ニュース
2004/04/28 11:15 更新


今日、オフィスを出る前に……

明日から本格的にゴールデンウィークが始まる。だが休暇に入る前、PCの電源を落とす前に、パッチ適用をはじめとするセキュリティ対策の再確認を行いたい。

 久しぶりの大型連休を控えて気もそぞろな人、仕事の追い込みに忙しい人は多いことだろう。既に休みに入ってしまった方についてはどうしようもないのだが、明日から休みだ、という方には、オフィスを出る前にちょっとだけ時間を割いて、セキュリティ対策の再確認を行っていただければと思う。

 既にJPCERT/CC情報処理推進機構セキュリティセンター(IPA/ISEC)が呼びかけを行っているとおり、長期休暇前には、それに備えたセキュリティ対策が必要だ。

 ゴールデンウィークに限らず、年末年始や夏休みのような長期休暇中に、ウイルス発生や不正アクセスなどの事件が起こってしまうと、対応が遅れてしまい被害が拡大する恐れがある。また、脆弱性を悪用するウイルスが発生した場合、休暇明けに端末を不用意にネットワークに接続することで、被害が再びぶり返す可能性もある。それは、昨年のMSBlast(Blaster)が残した教訓を考えればお分かりだろう。

 しかも今は、比較的リスクの高い時期といえる。マイクロソフトは4月の月例パッチで複数の脆弱性を修正したが、その直後から相次いで、これら脆弱性を突いた実証コード(Exploitコード)が公にされているからだ(4月21日の記事4月27日の記事参照)。これらがウイルスに転化する可能性は否定できない。

 既にインターネット セキュリティ システムズ(ISS)のSOCでは、SSLの脆弱性に対する攻撃を確認したというし、4月27日に公になったLSASS(Local Security Authority Subsystem Service)の脆弱性を付くコードについて、ラックでは日本語環境で問題の再現に成功したという。

 ただ、安心できる材料がないこともない。筆者の手元でも、またJPCERT/CCのインターネット観測システム、ISDASにおいても、トラフィックに著しく不審な傾向は見られないからだ。

 だがいずれにしても、ゴールデンウィークを控えた今、「油断は禁物だ」と、セキュリティ業界関係者は口をそろえる。各種機関が呼びかけているとおり、休暇に入る前には、各々セキュリティ対策を施しているかどうかを確認したい。

 Windowsを利用しているエンドユーザーならば、Windows Updateを利用してパッチを適用するとともに、ウイルス対策ソフトを最新のものに更新しておく。また、ノートパソコンを自宅に持ち帰って利用する場合には、細心の注意を払い、できれば自宅でも適宜、ウイルス対策ソフトのアップデートを行うべきだろう。

 システム管理に携わっている方ならば、既にある程度対処は済ませていると思う。ただ最後に、改めて「指差し確認モード」で見落としがないかをチェックしておくといいだろう。具体的には

  • 各種サーバでの対処(パッチ適用もしくは回避策の設定、不要なサービスの停止など)はできているか
  • フィルタリングやアクセス制御は正しく設定されているか
  • 重要なデータはバックアップされているか
  • 休暇中利用しないシステムの電源は落としているか
  • 異常な事態に備えた情報収集体制および連絡体制はできているか

 といった事柄が挙げられる。また、インシデントが発生するにせよ、しないにせよ、休暇後に出社してくるユーザー向けに、最新の情報とLAN接続に必要な手順を説明することも、頭の片隅に入れておくといいかもしれない。

 IT部門やシステムインテグレータの中には、長期休暇だからこそできるシステム移行作業やメンテナンス作業で、多忙を極めるケースがある。こういった作業においては、新システムがきちんと動作するかどうかが最大の関心事となるだろうが、できればセキュリティへの配慮も忘れないようにしたい。JPCERT/CCでは「移行作業のときにパッチ適用を忘れてしまうケースはよく見られるので、注意してほしい。また、テスト環境や新システムをいきなりインターネットにつなぐようなことも避けてほしい」とコメントしている。

 最後にもう1つ、大きな問題――矛盾がある。というのは、本当にパッチ適用をはじめとするセキュリティ対策を取ってほしいのは、この記事や関連団体の呼びかけになど興味を持たない方々なのだ(逆に言えば、この記事をここまで読み進めるような方ならば、既に対策を施していることが多いと期待している)。

 これには、「一枚の文書でもいいから、セキュリティポリシーを改めて周知徹底する」(JPCERT/CC)といった手法を通じて、注意を促すしかないだろう。また個人的な体験から言えば、周囲の人々の意識を徐々に高め、「パッチ、めんどうくさい」という人を少数派に追い込み、それでも対策しなければ「パッチ当てないの、かっこわるい」という視線を浴びせ倒すというやり方もある(意地は悪いが)。

 残念ながらウイルスにしても不正アクセスにしても、こちらの都合にはかまってくれない。週末だろうが休みだろうが、ある日突然やってくる。「休暇明けに備える意味も含め、通常と変わらないセキュリティ体制/情報収集体制を整えておいてほしい」(JPCERT/CC)。

関連記事
▼年末年始「これだけはやっておきたい」セキュリティ5カ条

関連リンク
▼JPCERT/CC:長期休暇を控えて
▼IPA/ISEC:ゴールデンウィーク前に対策を

[高橋睦美,ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.