検索
ニュース

松本市、かくBlasterと戦えり(2/2 ページ)

先日開催された「PCネットワークの管理・活用を考える会 2004」のセッションで、Blasterの感染被害に遭った松本市の対策が紹介された。

[高橋睦美,ITmedia] PC用表示 関連情報
Share
Tweet
LINE
Hatena
前のページへ |       

 松本市ではその後4日間にわたって対応に追われた。セキュリティや管理性を意識して、職員にAdministrator権限を与えていなかったことから、情報政策課の担当者が庁内をぐるぐる回って、1台1台手作業でウイルスチェックと感染予防対策を施した。すべてのPCで対策が完了したのは、8月23日夜10時のことだったという。

 だが、作業はそれで終わりではなかった。この時期にマイクロソフトが、Internet Explorer用の緊急パッチを公開したのだ(8月21日の記事参照)。またもや全PCにパッチを当てて回ることになり、完全に対策が終わったのは8月27日。Blasterが庁内に忍び込んでから一週間以上が経過していた。

反省点は「パッチの未適用」

 松本市は一連のBlaster騒ぎで、ほぼ5日間にわたって情報系ネットワークを停止する事態に追い込まれた。その後、記者会見を通じた情報公開や対策を迅速に行ったとはいえ、業務に与えた影響は多大なものだった。

 宮尾氏は最大の反省点として、「何よりセキュリティパッチが確実に適用できていなかったこと」を挙げる。職員にはAdministrator権限を与えていなかったため、パッチの配布はマンパワーに頼る状態だった。

 また、ウイルス対策ソフトは導入されていたが、更新状況までは把握できていなかったという。公用パソコンの持ち帰りについても、特に対策はなされていなかった。松本市としてのセキュリティポリシーは策定済みで、関連文書も配布していたが、「複数の要綱に分かれており、実効性に乏しかったかもしれない」(宮尾氏)という。

 こういった反省点を踏まえて松本市がとった対策は、大きく2つある。1つは、クオリティの資産管理ソフト「QND Plus」の導入だ。「ソフトウェアの自動インストールやインベントリ収集といった、資産管理システムとしてのごく普通の機能を、とにかく早く、簡単に、確実に導入したかった」ことが導入の決め手になったという。事実、システム入札から導入完了までは、わずか3週間程度という短期間で行われた。

 合わせて、複数存在していたセキュリティポリシーを一本化。職員研修を実施し、内容の周知徹底を図った。さらに、ワーム発生のような緊急時に備えた対応計画書も策定したという。Blasterの被害とその後の一連の対策を経て、松本市職員のセキュリティ意識は飛躍的に高まったと宮尾氏は述べる。

 「早く、確実なセキュリティパッチの適用を行う。これしか考えていません」(宮尾氏)。

 そのため今後は、パッチやウイルス情報の迅速な入手や運用マニュアル、組織体制の整備などに取り組んでいくという。特に、「何かと担当者1人に任せきりになりがちだが、運用マニュアルを整備し、教育を行って、担当が不在の場合でも対応できるようにしたい」と宮尾氏はいう。

当たり前のことを当たり前に

 同氏は講演の中で、自治体特有の課題にも触れた。

 その1つが人員の問題だ。もともと役所には定期的な異動があるため、専門性を持った人材の確保が難しい。その上、1人1台体制によって管理対象が増え、仕事が増加したにもかかわらず、職員の数はそのままという実態があるという。

 ちなみに、松本市の情報政策課職員は課長以下総勢23名。これは、情報系だけでなくホストコンピュータのプログラマも含めた数であり、この人数で150カ所に散らばる約1400台のPCを管理している。

 職員からの問い合わせに答え、サポートを行いたくとも、「情報政策課職員は超過勤務ブラックリストの常連となっており、対応に行きたくてもその時間がない」(宮尾氏)。結局、普段の業務にしてもセキュリティ対策にしても、手が回らない状態になってしまっているという。

 予算もそうだ。「役所に限った話ではないだろうが、セキュリティはどうしても目に見えないため、後回しになりがち」(宮尾氏)。同氏は、予算を得るための説明力不足を反省しながら、ベンダーには、きちんと説得するための材料や資料を期待したいと述べた。同時に、「どうしても必要なものの見極め」も重要になるという。

 現在、「平成の大合併」とも言われる市町村の合併が進行中だ。松本市もまさに合併の検討を進めているが、「それが実現されれば、パソコンの管理をますます考えていく必要がある。資産管理ソフトのようなツールが重要になるだろう」(同氏)。

 宮尾氏は、これまでセキュリティ対策やパッチ管理は見て見ぬふりをしてきたのを、きちんとやるようになっただけのことだ、とも語った。「つまらない結論かもしれないが、当たり前のことを当たり前にやるのが基本だと感じている」(同氏)。

前のページへ |       

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る