「このソフト、パッチが当たらないよ！」：女性システム管理者の憂鬱（3/4 ページ）

[高橋美樹，ITmedia]

　それからまもなく、度重なるウイルス被害に対し根底から対策を施そうと、社内には運用チームとは別にセキュリティソリューション部隊が組織された。この部隊は、社内セキュリティ意識向上を目指し、それぞれの管轄サーバに対しセキュリティチェックを行う。しかも、その診断結果の相対評価を部門長に送り付けるといういやらしい役割も担っている。目立つ憎まれ役といった役回りで、居心地の悪さは半端ではない。

　そんなプレッシャーの中、セキュリティ情報の配信のため、新しいWebサーバを購入することになった。その管理を担当にわたしが指名された。新規サーバは設定完了後、われわれセキュリティソリューション部隊によるセキュリティチェックに掛けられる。当然、その評価は全社が注目する。模範となる部署の模範となるべきサーバの管理を任されたわけだ。多少プレッシャーは掛かるが、常日頃から心がけている対策を行っていれば、何の問題もないはずだった。

プレッシャーの中から学んだもの

　この新規サーバには、バックアップソフトが同梱されたDLT装置がセットされていた。そう、例のMSDEを自動でインストールするあのソフトだ。それまでわたしはそのソフトの管理経験を積んでいたため、大して意識することもなくマシンの設定を開始した。OSのセキュリティ設定からIISの設定までは、IPA（情報処理振興事業協会）のサイトにある基準に則した十分なガードを施した。

　仕上げは修正プログラムの導入だ。OS用の修正プログラムを一通り適用した後に、例のSQL Server2000用の修正プログラムを実行した。「このコンピュータには修正プログラムをインストールするための製品がインストールされていない」という例のメッセージが表示された。

　「いや、インストールされてるから」とメッセージに突っ込みを入れながら、何度か修正プログラムをダウンロードし直し、実行するも、結局同じメッセージが繰り返されるだけだ。

　じんわりと掌に汗がにじんでくる。あのときと一緒だ。あの2台と。大量にUDPパケットを吐き続け、ネットワークに打撃を与えたあの2台と一緒なのだ。目の前がかすんできた。こんな重大な脆弱性を残したままセキュリティチェックを受けたら物笑いの種になること請け合いだ。

　「セキュリティソリューション部隊とか言って、他部署にAだBだとランク付けしているくせに、自分たちのサーバは脆弱性も放ったらかしじゃないか。それもSlammer対策をしていないっていうんだから、管理の基礎もなってない」――そういった批判の声が頭の中でうずまく。もし、わたしがセキュリティソリューション部隊のメンバーでなかったら、絶対それくらいは言う。必ず言う。