「アップデートを適用するな」は、どこの世界の常識ですか？：運用管理の過去・現在・未来

いつもサーバ室にこもってばかりで、警備員と間違えられるコトさえあるシステム管理者だって、たまにはニュースくらい見る。今回はそんな彼の独り言だ。

[岡田靖，ITmedia]

このコンテンツは、オンライン・ムック「運用管理の過去・現在・未来」のコンテンツです。関連する記事はこちらでご覧になれます。

大変なことになった厚労省システム

　厚生労働省が電子申請・届出システムのクライアント用に配布していたソフトウェアで脆弱性が確認されたとして、慌てて配布停止したというニュースを見たのは、久しぶりに早めに帰ってきた夜だった。

　ニュースの画面には、JRE（Java Runtime Environment）のインストーラや、厚労省サイトにあった「最新バージョンへの更新は行わないでください」という文字が映っていた。厚労省の電子申請・届出システムでは、クライアント用のソフトをJavaベースで開発しているらしく、利用者にはJREをセットにして配布していた。JREに関しては、7月5日まではJRE 1.4.2_10を用いており、その後のアップデートを適用しないよう求めていた。互換性の問題があるということなのだろう、ご丁寧にもJREの自動更新機能をオフにする方法までFAQで紹介している。結果として、JRE 1.4.2_10リリース以降に発見／修正された脆弱性を、そのままユーザーに使い続けさせていたということになる。

「最新バージョンへの更新は行なわないでください」――厚生労働省　電子申請・届出システム「よくあるご質問より

　7月5日、厚労省は電子申請・届出システムに利用してきたJRE 1.4.2_10に既知の複数の脆弱性があることを公表、JREを無効化するか、削除するようアナウンスした。追って7月6日には、配布するJREを1.4.2_15に更新し、それに対応した新バージョンのクライアント用ソフト配布を開始している。

　最近はどうだか分からないが、役所の仕事では、専用のソフトを作ったら、次のバージョンが開発されるまで何も手を加えず使い続けるのが伝統だと聞いたことがある。もし担当者が明確なセキュリティ意識と知識を持ち合わせていたとしても、セキュリティホールに対する臨時予算が容易に通らなかった可能性もあるだろう。

サーバ室の常識は？

　以前ならば、ソフトだって「作ったら終わり」で済んでいたし、役所の内部だけで使うアプリケーションであれば庁舎内のLANから出ることはなく、セキュリティホールなどを意識する必要もなかっただろう。しかし、今回は電子申請システムで、インターネットを経由するよう作られている上に、汎用性の高いランタイムを使っているのだ。適時アップデートが必須となるのは言うまでもない。少なくとも、一般企業が使うシステムでは、それが常識だと信じている。

　ちなみに、我々のサーバ室では、サーバのリモートメンテナンスにSSH（Secure Shell）を使っている。サーバの中まで手が届くツールだけに、その管理も厳密にせねばならない。SSHのバージョンアップがあれば、迅速に追随するようにしている。これはサーバ室での「常識」だ。

　ちなみに、このSSHのアップデート、先日は大変だった。

　更新作業は深夜、自宅からリモートでSSHを使って行うのが通例となっている。SSHで入ってSSHをアップデートすれば、ハードウェアに触れる必要がないのだから、サーバ室にいなくても済む。サーバに接続して、新しいSSHをサーバに入れ、sshd（またはサーバ全体）の再起動を行うだけだ。その後、確認のためにいったん接続を解除して、再び接続する。……手順としては間違えていないのだが、このときはsshdがなぜか正しく起動していなかった。

　再接続ができず、泣く泣く深夜にタクシーを飛ばしてサーバ室に駆け込み、改めてサーバを再起動させたのであった。原因はよく分からなかったが、ひとまずsshdも無事に立ち上がり、更新作業は完了した。

　リモートKVMでも使っていれば、こういうトラブルでも対処できたのだろうな。今後、検討してみよう。