前だが、利用している製品や設定、環境といった要素によって、リスクは異なるということだ。小野寺氏は、自社システムの構成を把握するとともに、アドバイザリに記載された「問題を緩和する要素」を参照して、自システムに対する深刻度を検討すべきであり、やみくもに修正パッチを適用するだけが対策ではないとした。
もちろんこの結果、自社にとっての影響が深刻であると判断したならば、パッチの適用が必要になる。「このときは、適用前に必ずテストを行うよう推奨したい」(小野寺氏)。ただこれも、該当システムがどの程度重要であり、どのくらいの停止時間が許されるのかといった要素を加味してテスト期間・内容を検討すべきという。
場合によっては、修正プログラムを適用する代わりに、ポートをふさぐ、スクリプトを停止するといった別の回避策を選択するケースもあるだろう。この場合は「脆弱性が残ったままであることに留意する。そして、どういった回避策をとったのかを必ず記録する。その後の運用において、せっかくの回避策を無効にしてしまうことのないよう注意が必要だ」(同氏)という。
これまでに存在したどんなOSやアプリケーションでも、バグやセキュリティホールは避けられなかった。Windows Server 2003は確かに、従来のOSよりもずっとセキュリティが考慮されているとはいえ、それらを逃れられない点では同様だろう。けして過信することなく、Software Update Services(SUS)といった新たに加わった機能を有効に活用しながら、セキュリティ対策と運用を継続していくこと――地味に見えてもこれこそが最も効果的なアプローチだと言えそうだ。
関連記事
基調講演:阿多社長、新たなプロダクトで「人々の持っている"力"を引き出したい」the Microsoft Conference + expo 2003レポートWindows.NETチャンネル関連リンク
the Microsoft Conference + expo 2003ページマイクロソフト[高橋睦美,ITmedia]
