サイトのハッキングに安価な手段で対処した政府機関

シンプルなバックアッププランのおかげで、「ca.gov」ドメインがハッキングされた後もカリフォルニア大気資源委員会はサイトの全面閉鎖という事態を免れた。

» 2007年10月09日 08時48分 公開
[Lisa Vaas,eWEEK]
eWEEK

 これは、カリフォルニア大気資源局(ARB)のWebサイトだ。何の変哲もない地味なサイトだが、先週、このサイトが大きな注目を集めることになった。サイトにアクセスできなくなるという危機をARBが見事に乗り切ったからだ。

 ほかの多くのカリフォルニア州政府機関では、そんなわけにはいかなかった。10月2日、すべてのサブドメインを含む「ca.gov」ドメイン全体が誤って乗っ取られた結果、各州政府機関ではWebページと電子メールシステムが使用不可能になるという障害が断続的に発生した。

 これは、すべての「.gov」ドメインを管理する連邦調達局(GSA)が、ca.govドメインをいきなりオフラインにしてしまったのが原因だ。ハッカーがポルノページにリダイレクトする仕掛けをマリン郡のサイトに施したため、GSAがこれに対処しようとしたのだ。

 この大失態が招いた事態を、ARBは簡単かつ効果的に、しかも費用効果に優れた方法で切り抜けた。

 つまり、ARBは別のドメイン上にバックアップサイトを持っていたのだった。これはミラーサイトではなく、無償ドメイン上で運用されているシンプルな静的サイトで、職員や訪問者が通常のドメインを経由せずに連絡を取る方法に関する指示を事前に掲載しておくことができる。ARBはカリフォルニア州の大気汚染問題対策に取り組む機関。同局のビル・ウェルティCIO(最高情報責任者)は米eWEEKの取材で、このドメインの名前を明らかにしなかった。「彼ら(ドメイン運営業者)はたぶん、注目されたいと思っていないだろう」と同氏は説明。しかし同氏によると、Google、Lycos、Yahoo!など、サイトの無償運用サービスを提供している企業は何社かあるという。

 10月2日、ARBのサイトは実際、ダウンする危機に直面していた。同局のデータセンターは、電話でARBにこの問題を知らせた。連邦調達局のスタッフは、ドメイン名をシステムに入れ直す必要があったが、その作業が完了するまでに約7.5時間かかるということだった。

 ARBが問題に対処する時間はわずか数時間しかなかった。ウェルティ氏によると、まだダウンしていなかった電子メールシステムを通じて、臨時サイトが立ち上げられたことを関係者全員に通知したという。

 ウェルティ氏は、バックアップサイトにこの出来事に関する通知を掲載するとともに、同サイト上で事態の推移を見守るよう告げた。幸いにも、ARBのシステムは数時間で復旧し、特に目立った影響は出なかった。たとえ何らかの影響が起きていたとしても、ARBはca.govサイトに関する情報をスタッフに提供し、障害発生期間を通じて連絡体制を維持することができたはずだ。

 ウェルティ氏によると、カリフォルニア州の政府機関のドメインがオフラインにされるという出来事は、ARBの業務にほとんど影響を与えなかった。それどころか、ARBとカリフォルニア環境保護局が約1年前から取り組んできた業務復旧プランを検証する良い機会になったという。

 「障害や災害などに伴ってこのような事態が発生した場合、政府機関はインターネットに頼らなければならない、というのがわれわれの考え方の基本にある。このため、業務に支障が出ないようにするには、その組織のドメインに全面的に依存してはならないのだ」と同氏は説明する。

 もちろん、すべての情報を1つのドメインに置くのを避けるというARBの手法の有効性は、政府機関だけに限定されるわけではない。「このようにしておけば、今回のような突然の事態に遭遇してサイトがダウンしても、政府機関の場合は市民が、民間企業の場合は顧客や従業員が途方に暮れる心配がない」(同氏)

 ウェルティ氏によると、この方式は、ITスタッフの手助けを必要としないシンプルなソリューションであるというのも魅力の1つだという。こういった事態が発生した場合、ITスタッフは障害の復旧に追われる可能性が高いからだ。「すぐに復旧することができる。スイッチを入れるのにITスタッフに頼る必要はないからだ。われわれも基本的にそうしただけだ」(同氏)

 このソリューションでは、ライブのオンラインプロセスを複製するミラーサイトは使用しない。通常のドメインを経由せずに連絡する方法に関するスタッフへの指示などを事前に掲載できるシンプルな静的なページを用意するだけでいいのだ。ウェルティ氏によると、ARBがドメイン外に用意した緊急用ページには、何が起きたのかに関する簡単な説明と、訪問者はこのページで情報の更新を辛抱強く待つようにという文章を掲載したという。

 ウェルティ氏がとりわけ気に入っているのがそのコストだ。「無料なのがうれしい。オープンソース製品を採用しているわれわれにとって、これは大きな魅力だ。使いやすく、ページの作成も簡単で、すぐにできる。ハリケーン・カトリーナのような状況でも、インフラ全体を再構築することなしに業務を継続することが可能だ」。

 また、ウェルティ氏は、暗号化などの企業向け機能を追加することによって、この種のページを強化するというアイデアをホスティング企業各社に提案している。しかしARBでは、バックアップページを数時間あるいは数日しか使わない応急措置としか考えていないため、必ずしもそういった機能にこだわっていない。「一時的なものに過ぎないので、こだわる必要はない。メインサイトが攻撃された場合に、業務に支障が出ないようにするための手段に過ぎないのだ」(同氏)

Editorial items that were originally published in the U.S. Edition of “eWEEK” are the copyrighted property of Ziff Davis Enterprise Inc. Copyright (c) 2011. All Rights Reserved.

注目のテーマ