ニュース
2004/03/09 12:03 更新
経産省担当者がSECURITY SUMMIT 2004で語った「システム管理者の困難な時代」
マイクロソフトが3月8日に開催した「SECURITY SUMMIT 2004」カンファレンスに、ユーザー代表として経済産業省の小紫正樹氏が登場。システム管理者としての苦闘を率直に語った。
マイクロソフトは3月8日に開催した「SECURITY SUMMIT 2004」カンファレンスの中で、今年上半期中にリリース予定のWindows XP Service Pack 2やSoftware Update Service 2.0といった新しい機能を紹介した。しかし、会場に詰め掛けた約2500人ものユーザーの共感を呼んだのは、ゲストとして登場した経済産業省情報システム厚生課長の小紫正樹氏が語った、システム管理者としてのさまざまな苦闘振りのほうかもしれない。
小紫氏によると、同省では現在、約7000台におよぶクライアントPCと500台のサーバが運用されている。しかもそれらは全国50カ所あまりの拠点に散らばり、拠点を結ぶ回線も高速・低速さまざまな種類があるという。
昨年はBlasterが、そして今年はMyDoomやNetSkyといったウイルスが猛威を振るい続けている。ウイルス感染がニュースとしてメディアに取り上げられる頻度が増え、人々のセキュリティに対する意識は高まってきた。これ自体は悪いことではないが、結果として「システム部門の人間としては、ウイルス感染などの“結果責任”を問われる大変な時代になった」(小紫氏)。
パッチの100%適用は「現実的には困難」
問題の1つは、感染力を強めたウイルスの存在だ。つい最近登場した「NetSky.D」の場合、対策用のパターンファイルが登場する3時間前から、ウイルス本体が同省ネットワークに届き始めたという。この間到来したウイルスメールの数は2000件を越え、「中には(添付ファイルを)クリックしてしまった人も数十人いた」(小紫氏)。
ウイルス発生からパターンファイルが作成されるまでの間、「どうしても無防備になる時間帯はできる。その間にどうするかが課題だ」(小紫氏)。同時に、危険なウイルスが登場したことをユーザー一人一人に周知する緊急連絡体制の整備も検討課題の1つという。
パッチの適用も、頭の痛い問題である。たとえば「Blasterがまん延していた時期はちょうどシステムの更新時期に当たり、パッチを適用できない状態が続いていた」と小紫氏。外部からのワームこそファイアウォールでしのいだものの、内部は無防備な状態が続き、気が気ではなかったという。
今でこそ、スプレッドシートを用いて、省内のすべてのマシンについてどのパッチが適用されているかを確認、管理できるような仕組みができあがった。しかしながら、100%すべてのマシンで最新のパッチを適用できているかというと、それは困難だという。
「最新のMS04-007については、相当数のマシンでパッチが適用されていない。パッチがリリースされた時期に出張しているユーザーのマシンはどうするのか、また研修用マシンはどうするか……と考えていくと、とても100%はできない。できたとしても、非常な労力がかかる」(小紫氏)。
さらにサーバ系ともなれば、既存のアプリケーションの挙動に影響を及ぼさないかどうかの検証も必要になる。「緊急」とされるパッチでも、一度きちんと検証/評価を行わない限り適用はできず、多くの時間を要するというわけだ。この点は小紫氏のみならず、カンファレンス中にビデオで登場したバンダイ、横河電機、石川島播磨重工の各社がともに指摘していたことでもあり、マイクロソフトによる今後の改善――パッチのロールバック機能やパッチに関するさらなる情報の開示など――に期待するしかないだろう。
大事なのは「人」
小紫氏がもう1つ、時間を割いて訴えたことがある。使い勝手とセキュリティのバランスをどのように取り、ユーザーの理解を得ていくかという問題だ。これはシステムや技術の問題というよりも、教育や組織のあり方そのものに関わる問題である。
同省では現在、セキュリティ対策の一環として、端末のスクリーンロック機能(設定は20分間)や、Cドライブへのアクセス制限、LANへの持ち込み機器の制限といった対策を取っている。だが、これらセキュリティを重視した対策を講じたところ、「“面倒くさくてたまらん”といったクレームが、幹部も含めユーザーから相当寄せられた」(小紫氏)。
Cドライブへのアクセス権を制限すれば、自分で勝手にアプリケーションをインストールできなくなるし、MACアドレスを見て登録外端末からのLAN接続を拒否すれば、自宅などから持ち込んだPCは接続できない。セキュリティを高める上でこれらは正しい方策だが、ユーザーにとっては使い勝手が大きく損なわれる。結果、「ものすごいクレーム」(小紫氏)となった。セキュリティを考慮して、端末からOutlookの撤去も行ったが、これも「一部PDAのユーザーからクレームがあった」(同氏)という。
残念ながら、このあたりのバランスについては「これが正解」というものは存在しない。あれこれ試行錯誤しながら進めている状態だと小紫氏は言う。
このことと表裏一体をなすのが「職員(ユーザー)の意識改革」だが、「これも難しい問題だ」(小紫氏)。たとえば、ウイルスが発生したことを伝える緊急メールを流しても、「必ずしも効果があるわけではなく、むしろメールを読んでいない人のほうが多い」(同氏)。
役所ならではの問題もある。2〜3年ごとに定期的に人事異動が行われるゆえに、管理者としての専門知識を持った人材を育てることがなかなか困難だ。また、システムを構築するシステムインテグレータが、それを構成するOSなどの各要素に存在する問題を理解していないことも多く、何かあったときの解決に若干不安が残るという。
かくも頭痛の種に囲まれているシステム管理者。その中で小紫氏は、「少なくとも“他の人、外に迷惑をかけない”ように努力している」という。
何より大事なことは、「人」だ。同省ではログの保存や24時間体制でのシステム監視など、システム的にさまざまな対策を取っているが、「やはり大事なのは人材を育てていくこと」(小紫氏)。ユーザーのマインドを育てるとともに、システム部門を担う人材の専門知識をつけていくことが必要だと述べている。
関連記事
マイクロソフト、自虐的演出でセキュリティへの取り組みに決意関連リンク
マイクロソフト経済産業省[高橋睦美,ITmedia]
Copyright © ITmedia, Inc. All Rights Reserved.
