脆弱性は今やオペレーティングシステムや企業だけの話ではない：Magi's View（2/2 ページ）

[Jay-Lyman，IT Manager's Journal]

パッチ、スキャン、パッチ、……の繰り返し

　セキュリティの専門家で、Bastille Linuxプロジェクトのリーダーであるジェイ・ビール（Jay Beale）氏は、ITマネージャーとその部下がシステムの脆弱性を大幅に減らすためには、既存システムと新規システムにきちんとパッチを適用し、SANSやCenter for Internet Securityが提示している業界のベストプラクティクスに従うべきである、と述べている。

　ビール氏はITMJに対してメールでこう語った。「まず、パッチ適用の手順とポリシーを定めることが必要だ。たいていのショップは今でも、あるセキュリティホールを悪用するワームのニュースを聞いてからでないと、その弱点に対するパッチを適用しようとしない。自分のところでは最悪のシナリオは起きないだろう、と高をくくって博打を打っているようなものだ。その結果は、皆さんもご存知のとおりである。つまり、ITスタッフがなんとかネットワークを復旧させようとして、必死になって事態の収拾やパッチの適用に取り組むことになるのだ。パッチをきちんと適用しない組織は、結局のところ、事態を収拾するために膨大な時間（と費用）を使うことになる。それは、あらかじめパッチを適用していれば避けられたはずのコストだ」。

　さらにビール氏はこう述べている。「いつもパッチを適用しているという人でも、定期的な脆弱性調査を行うべきである。そうすれば、設定ミスや判断ミスによる弱点を見つけることができるし、今採用しているパッチ適用ポリシーの不備を見つけ出すのにも役立つ。パッチ適用後に脆弱性スキャンを行えば、現存する弱点を発見し、それらが攻撃者に利用される前に、重要なものから順に修正していくことが可能である」。

　ビール氏は、攻撃の対象がオペレーティングシステムからアプリケーションへと移行しつつあることを非常に重要な動向と考えており、それがITマネージャの役割にどのような変化をもたらすかについて見解を述べてくれた。

　「現代では、悪意のあるWebサイトや電子メールが巷にあふれている。電子メールがウイルスの媒介に使われることはよくあるが、もっと巧妙なものでは、HTMLを含んだ電子メールを送りつけ、それをブラウザで解釈させるという手法もある。電子メールの機能は拡大しており、それに伴って、攻撃に対する脆弱性も高くなっている。さらに、攻撃者が人気のあるWebサイトを乗っ取って、Webページに小さな攻撃プログラムを仕込むという手法もある。この手法では、ブラウザを通じてデスクトップシステムが攻撃されることになる」。

　さらにビール氏は、クライアントサイドの弱点はセキュリティ専門家にとって「最も恐ろしいこと」だと述べている。なぜなら、ネットワークレベルで実装できる対策はほとんどないからだ。

　「これまでの主流だったパケットフィルタリング・ファイアウォールは、クライアントサイドの弱点に対してはほとんど何もできない。このファイアウォールは、HTTP、SMTPなどのアプリケーションプロトコルを理解できないからだ。しかも、ほとんどのファイアウォールポリシーでは、クライアント側で開始されたトラフィックをすべて通過させてしまう。プロキシ・ファイアウォールはアプリケーションプロトコルを理解するが、管理が複雑なため、あまり普及していない。また、プロキシファイアウォールでも検出・排除できない攻撃は数多くある。したがって、ネットワーク経由でクライアントサイドの弱点と徹底的に戦うことは無理である。確実に機能する唯一の方法は、きちんとパッチを適用して、弱点のあるクライアントを実行しないようにすることと、クライアントのセキュリティを強化して、まだパッチが公開されていない弱点に対抗できるようにすることだ」。

　今日の脆弱性対策では、パッチに対する警戒も必要である、とビール氏は指摘している。

　「そのために、ある程度まではプロキシベースのファイアウォールの導入が進むと思われる。しかし最終的には、基幹サーバだけでなくすべてのシステムのセキュリティを強化することが必要になる。今までは、余程しっかりしたITショップでもなければ、セキュリティ強化についての関心は低かった。魅力的でもないし、トレーニングが必要になるし、時間もかかるからだ。しかし、これは最も効果的な対策であり、だからこそベストプラクティスと考えられている。優れたIT部門がわざわざ時間をかけてセキュリティ強化に取り組んでいるのはそのためだ。National Security Agency（米国家安全保障委員会）のIA Directorateの報告によれば、Center for Internet Securityのベストプラクティスベンチマークに従ってシステムのセキュリティを強化すれば、システムにおける全弱点の90％以上、さらには重大な弱点の95％を悪用から守ることができるそうだ。セキュリティ強化という作業は、弱点への対策というより、単純なベストプラクティスと言える」。

原文へのリンク